WWI A/S. Indholdsfortegnelse

Størrelse: px
Starte visningen fra side:

Download "WWI A/S. Indholdsfortegnelse"

Transkript

1 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden til WWI A/S CVR nr.: REVI-IT A/S

2 Indholdsfortegnelse WWI A/S ledelseserklæring... 3 WWI A/S beskrivelse af kontroller for deres It- hosting-aktivitet... 4 Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet...11 Kontrolmål, udførte kontroller, test og resultater heraf...14 REVI-IT A/S Side 2 af 19

3

4 Afsnit 2: WWI A/S beskrivelse af kontroller for deres It- hosting-aktivitet Beskrivelse af WWI A/S hostingydelser WWI A/S er et 100% danskejet IT-selskab med fødderne godt plantet i den jyske muld. Dette kan ikke kun ses på vore adresser, men skinner igennem i alt hvad vi tænker og gør. Vi har siden 1993 leveret seriøse og konkurrencedygtige IT-løsninger. Hos os er den rigtige løsning omdrejningspunktet for samarbejdet med vore kunder. Vi sætter en ære i, at give os den rette tid til at forstå behovet og få løsningen fulgt helt til døren! Startskuddet var salg af adresser, hjemmesider (hosting) og hvad der ellers rørte sig i den første begyndelse for internettets udbredelse til danske virksomheder. I dag udgør hosting stadig en solid grundkerne i virksomheden, men kompetenceniveauet er nu udvidet så hele spektret inden for IT dækkes - derfor kalder vi os også IT Totalleverandør! Vore kompetencer er bl.a.: Konsulentassistance / rådgivning Hosting og outsourcing Sikkerhedsløsninger Kommunikationsløsninger Salg af hardware / software Vi er medlemmer af BFIH, og ser det derigennem som en vigtig opgave at være med til at højne kvalitet, stabilitet og gennemsigtighed i et hostingmarked der er præget af mangeartede løsninger af variende kvalitet og stabilitet. Vores målsætning er at være virksomhedens foretrukne samarbejdspartner med alt inden for IT. Dette skal opnås gennem god kundeservice, stabil og seriøs drift samt højt og professionelt kompetenceniveau. REVI-IT A/S Side 4 af 19

5 Risikoanalyse og håndtering Ledelsen godkender og revurderer it-sikkerhedspolitikken minimum hvert år, dog altid ved større organisatoriske ændringer med indvirkning på anvendelsen af it i virksomheden. IT-driftsudvalget sikrer, at den overordnede it-sikkerhedspolitik er kommunikeret til alle medarbejdere, samarbejdspartnere samt øvrige personer, der er involveret i anvendelsen af it i virksomheden. It driftsudvalget reviderer og godkender 1 gang årligt risikoanalysen. Ved organisatoriske ændringer revideres og godkendes den ekstraordinært. IT-driftsudvalget sikrer, at sikringsforanstaltninger udvælges på basis af risikoanalysen. Organisering af informationssikkerhed, ansvar og retningslinjer Der afholdes løbende møder i IT-driftsudvalget med fast agenda hvor punkterne fra it-sikkerhedspolitikken vurderes og tages stilling til. Risikoanalysen opdateres og godkendes én gang årligt på driftsudvalgsmøde med mindre der har været organisatoriske ændringer herved revideres den umiddelbart. Organisation og ansvar REVI-IT A/S Side 5 af 19

6 Organisatorisk er ansvar inddelt efter roller primært følgende: ledelse, itdriftsudvalg og systemejer It-driftsudvalget godkender sammen med ledelsen væsentlige indkøb af IT-udstyr og software. It-driftsudvalget har såfremt det er relevant - ansvaret for kontakt til myndighederne vedrørende emner inden for it-sikkerhedsområdet. Som en del af vores almindelige drift er vi registreret hos DK-CERT, og har løbende kontakt. Dette også i kraft af vores medlemskab af BFIH Brancheforeningen for IThostingvirksomheder i Danmark. It-driftsudvalget sørger løbende for at sikre at DK-CERT har relevante kontaktinformation til WWI A/S. Dette sikres gennem et fast punkt på agendaen til de fast planlagte møder i it-driftsudvalget. Eksterne samarbejdspartnere I samarbejde med it-driftsudvalget har systemejeren ansvaret for, at der udarbejdes en risikoanalyse i forbindelse med samarbejde med eksterne parter, der har adgang til virksomhedens it-aktiver. Systemejeren har ligeledes ansvaret for, at alle formelle samarbejdsaftaler med eksterne parter indeholder de dele af it-sikkerhedspolitikken med tilhørende regler, der gør sig gældende for samarbejdet. Styring af informationsrelaterede aktiver Der vedligeholdes fortegnelsen med oversigt over udstyr placeret i datacenteret. Heri er angivet placering, ejerskab og andre relevante oplysninger for aktiverne. Der forefindes ligeledes fortegnelse over de menneskelige ressourcer. Disse findes som bilag til IT-sikkerhedshåndbogen. Klassifikation af informationer og data Data og informationer er inddelt i 3 klassificeringer Kundedata, WWI A/S og Intern WWI. Alle typer data behandles med omhu jvnf. Itsikkerhedshåndbogen. Medarbejdersikkerhed Sikkerhedsprocedure før ansættelse Der informeres mundtlig ved jobsamtaler omkring it-politik og itsikkerhedshåndbog samt baggrund for disse. Ved jobsamtalen kvalificeres den faglige viden, og stikprøve vis kontrolleres opgivne referencer. Medarbejdere er under og efter ansættelse kontraktmæssigt pålagt tavshedspligt omkring forhold hos WWI A/S, samt disses kunder. Ansættelsesforholdet Der er i ansættelseskontrakten angivet reference til at medarbejderen skal følge de til enhver tid gældende retningslinjer. Medarbejdere orienteres løbende på møder samt via omkring it-sikkerhedspolitik og procedurer. REVI-IT A/S Side 6 af 19

7 Ansættelsens ophør Ledelsen sikrer, at medarbejdere ved fratrædelse informeres om deres pligter bl.a., med reference til tavshedserklæring og juridiske regler. Ligeledes sikrer ledelsen at det bliver meddelt it-driftsudvalget når medarbejdere eller anden form for personale tilknyttet virksomheden fratræder virksomheden, således rettigheder og privilegier kan inddrages. Fysisk sikkerhed Adgang til sikre områder er begrænset af automatisk adgangskontrol og alarm hvor hver enkelt medarbejder er oprettet med egen personlig adgangskode/nøglebrik. Generel adgang til bygning/kontor kræver adgangskode og kodebrik. Kun personer med arbejdsrelateret behov for at kunne tilgå datacentret har adgang her til. Der er ligeledes etableret videoovervågning af området, samt sikret udeareal hvor eksternt udstyr som dieselgenerator og køling er placeret. Ekstern udstyr er placeret bag aflåst og hærkværkssikret indhegning. Der føres log over op låsning af døre, samt fra og tilkobling af alarm og zoner. Loggen for adgang er sikret jævnføre gældende sikkerhedspolitikker. Alle driftssystemer er placeret i serverrummet. Køle- og brandslukningsanlæg til sikring af driftsfaciliteterne testes og serviceres jævnligt. Alarmer fra serverrummet sendes automatisk til døgnbemandet kontrolcentral. It-aktiver, der understøtter kritiske processer, er forsynet med UPS og diesel generator til fortsat drift i tilfælde af strømsvigt. Hvilket er tilsvarende for køleanlæg, brandslukning samt rum-overvågning. It-driftsudvalget følger min. 1 gang årligt op på servicering af nævnte udstyr. Der er fast punkt på agendaen til it-driftsudvalgsmøder hvor rapporter mv. gennemgås og kontrolleres. Der udføres løbende inspektion af tekniske sikringsforanstaltninger, samt andre relevante systemer i forbindelse med driften i serverrummet. Denne inspektion dokumenteres og logføres. Alle lagringsmedier slettes (almindelig re-formatering er ikke tilstrækkelig) eller fysisk destrueres inden genbrug eller bortskaffelse. Styring af netværk og drift Procedurer og drift It-driftsudvalget tager stilling til relevante procedurer. Procedurer findes tilgængeligt for relevant personale. Der udføres Change Management på relevante systemer og udstyr. Der er defineret følgende typer af Changes: Projekt, Minor og Major. Nærmere beskrivelse af disse er tilgængelig i IT-sikkerhedshåndbogen. Der forefindes change-log på relevant udstyr/systemer. It-driftsudvalget gennemgår minimum hver 6. måned rapporter fra eksterne service- REVI-IT A/S Side 7 af 19

8 leverandører omhandlende hændelser, problemer, fejl, nedbrud og logning. Der indhentes ligeledes revisionserklæring hvor dette er relevant. Der er fast punkt på agendaen til it-driftsudvalgsmøder hvor rapporter mv. gennemgås og kontrolleres. På agendaen er ligeledes fastlagt punkt hvor kapacitetsbehov behandles. På alle relevante servere og maskiner er der installeret antivirus for at sikre mod udefra kommende virus/malware/trusler. Sikkerhedskopiering Der foretages fuld kopiering af alle servere/data jvnf. gældende SLA. Særligt udvalgte systemer kan have flere restorepoints. Kunder kan vælge specialtilpasset backupperioder. Backup foretages i 2 omgange. Primær backup til diskbaseret system i datacentret. Herefter replikeret backup foretaget til diskbaseret system på sekundær site via dedikeret fiberforbindelse. Backuprapport gennemgås løbende for fejl og andre relevante informationer, og der føres log over backuprapporter og hændelser. Der foretages løbende restore test. Der gendannes vilkårlig data og det kontrolleres at data intakt og ser ud som forventet. Der foretages logføring af restore test. Netværk, overvågning og logning Netværk og netværksudstyr overvåges proaktiv via system der løbende kan opsamle data om performance, samt reagere på fejl fra udstyret. Driftsmedarbejdere orienteres automatisk via eller SMS ved fejl. Overvågning kontrolleres løbende for fejl så der kan følges op på fejl og indmeldinger. Eventuelle åbne fejl leveres i og præsenteres på oversigtsskærm i kontor for synliggørelse for driftsmedarbejdere. Der opsamles log på systemer for autoriseret og uautoriserede adgangsforsøg. Logs gennemgås periodiske for autoriserede / uautoriserede logins fra brugere med administrative rettigheder. Systemer og netværk overvåges ligeledes proaktivt på relevante parametre for forsøg på misbrug. Logdata gemmes og sikres. Systemer overvåges proaktivt for fejl. Fejl indrapporteres enten via eller via visuel angivelse på info-skærm. Afhængig af typen af fejl, tager support eller systemejer sig af fejlen og sørger for den bliver rettet. Support eller systemejer rapporterer til it-driftsudvalget hvis fejlen er af en type hvor det findes relevant at tage stilling til hvilke foranstaltninger der kan etableres for at forhindre fejlen i at opstå igen. Systemer og netværksudstyr synkroniserer automatisk tiden via NTP-server fra internettet. REVI-IT A/S Side 8 af 19

9 Patchning og andre opgraderinger udføres som fastlast i gældende procedurer. Disse dokumenteres ligeledes i Change Management. Via vores medlemskab af BFIH, er vi forpligtede til at sikre, at kritiske sikkerhedsopdateringer implementeres inden for 2 måneder efter frigivelse. Dette sikrer vi ved, at vi efter fastlagte procedurer afvejer alle væsentlige opdateringer og implementerer dem inden for det pågældende tidsrum. Systemdokumentation er tilgængelig for de relevante medarbejdere og sikret via adgangskontrol. Forsendelse af fortrolige data må kun foregå med stærk kryptering, og efter aftale med dataejer. Destruktion af datamedier må kun foregå med garanti for total destruktion af medier, og med dokumentation fra bortskafferen. Adgangsstyring Brugere oprettes som personlige brugeridentiteter. Der vedligeholdes en brugeroversigt for relevante systemer, og denne oversigt revideres løbende for at sikre dens gyldighed. Er der tale om servicebrugere, er muligheden for egentlig log-on så vidt muligt deaktiveret. I tilfælde af ændringer/nedlæggelse/spærring af brugeradgang sørger systemejer for at udføre den pågældende opgave. Adgangsrettigheder gennemgås løbende for relevante systemer og det kontrolleres at der kun er de relevante adgange tildelt. Der er etableret automatisk passwordpolicy der systemmæssigt tvinger brugere til at overholde den gældende politik samt sikre regelmæssig skift af password. Til særligt sikrede systemer er der endvidere etablere 2-faktorvalidering. Der er etableret systempolicy der automatisk sørger for at låse og slå pauseskærm til på alle enheder, så ledes disse sikres hvis de ikke er overvåget. Diagnose- og konfigurationsporte kan kun anvendes ved fysisk tilstedeværelse ved det pågældende udstyr, og er således sikret af den almindelige adgangskontrol. Systemer der kan sidestilles med samme adgangsniveau uden fysisk tilstedeværelse er beskyttet af adgangskontrol med 2-faktorvalidering. Netværket er opdelt i segmenter samt beskyttet af firewalls for at opnå den nødvendige sikkerhed for systemerne. Sikkerheden er tilpasset den enkelte kundeløsning eller det pågældende system. Adgang til netværk via mobil opkobling sikres via krypteret VPN-forbindelse og 2- faktorvalidering. Alle medarbejdere internt i WWI A/S arbejder via krypterede forbindelser når der benyttes mobil opkobling udefra. Bærbare computere opdateres automatisk med beskyttelse selv om der ikke kan kommunikeres med de centrale servere, og medarbejderes egne PC ere er underlagt den til enhver tid gældende IT-sikkerhedspolitik. REVI-IT A/S Side 9 af 19

10 Styring af sikkerhedsbrud Sikkerhedshændelser behandles og evalueres som et fast punkt på Itdriftsudvalgets møder. Der føres en sikkerhedshændelseslog der behandler både tekniske samt generelt sikkerhedsmæssige hændelser. It-driftsudvalget vurderer nødvendigheden for at indhente data fra logs fra relevante systemer når it-driftsudvalget finder det relevant. Beredskabsstyring Der forefindes en ledelsesgodkendt beredskabsplan. Denne plan er tilgængelig på papir og i elektronisk form distribueret. Der forefindes ligeledes en ledelsesgodkendt risikoanalyse. Gennemgang og revidering af beredskabsplanen er en fast del af agendaen for itdriftsudvalgets fastlagte møder. Test af beredskabsplanen foretages løbende. Overensstemmelse med lovbestemte krav WWI A/S er ikke underlagt særlig lovgivning i forbindelse med drift af hostingsystemerne. Vores kunder kan dog være underlagt dette, og her vil WWI A/S understøttelse af dette være aftalt særskilt. Der udsendes jævnligt orienterende til alle medarbejdere med henblik på orientering omkring WWI A/S sikkerhedspolitik samt It-sikkerhedshåndbogen og dertilhørende relaterede procedurer og emner. Èn gang årligt lader vi os undergå uvildig IT-revision med henblik på afgivelse af en 3402 erklæring for overholdelse af kontrollerne nævnt i denne beskrivelse. I kraft af, at vi er medlemmer af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark), skal vi årligt kunne bevise at vi følger rammerne inden for ISO Omtalte revisorerklæring sikrer dette, ligesom BFIH ønsker ekstern revisors bekræftelse på vores overholdelse af foreningens øvrige krav. Disse omhandler forsikringsforhold, gennemsigtighed i forretningsvilkår, selskabsretlige forhold for virksomheden mv. Disse bekræftelser fra revisor er hjælp til BFIH s certificering af WWI A/S. Ændringer i perioden Vi har i perioden løbende opgraderet infrastruktur samt omkringliggende systemer, så vi er med på de seneste versioner og teknologier vi anvender fra VMware, Microsoft, Cisco, Citrix, HP og Veeam. REVI-IT A/S Side 10 af 19

11 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet Til ledelsen hos, WWI A/S kunder, der benytter it-hosting-platformen, og deres revisorer. Omfang Vi har fået til opgave at afgive erklæring om WWI A/S beskrivelse, som er gengivet i afsnit 2. Beskrivelsen, som i afsnit 1 er bekræftet af WWI A/S ledelse, dækker virksomhedens behandling af kunders transaktioner i forbindelse med drift af it-hosting-platformen i perioden til , samt udformningen og funktionaliteten af de kontroller der knytter sig til de kontrolmål, som er anført i beskrivelsen. WWI A/S beskrivelse (afsnit 2) indeholder en række forhold som virksomheden skal leve op til jf. virksomhedens medlemskab af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark). Vores revision har omfattet disse forhold, og består udover de fysiske forhold, herunder server hardware, LAN, WAN og firewalls, af: hvorvidt WWI A/S implementerer kritiske sikkerhedsopdateringer inden for 2 måneder fra frigivelse, og hvorvidt WWI A/S kan retablere enheder i datacenter inden for 3 dage. WWI A/S ansvar WWI A/S er ansvarlig for udarbejdelsen af beskrivelsen (afsnit 2) og tilhørende udsagn (afsnit 1), herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret. WWI A/S er herudover ansvarlig, for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmål og for udformningen, implementeringen og effektiviteten af fungerende kontroller for at nå de anførte kontrolmål. REVI-IT A/S ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om WWI A/S beskrivelse (afsnit 2) og om udformningen og funktionaliteten af de kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå en høj grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er retvisende, og at kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt. Opgaven med afgivelse af en erklæring med sikkerhed om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system og for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effek- REVI-IT A/S Side 11 af 19

12 tivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give en høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere en vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i afsnit 2. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør WWI A/S beskrivelse i afsnit 2 er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtige efter sine særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller afdække alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i WWI A/S udsagn i afsnit 2 og det er på den baggrund vores vurdering, (a) (b) (c) (d) at beskrivelsen af kontroller anvendt i forbindelse med driften af ithosting-platformen, således som den var udformet og implementeret i hele perioden til , i alle væsentlige henseender er retvisende, og at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra til , og at kontrollerne for de særlige krav, som er foranlediget af virksomhedens medlemskab af BFIH jf. beskrivelsen i kapitel 2, var hensigtsmæssigt udformet i hele perioden fra til , og at de testede kontroller, som var de kontroller, der var nødvendige for at give en høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden til REVI-IT A/S Side 12 af 19

13 Beskrivelse af test af kontroller De specifikke kontroller, der er testet, samt arten, den tidsmæssige placering og resultater af disse tester fremgår i det efterfølgende hovedafsnit (afsnit 4). Tiltænkte brugere og formål Denne erklæring er udelukkende tiltænkt kunder, der har anvendt WWI A/S ithosting-platform, og disses revisorer, som har en tilstrækkelig kompetence til at vurdere den medfølgende beskrivelse sammen med anden information, herunder information om kunders egne kontroller. Denne information tjener til opnåelse af en forståelse af kundernes informationssystemer, som er relevante for regnskabsaflæggelsen. København, 5. februar 2015 REVI-IT A/S Statsautoriseret revisionsaktieselskab Henrik Paaske Statsautoriseret revisor Martin Brogaard Nielsen It-revisor, CISA, adm. direktør REVI-IT A/S Side 13 af 19

14 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf Den følgende oversigt er udformet for at skabe en forståelse for effektiviteten af de kontroller, som WWI A/S har implementeret. Vores test af funktionaliteten har omfattet de kontroller, som vi har vurderet nødvendige for at kunne opnå en høj grad af sikkerhed for, at de anførte kontrolmål har været opnået i perioden til Vi har således ikke nødvendigvis testet alle de kontroller, som WWI A/S har nævnt i sin beskrivelse i afsnit 2. Kontroller, udført hos WWI A/S kunder, er herudover ikke omfattet af vores erklæring idet kundernes egne revisorer må foretage denne gennemgang og vurdering. Vi har udført vores tests af kontroller hos WWI A/S via følgende handlinger: Metode Forespørgsel Observation Inspektion Genudførelse af kontrol Overordnet beskrivelse Interview, altså forespørgsel af udvalgt personale hos virksomheden angående kontroller Observation af hvordan kontroller udføres Gennemgang og stillingtagen til politikker, procedurer og dokumentation vedrørende kontrollers udførelse. Vi har selv eller observeret en genudførelse af kontroller med henblik på at verificere, at kontrollen fungerer som forventet. Beskrivelse og resultat af vores tests ud fra de testede kontroller fremgår af de efterfølgende skemaer. I det omfang vi har konstateret væsentlige svagheder i kontrolmiljøet eller afvigelser her fra, har vi anført dette. REVI-IT A/S Side 14 af 19

15 Risikovurdering og -håndtering Risikovurdering 4.1 Formålet er at sikre, at virksomheden periodisk fortager en analyse og vurdering af it-risikobilledet Vi har forespurgt på løbende vurdering af it-risikoen. Vi har inspiceret dokumentation for periodisk gennemgang af risikobilledet. IT-sikkerhedsstyrring It-sikkerhedspolitik 5.1 Formålet er at sikre, at der gives retningslinjer for og understøtte informationssikkerheden i overensstemmelse med forretningsmæssige krav og relevante love og forskrifter Vi har forespurgt på udarbejdelsen af it-sikkerhedspolitik. Vi har overordnet inspiceret politikken. Vi har endvidere forespurgt på dokumentation for revurdering og medarbejdernes kendskab til politikken. Organisering af informationssikkerhed Intern organisering 6.1 Formålet er at sikre, at der etableres et ledelsesmæssigt grundlag for at kunne igangsætte og styre implementeringen og driften af informationssikkerhed i organisationen. Vi har forespurgt på tildeling af ansvar for it-sikkerheden. Vi har endvidere forespurgt på opretholdelse af funktionsadskillelse. Vi har inspiceret dokumentation for funktionsadskillelse. Mobile enheder og fjernarbejdspladser 6.2 Formålet er at sikre fjernarbejdspladser og brugen af mobilt udstyr. Vi har forespurgt på sikring af ekstern adgang til driftssystemerne. Vi har endvidere inspiceret dokumentation for anvendelse af løsning. Sikkerhed i forhold til HR Inden ansættelse 7.1 Formålet er at sikre, at medarbejdere og kontrahenter forstår deres ansvar og er egnede til de roller, de er i betragtning til Vi har forespurgt på formalisering af ansættelsesforhold, samt aftale om ansvar og tavshedspligt. Vi har stikprøvevis inspiceret dokumentation for formalisering. REVI-IT A/S Side 15 af 19

16 Under ansættelse 7.2 Formålet er at sikre, at medarbejdere og kontrahenter er bevidste om og lever op til deres informationssikkerhedsansvar Vi har forespurgt på beskrivelse af ledelsen ansvar i forbindelse med ansættelse. Vi har stikprøvevis inspiceret dokumentation for ledelsens løbende kommunikation til medarbejderne i forhold til it-sikkerheden. Styring af aktiver Ansvar for aktiver 8.1 Formålet er at sikre, at organisationens aktiver defineres og der defineres passende Vi har forespurgt på dokumentation af server og netværk. Vi har stikprøvevis inspiceret dokumentationen med henblik på at sikre, at den er opdateret. Vi har endvidere forespurgt på tildelingen af ejerskab af aktiver og processer. Vi har stikprøvevis inspiceret dokumentation for tildeling. Mediehåndtering 8.3 Formålet er at sikre hindring af uautoriseret offentliggørelse, ændring, fjernelse eller destruktion af information lagret på medier. Vi har forespurgt på politik for bortskaffelse af medier. Der har ikke været destruktion og bortskaffelse af hardware i perioden. konstateret i øvrigt. Adgangskontrol Forretningskrav til adgangskontrol 9.1 Formålet er at sikre, at adgangen til information og informationsbehandlingsfaciliteter begrænses Vi har forespurgt på politik for administration af adgangen. Administration af brugeradgange 9.2 Formålet er at sikre adgang for autoriserede brugere og forhindre uautoriseret adgang til systemer og tjenester Brugeransvar 9.3 Formålet er at gøre brugere ansvarlige for at sikre deres autentifikationsinformation Vi har forespurgt på procedurer for brugeradministration. Vi har stikprøvevis inspiceret dokumentation for anvendelse og udførelse. Vi har forespurgt på politik for anvendelsen af kodeord. Vi har endvidere stikprøvevis inspiceret dokumentation for kvalitetssikring af kodeord. REVI-IT A/S Side 16 af 19

17 Kontrol af adgang til Systemer og data 9.4 Formålet er at sikre, at uautoriseret adgang til systemer og applikationer forhindres. Vi har forespurgt på sikring af adgang til data. Vi har endvidere stikprøvevis kontrolleret konfigurationerne. Fysiske og miljømæssige sikringer Sikre områder 11.1 Formålet er at sikre hindring af uautoriseret fysisk adgang til samt beskadigelse af og forstyrrelse af organisationens information og informationsbehandlingsfaciliteter Vi har inspiceret de fysiske rammer for WWI A/S' drift med henblik på at identificere betryggende sikring af de fysiske rammer. Udstyr 11.2 Formålet er at undgå tab, skade, tyveri eller kompromittering af aktiver og drifts-afbrydelse i organisationen Vi har inspiceret serverrummet hos WWI A/S med henblik på at identificere betryggende forhold med hensyn til placeringen af driftssystemerne. Vi har forespurgt på dokumentation for udførsel af service og vedligehold af køl, brand og strømforsyning. Vi har endvidere stikprøvevis inspiceret dokumentation for anvendelse af automatisk låsning af computere ved inaktivitet. Sikkerhed i forbindelse med drift Operationelle procedurer og ansvarsområder 12.1 Formålet er at sikre korrekt og sikker drift af informationsbehandlingsfaciliteter. Vi har forespurgt på formelle driftsprocedurer. Vi har stikprøvevis inspiceret dokumentation for deres anvendelse. Vi har forespurgt på overvågning af driftsmiljøet. Vi har endvidere forespurgt på dokumentation for overvågning, og har observeret udførslen af manuelle kontroller. Beskyttelse mod Malware 12.2 Formålet er at sikre, at information og informationsbehandlingsfaciliteter er beskyttet mod malware Vi har forespurgt på anvendelsen af anti-malware. Vi har stikprøvevis kontrolleret anvendelsen. REVI-IT A/S Side 17 af 19

18 Backup 12.3 Formålet er at beskytte mod tab af data Logning og overvågning 12.4 Formålet er at registrere hændelser og generere bevis. Styring af tekniske sårbarheder 12.6 Formålet er at sikre, at udnyttelse af tekniske sårbarheder forhindres. Vi har forespurgt på anvendelse af backup. Vi har inspiceret løsningen med henblik på at kontrollere konfigurationen af backupløsningen. Vi har endvidere inspiceret både den primære, og sekundære lokalitet for opbevaring af backupfiler. Ydermere har vi stikprøvevis inspiceret, dokumentation for test af anvendelighed af backup. Vi har forespurgt på anvendelsen af logning. Vi har observeret genudførelse af kontrol og anvendelighed af logdata. Vi har stikprøvevis inspiceret dokumentation for konfigurationen og opbevaring af log i perioden. Vi har stikprøvevis inspiceret systemer med henblik på at kontrollere rettidig installation af sikkerhedsopdateringer. Kommunikationssikkerhed Styring af netværkssikkerheden 13.1 Formålet er at sikre beskyttelse af informationer i netværk og af understøttende informationsbehandlingsfaciliteter. Vi har forespurgt på anvendelsen af firewall, og har stikprøvevis inspiceret dokumentation for anvendelse. Vi har endvidere forespurgt på opdeling af netværket, og stikprøvevis inspiceret dokumentation for opdeling. Leverandørforhold Informationssikkerhed i leverandørforhold 15.1 Formålet er at opretholde et aftalt niveau af informationssikkerhed og levering af ydelser i henhold til leverandøraftalerne. Vi har forespurgt på aftaler om eksternes overholdelse af itsikkerhedspolitikken hos WWI A/S. Vi har endvidere inspiceret dokumentation for formalisering af aftalerne. REVI-IT A/S Side 18 af 19

19 Styring af serviceydelser fra tredjepart 15.2 Formålet er at sikre, at aftalt niveau og ændringer i levering af ydelser kontrolleres. Vi har forespurgt på betryggende tilsyn med serviceleverandører. Vi har observeret genudførsel af kontrol i forbindelse med besøg hos serviceleverandør. Styring af sikkerhedshændelser Styring af informationssikkerhedsbrud og forbedringer 16.1 Formålet er at sikre ensartet og effektiv metode til styring af informationssikkerhedsbrud, herunder kommunikation om sikkerhedshændelser og -svagheder. Vi har forespurgt på ansvar for styring af hændelser og procedurer. Vi har stikprøvevis inspiceret dokumentation for kommunikation af itsikkerhedsrelevante problemer. Vi har endvidere stikprøvevis inspiceret dokumentation for vurdering og læring af it-sikkerhedsmæssige forhold. Informationssikkerhedsaspekter ved beredskabsstyring Beredskab i forhold til informationssikkerheden 17.1 Formålet er at sikre, at informationssikkerhed er forankret i organisationens ledelsessystemer for beredskabs- og reetableringsstyring. Vi har forespurgt på udarbejdelsen af beredskabsplan. Endvidere har vi forespurgt til nødprocedurer og periodisk test af beredskabsplanen. Redundans 17.2 Formålet er at sikre tilgængelighed af informationsbehandlingsfaciliteter Vi har forespurgt på redundans af centrale driftsmæssige løsninger. Vi har inspiceret, dokumentation for anvendelse af løsningerne. Overensstemmelse Review af informationssikkerheden 18.2 Formålet er at sikre, at informationssikkerhed er implementeret og drives i overensstemmelse med organisationens politikker og procedurer. Vi har forespurgt på periodisk kontrol af konfigurationen af de tekniske systemer. Vi har endvidere stikprøvevis kontrolleret dokumentation for anvendelse. REVI-IT A/S Side 19 af 19

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

WWI A/S CVR-nr.:

WWI A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af deres hostingydelser i perioden 01-12-2015 til 30-11-2016 ISAE 3402-II

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Zentura IT A/S CVR-nr. 32 89 08 06

Zentura IT A/S CVR-nr. 32 89 08 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

any.cloud A/S CVR nr.: DK 31161509

any.cloud A/S CVR nr.: DK 31161509 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-12-2013 til 30-11-2014 any.cloud A/S CVR nr.:

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-12-2014 til 30-11-2015 ISAE 3402-II any.cloud

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

SYSTEMHOSTING A/S CVR nr.: 25814606

SYSTEMHOSTING A/S CVR nr.: 25814606 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af hosting-platform i perioden 01-01-2014 til 31-12-2014 SYSTEMHOSTING

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

SYSTEMHOSTING A/S CVR nr.: 25 81 46 06

SYSTEMHOSTING A/S CVR nr.: 25 81 46 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af hosting-platform i perioden 01-01-2015 til 31-12-2015 SYSTEMHOSTING

Læs mere

ISAE 3402 TYPE 2 ERKLÆRING

ISAE 3402 TYPE 2 ERKLÆRING JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING JUNI 2015 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013 Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

NaviPartner København ApS CVR-nr.: 21 38 21 91

NaviPartner København ApS CVR-nr.: 21 38 21 91 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og effektivitet i forbindelse med drift af Microsoft Dynamics NAV hosting-platform i perioden 01-10-2014 til 30-09-2015

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING APRIL 2014 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING FEBRUAR 2015 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

ISAE 3402-II NORRIQ Danmark A/S. CVR nr.: Marts 2016

ISAE 3402-II NORRIQ Danmark A/S. CVR nr.: Marts 2016 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-01-2015 til 31-12-2015 ISAE 3402-II NORRIQ Danmark

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker 5. 1. Retningslinjer for styring af informationssikkerhed 5. 1. 1. Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2014 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

any.cloud A/S CVR-nr.:

any.cloud A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelsen i perioden 01-12-2015 til 30-11-2016 ISAE 3402-II any.cloud

Læs mere

Zentura IT A/S CVR-nr.:

Zentura IT A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med salg og drift af hostingplatform i perioden 01-11-2015 til 31-10-2016 3402-II

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S plus revision skat rådgivning Front-data Danmark A/S ISAE 3402 type 2 erklæring Februar 2013 Revisionserklæring af de generelle it-kontroller for driften af Front-data Danmarks hosting-aktiviteter. Kalvebod

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Sotea A/S. CVR nr.: 10 08 52 25. Marts 2016

Sotea A/S. CVR nr.: 10 08 52 25. Marts 2016 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-02-2015 til 31-01-2016 Sotea A/S CVR nr.: 10

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

FRONT-DATA DANMARK A/S

FRONT-DATA DANMARK A/S MARTS 2014 FRONT-DATA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-data Danmarks hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter www.pwc.dk Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Januar 2016 Indhold 1. Ledelsens udtalelse 3 2.

Læs mere

A/S it-drift og hostingaktiviteter

A/S it-drift og hostingaktiviteter www.pwc.dk Januar 2015 Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle itkontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Indhold 1. Ledelsens erklæring 3 2. Outforce

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Sotea ApS CVR nr.: DK 10085225

Sotea ApS CVR nr.: DK 10085225 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-08-2014 til 31-01-2015 Sotea ApS CVR nr.: DK 10085225

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31.

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31. Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til drifts- og hosting-ydelser for 1. januar 2014 til 31. december 2014 Indholdsfortegnelse Ledelsens

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Guide til SoA-dokumentet - Statement of Applicability. August 2014 Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Dataklassificering på Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Indeks Indeks... 2 Introduktion... 3 Formål... 3 Interessenter... 3 Dokument struktur... 3 Revision af dokumentet...

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad

Læs mere

It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud. Region Midtjylland 2010.

It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud. Region Midtjylland 2010. It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud Region Midtjylland 2010. 1 1 Indledning 1.1 Versionshistorie Version Dato Ansvarlig Status Beskrivelse 1.0 2010-05-04 HENSTI Lukket Definition

Læs mere

Sikkerhed og Revision 2015

Sikkerhed og Revision 2015 Sikkerhed og Revision 2015 Erfaringer fra It-tilsynet med virksomhedernes brug af risikovurderinger REAL kontoret 3. sep. 2015 Velkommen til Århusgade! Fra Finanstilsynets hjemmeside Agenda Hjemmel It-tilsynets

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så blev den nye version af ISO 9001 implementeret. Det skete den 23. september 2015 og herefter har virksomhederne 36 måneder til at implementere de nye krav i standarden. At

Læs mere

Underbilag Databehandlerinstruks

Underbilag Databehandlerinstruks Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

Kl Indledning v. Lone Strøm, Rigsrevisor

Kl Indledning v. Lone Strøm, Rigsrevisor Kl. 13.00-13.10 Indledning v. Lone Strøm, Rigsrevisor Kl. 13.10-13.40 Hvad viser Rigsrevisionens beretning? Hvad viser beretningen om styring af it-sikkerhed hos it-leverandører? v. Claus Bobjerg Juul,

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87 Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system

Læs mere

SLA Service Level Agreement

SLA Service Level Agreement SLA Service Level Agreement Indholdsfortegnelse 1 Service Level Agreement... 1 2 Driftsvindue og oppetid... 1 2.1 Servicevindue... 1 2.1.1 Ekstraordinær service... 1 2.1.2 Patch Management... 1 2.1.3 Åbningstid...

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere