WWI A/S CVR-nr.:

Transkript

1 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af deres hostingydelser i perioden til ISAE 3402-II WWI A/S CVR-nr.: Januar 2017 REVI-IT A/S statsautoriseret revisionsaktieselskab Jens Kofods Gade København K Tlf info@revi-it.dk revi-it.dk CVR-nr

2 Indholdsfortegnelse Afsnit 1: WWI A/S ledelseserklæring... 1 Afsnit 2: Afsnit 3: WWI A/S beskrivelse af kontroller i forbindelse med drift af deres hostingydelse... 2 Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf REVI-IT A/S

3 Afsnit 1: WWI A/S ledelseserklæring Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt WWI A/S hostingydelser, og deres revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt, ved vurdering af risiciene for væsentlig fejlinformation i kundernes regnskaber. WWI A/S bekræfter, at: (a) Den medfølgende beskrivelse, i afsnit 2, giver en retvisende beskrivelse af WWI A/S hostingydelser til kunder i hele perioden fra til Kriterierne for denne udtalelse var, at den medfølgende beskrivelse: (i) (ii) redegør for, hvordan systemet var udformet og implementeret, herunder redegør for: de typer af ydelser, der er leveret, når det er relevant de processer i både it- og manuelle systemer, der er anvendt til at igangsætte, registrere, behandle og om nødvendigt korrigere transaktionerne samt overføre disse til de rapporter, der er udarbejdet til kunder relevante kontrolmål og kontroller, udformet til at nå disse mål kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af brugervirksomheder, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen og rapporteringen af kunders transaktioner indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden fra til (iii) ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne system under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt ved systemet, som den enkelte kunde måtte anse vigtigt efter deres særlige forhold (b) de kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra til Kriterierne for denne udtalelse var, at: (i) (ii) (iii) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål, og kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra til REVI-IT A/S Side 1 af 26

4 Afsnit 2: WWI A/S beskrivelse af kontroller i forbindelse med drift af deres hostingydelse WWI A/S er et 100 % danskejet IT-selskab med fødderne godt plantet i den jyske muld. Dette kan ikke kun ses på vore adresser, men skinner igennem i alt hvad vi tænker og gør. Vi har siden 1993 leveret seriøse og konkurrencedygtige IT-løsninger. Hos os er den rigtige løsning omdrejningspunktet for samarbejdet med vore kunder. Vi sætter en ære i, at give os den rette tid til at forstå behovet og få løsningen fulgt helt til døren! Startskuddet var salg af adresser, hjemmesider (hosting) og hvad der ellers rørte sig i den første begyndelse for internettets udbredelse til danske virksomheder. I dag udgør hosting stadig en solid grundkerne i virksomheden, men kompetenceniveauet er nu udvidet så hele spektret inden for IT dækkes - derfor kalder vi os også IT Totalleverandør! Vore kompetencer er bl.a.: Konsulentassistance / rådgivning Hosting og outsourcing Sikkerhedsløsninger Kommunikationsløsninger Salg af hardware / software Vi er medlemmer af BFIH, og ser det derigennem som en vigtig opgave at være med til at højne kvalitet, stabilitet og gennemsigtighed i et hostingmarked der er præget af mangeartede løsninger af varierende kvalitet og stabilitet. Vores målsætning er at være virksomhedens foretrukne samarbejdspartner med alt inden for IT. Dette skal opnås gennem god kundeservice, stabil og seriøs drift samt højt og professionelt kompetenceniveau. Side 2 af 26

5 Risikoanalyse og håndtering Ledelsen godkender og revurderer it-sikkerhedspolitikken minimum hvert år, dog altid ved større organisatoriske ændringer med indvirkning på anvendelsen af it i virksomheden. IT-driftsudvalget sikrer, at den overordnede it-sikkerhedspolitik er kommunikeret til alle medarbejdere, samarbejdspartnere samt øvrige personer, der er involveret i anvendelsen af it i virksomheden. It driftsudvalget reviderer og godkender 1 gang årligt risikoanalysen. Ved organisatoriske ændringer revideres og godkendes den ekstraordinært. IT-driftsudvalget sikrer, at sikringsforanstaltninger udvælges på basis af risikoanalysen. Organisering af informationssikkerhed, ansvar og retningslinjer Der afholdes løbende møder i IT-driftsudvalget med fast agenda hvor punkterne fra it-sikkerhedspolitikken vurderes og tages stilling til. Risikoanalysen opdateres og godkendes én gang årligt på driftsudvalgsmøde med mindre der har været organisatoriske ændringer herved revideres den umiddelbart. Organisation og ansvar Side 3 af 26

6 Organisatorisk er ansvar inddelt efter roller primært følgende: ledelse, it-driftsudvalg og systemejer It-driftsudvalget har såfremt det er relevant - ansvaret for kontakt til myndighederne vedrørende emner inden for it-sikkerhedsområdet. Vi er som hostingleverandør medlem af BFIH Brancheforeningen for IT-hostingvirksomheder i Danmark. Medarbejdere er medlem af relevante interessegrupper inden for deres arbejdsfelt. Medarbejdersikkerhed Screening Ved jobsamtalen kvalificeres den faglige viden, og stikprøve vis kontrolleres opgivne referencer. Ansættelsesforholdet Der er i ansættelseskontrakten angivet reference til at medarbejderen skal følge de til enhver tid gældende retningslinjer. Medarbejdere orienteres løbende på møder samt via omkring gældende itsikkerhedspolitik og procedurer, samt orienteres når disse opdateres og ændres. Medarbejdere deltager herudover også løbende i relevant uddannelse. Ansættelsens ophør Ledelsen sikrer, at medarbejdere ved fratrædelse informeres om deres pligter bl.a., med reference til tavshedserklæring og juridiske regler. Ligeledes sikrer ledelsen at det bliver meddelt it-driftsudvalget når medarbejdere eller anden form for personale tilknyttet virksomheden fratræder virksomheden, således rettigheder og privilegier kan inddrages. Styring af informationsrelaterede aktiver Der vedligeholdes fortegnelsen med oversigt over udstyr placeret i datacenteret. Heri er angivet placering, ejerskab og andre relevante oplysninger for aktiverne. Der forefindes ligeledes fortegnelse over de menneskelige ressourcer. Disse findes som bilag til IT-sikkerhedshåndbogen. It-driftsudvalget godkender sammen med ledelsen væsentlige indkøb af IT-udstyr og software, samt udpeger systemejer for dette. Klassifikation af informationer og data Data og informationer er inddelt i 3 klassificeringer. Kundedata, WWI A/S og Intern WWI. Alle typer data behandles med omhu jf. It-sikkerhedshåndbogen. Forsendelse og opbevaring af fortrolige data må kun foregå med stærk kryptering, og efter aftale med dataejer. Destruktion af datamedier må kun foregå med garanti for total destruktion af medier, og med dokumentation fra bortskafferen. Side 4 af 26

7 Adgangsstyring Adgangsrettigheder tildeles udelukkende ud fra et arbejdsbetinget behov. Brugere oprettes som personlige brugeridentiteter. Der vedligeholdes en brugeroversigt for relevante systemer, og denne oversigt revideres løbende for at sikre dens gyldighed. Er der tale om servicebrugere, er muligheden for egentlig log-on så vidt muligt deaktiveret. I tilfælde af ændringer/nedlæggelse/spærring af brugeradgang sørger systemejer for at udføre den pågældende opgave. Der opsamles log på systemer for autoriseret og uautoriserede adgangsforsøg. Logs gennemgås periodiske for autoriserede / uautoriserede logins fra brugere med administrative rettigheder. Adgangsrettigheder gennemgås løbende for relevante systemer og det kontrolleres at der kun er de relevante adgange tildelt. Rettigheder og brugeradgang inddrages for medarbejdere eller anden form for personale tilknyttet virksomheden ved endt samarbejde. Adgangskoder er fortrolige og behandles med omhu. Systemdokumentation er tilgængelig for de relevante medarbejdere og sikret via adgangskontrol. Netværket er opdelt i segmenter samt beskyttet af firewalls for at opnå den nødvendige sikkerhed for systemerne. Sikkerheden er tilpasset den enkelte kundeløsning eller det pågældende system, ligesom adgang til de pågældende systemer kun tildeles ud fra et arbejdsmæssigt behov. Der er etableret automatisk passwordpolicy der systemmæssigt tvinger brugere til at overholde den gældende politik samt sikre regelmæssig skift af password. Til særligt sikrede systemer er der endvidere etableret 2- faktorvalidering. Diagnose- og konfigurationsporte kan kun anvendes ved fysisk tilstedeværelse ved det pågældende udstyr, og er således sikret af den almindelige adgangskontrol. Systemer der kan sidestilles med samme adgangsniveau uden fysisk tilstedeværelse er beskyttet af adgangskontrol med 2-faktorvalidering. Kryptografi Alle medarbejdere arbejder via krypterede VPN forbindelser når der benyttes mobil/opkobling udefra. Kunders datakommunikation til WWI A/S foregår alene krypteret, bort set fra s. Kunder kan vælge at benytte krypterede s hvis der er behov for dette. Fysisk sikkerhed Adgang til sikre områder er begrænset af automatisk adgangskontrol og alarm hvor hver enkelt medarbejder er oprettet med egen personlig adgangskode/nøglebrik. Generel adgang til bygning/kontor kræver adgangskode og kodebrik. Side 5 af 26

8 Kun personer med arbejdsrelateret behov for at kunne tilgå datacentret har adgang her til. Der er ligeledes etableret videoovervågning af området, samt sikret udeareal hvor eksternt udstyr som dieselgenerator og køling er placeret. Eksternt udstyr er placeret bag aflåst og hærkværkssikret indhegning. Der føres log over op låsning af døre, samt fra og tilkobling af alarm og zoner. Loggen for adgang er sikret jævnfør gældende sikkerhedspolitikker. Alle driftssystemer er placeret i serverrummet. Køle- og brandslukningsanlæg til sikring af driftsfaciliteterne testes og serviceres jævnligt. Alarmer fra serverrummet sendes automatisk til døgnbemandet kontrolcentral. It-aktiver, der understøtter kritiske processer, er forsynet med UPS og diesel generator til fortsat drift i tilfælde af strømsvigt. Hvilket er tilsvarende for køleanlæg, brandslukning samt rum-overvågning. It-driftsudvalget følger min. 1 gang årligt op på servicering af nævnte udstyr. Der er fast punkt på agendaen til it-driftsudvalgsmøder hvor rapporter mv. gennemgås og kontrolleres. Der udføres løbende inspektion af tekniske sikringsforanstaltninger, samt andre relevante systemer i forbindelse med driften i serverrummet. Denne inspektion dokumenteres og logføres. Alle lagringsmedier slettes (almindelig re-formatering er ikke tilstrækkelig) eller fysisk destrueres inden genbrug eller bortskaffelse. Der er etableret systempolicy der automatisk sørger for at låse og slå pauseskærm til på alle enheder jævnføre den gældende sikkerhedspolitik, således disse sikres hvis de ikke er overvåget. Ligeledes holdes skriveborde ryddelige for fortrolige dokumenter og materiale. Driftssikkerhed Procedurer og drift It-driftsudvalget tager stilling til relevante procedurer. Procedurer findes tilgængeligt for relevant personale. Der udføres Change Management på relevante systemer og udstyr. Der er defineret følgende typer af Changes: Projekt, Minor og Major. Nærmere beskrivelse af disse er tilgængelig i IT-sikkerhedshåndbogen. Der forefindes change-log på relevant udstyr/systemer. It-driftsudvalget foretager løbende en vurdering af kapacitetsbehovet for driften. Herudover udarbejder ledelsen minimum én gang årligt en beskrivelse af det kommende års forventelige forretningsmæssige itressourcebehov. Bærbare computere opdateres automatisk med beskyttelse selv om der ikke kan kommunikeres med de centrale servere, og medarbejderes egne PC'ere er underlagt den til enhver tid gældende IT-sikkerhedspolitik På alle relevante servere og maskiner er der installeret antivirus for at sikre mod udefra kommende virus/malware/trusler. Side 6 af 26

9 Sikkerhedskopiering Der foretages fuld kopiering af alle servere/data jf. gældende SLA. Særligt udvalgte systemer kan have flere restorepoints. Kunder kan vælge specialtilpasset backupperioder. Backup foretages i 2 omgange. Primær backup til diskbaseret system i datacentret. Herefter replikeret backup foretaget til diskbaseret system på sekundær site via dedikeret fiberforbindelse. Backuprapport gennemgås løbende for fejl og andre relevante informationer, og der føres log over backuprapporter og hændelser. Der foretages løbende restore test. Der gendannes vilkårlig data og det kontrolleres at data intakt og ser ud som forventet. Der foretages logføring af restore test. Overvågning, logning og netværk Netværk og netværksudstyr overvåges proaktiv via system der løbende kan opsamle data om performance, samt reagere på fejl fra udstyret. Driftsmedarbejdere orienteres automatisk via eller SMS ved fejl. Systemer overvåges proaktivt for fejl. Overvågningen kontrolleres løbende for fejl så der kan følges op på fejl og indmeldinger. Eventuelle åbne fejl leveres i samt internt system og præsenteres på oversigtsskærm i kontor for synliggørelse for driftsmedarbejdere. Afhængig af typen af fejl, tager support eller systemejer sig af fejlen og sørger for den bliver rettet. Support eller systemejer rapporterer til it-driftsudvalget hvis fejlen er af en type hvor det findes relevant at tage stilling til hvilke foranstaltninger der kan etableres for at forhindre fejlen i at opstå igen. Systemer og netværk overvåges ligeledes proaktivt på relevante parametre for forsøg på misbrug. Logdata gemmes og sikres, og relevante logdata gennemgås løbende. Systemer og netværksudstyr synkroniserer automatisk tiden via NTP-server fra internettet. Patching og andre opgraderinger udføres som fastlagt i gældende procedurer. Disse dokumenteres ligeledes i Change Management. Via vores medlemskab af BFIH, er vi forpligtede til at sikre, at kritiske sikkerhedsopdateringer implementeres inden for 2 måneder efter frigivelse. Dette sikrer vi ved, at vi efter fastlagte procedurer afvejer alle væsentlige opdateringer og implementerer dem inden for det pågældende tidsrum. Netværket er opdelt i segmenter samt beskyttet af firewalls for at opnå den nødvendige sikkerhed for systemerne. Eksterne samarbejdspartnere og leverandører I samarbejde med it-driftsudvalget har systemejeren ansvaret for, at der udarbejdes en risikoanalyse i forbindelse med samarbejde med eksterne parter, der har adgang til virksomhedens it-aktiver. Systemejeren har ligeledes ansvaret for, at alle formelle samarbejdsaftaler med eksterne parter indeholder de dele af it-sikkerhedspolitikken med tilhørende regler, der gør sig gældende for samarbejdet. It-driftsudvalget gennemgår minimum hver 6. måned rapporter fra eksterne serviceleverandører omhandlende hændelser, problemer, fejl, nedbrud og logning. Der indhentes ligeledes revisionserklæring hvor dette er relevant. Side 7 af 26

10 Der er fast punkt på agendaen til it-driftsudvalgsmøder hvor rapporter mv. gennemgås og kontrolleres. På agendaen er ligeledes fastlagt punkt hvor kapacitetsbehov behandles. Styring af sikkerhedsbrud Sikkerhedshændelser behandles og evalueres som et fast punkt på It-driftsudvalgets møder. Der føres en sikkerhedshændelseslog der behandler både tekniske samt generelt sikkerhedsmæssige hændelser. Alle medarbejdere og øvrige personer, der gør brug af it-systemerne, skal indrapportere itsikkerhedshændelser umiddelbart efter, at disse er Indrapporteringen skal foregå direkte til et medlem af It-driftsudvalget. Sikkerhedshændelser klassificeres i følgende 3 kategorier: Tilgængelighed eks. nedbrud på driftsfaciliteter Integritet eks. manipulationer på systemer/netværk Fortrolighed eks. uautoriserede har fået adgang til data Sikkerhedshændelser prioriteres således: Minor Mindre sikkerhedsbrud der ikke er kritisk eller kræver en akut løsning. Medium Kræver håndtering akut. Major Kræver iværksættelse af beredskabsplanen. Alle sikkerhedshændelser dokumenteres ud fra en fastlagt skabelon, og der foretages løbende opfølgning på hændelser i It-driftsudvalget. It-driftsudvalget vurderer nødvendigheden for at indhente data fra logs fra relevante systemer når dette findes relevant. Beredskabsstyring Der forefindes en ledelsesgodkendt beredskabsplan. Denne plan er tilgængelig på papir og i elektronisk form distribueret. Der forefindes ligeledes en ledelsesgodkendt risikoanalyse. Gennemgang og revidering af beredskabsplanen er en fast del af agendaen for it-driftsudvalgets fastlagte møder. Test af beredskabsplanen foretages løbende. Redundans I det generelle netværksdesign er der etableret redundant internetforbindelse der først mødes i switch. Herudover er der i infrastrukturen indarbejdet yderligere redundans hvor dette er relevant. Overensstemmelse med lovbestemte krav WWI A/S er ikke underlagt særlig lovgivning i forbindelse med drift af hostingsystemerne. Vores kunder kan dog være underlagt dette, og her vil WWI A/S understøttelse af dette være aftalt særskilt. Side 8 af 26

11 Der udsendes jævnligt orienterende til alle medarbejdere med henblik på orientering omkring WWI A/S sikkerhedspolitik samt It-sikkerhedshåndbogen og dertilhørende relaterede procedurer og emner. Én gang årligt lader vi os undergå uvildig IT-revision med henblik på afgivelse af en 3402 erklæring for overholdelse af kontrollerne nævnt i denne beskrivelse. I kraft af, at vi er medlemmer af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark), skal vi årligt kunne bevise at vi følger rammerne inden for ISO 27002:2014. Omtalte revisorerklæring sikrer dette, ligesom BFIH ønsker ekstern revisors bekræftelse på vores overholdelse af foreningens øvrige krav. Disse omhandler forsikringsforhold, gennemsigtighed i forretningsvilkår, selskabsretlige forhold for virksomheden mv. Disse bekræftelser fra revisor er hjælp til BFIH s certificering af WWI A/S. Komplementerende kontroller etableret hos vores kunder WWI A/S kunder er, med mindre andet er aftalt, selv ansvarlig for at etablere forbindelse til WWI A/S servere. Dette indbefatter, at kunderne selv er ansvarlige for at have en fungerende og tilstrækkelig internetforbindelse samt evt. opsætning og test af alternative internetforbindelser, skulle den primære internetforbindelse fejle. WWI A/S kunder er ansvarlige for periodisk gennemgang af kundens egne brugerkonti. WWI A/S kunder er ansvarlige for at ajourføre liste over sammenhæng mellem brugerkonti og ansatte/maskiner. WWI A/S kunder er ansvarlige for, at deres brugerkonti kun benyttes på deres godkendte personer/maskiner. Skulle der opstå tvivl om kompromitterede brugerkonti ved f.eks. tyveri af PC, er det kundens ansvar at informere WWI A/S. Side 9 af 26

12 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet Til ledelsen hos WWI A/S, deres kunder, og deres revisorer. Omfang Vi har fået til opgave at afgive erklæring om WWI A/S beskrivelse, som er gengivet i afsnit 2. Beskrivelsen, som i afsnit 1 er bekræftet af WWI A/S ledelse, dækker virksomhedens behandling af kunders transaktioner på virksomhedens hostingydelser i perioden til , samt udformningen og funktionaliteten af de kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Vores konklusion udtrykkes med høj grad af sikkerhed. WWI A/S beskrivelse (afsnit 2) indeholder en række forhold som virksomheden skal leve op til jf. virksomhedens medlemskab af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark). Vores revision har omfattet disse forhold, og består udover de fysiske forhold, herunder server hardware, LAN, WAN og firewalls, af: hvorvidt WWI A/S implementerer kritiske sikkerhedsopdateringer inden for 2 måneder fra frigivelse hvorvidt WWI A/S kan retablere enheder i datacenter inden for 3 dage Hvorvidt WWI A/S lever op til BFIH s krav for mindstemål for god hosting. WWI A/S ansvar WWI A/S er ansvarlig for udarbejdelsen af beskrivelsen (afsnit 2) og tilhørende udtalelse (afsnit 1), herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udtalelse er præsenteret. WWI A/S er herudover ansvarlig for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmål og for udformningen, implementeringen og effektiviteten af fungerende kontroller for at nå de anførte kontrolmål. REVI-IT A/S uafhængighed og kvalitetsstyring Vi har overholdt kravene til uafhængighed og andre etiske krav i IESBA s Etiske regler, som er baseret på grundlæggende principper om integritet, objektivitet, faglige kompetencer og fornøden omhu, fortrolighed samt professionel adfærd. Firmaet anvender ISQC 1 og opretholder derfor et omfattende system for kvalitetsstyring, herunder dokumenterede politikker og procedurer for overholdelse af etiske regler, faglige standarder samt gældende krav ifølge lov og øvrig regulering. REVI-IT A/S ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om WWI A/S beskrivelse (afsnit 2) og om udformningen og funktionaliteten af de kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi planlægger og udfører vores handlinger for at opnå en høj grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er retvisende, og at kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformede og fungerer effektivt. REVI-IT A/S Side 10 af 26

13 Opgaven med afgivelse af en erklæring med sikkerhed om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system og for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformede eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give en høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere en vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i afsnit 2. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør WWI A/S beskrivelse i afsnit 2 er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtige efter sine særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller afdække alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i WWI A/S beskrivelse i afsnit 2, og det er på den baggrund vores vurdering, (a) at beskrivelsen af kontroller, således som de var udformet og implementeret i hele perioden til , i alle væsentlige henseender er retvisende (b) at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformede i hele perioden fra til (c) at kontrollerne for de særlige krav, som er foranlediget af virksomhedens medlemskab af BFIH jf. beskrivelsen i kapitel 2, var hensigtsmæssigt udformede i hele perioden fra til (d) at de testede kontroller, som var de kontroller, der var nødvendige for at give en høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden til Beskrivelse af test af kontroller De specifikke kontroller, der er testet, samt arten, den tidsmæssige placering og resultater af disse tests fremgår i det efterfølgende hovedafsnit (afsnit 4). REVI-IT A/S Side 11 af 26

14 Tiltænkte brugere og formål Denne erklæring er udelukkende tiltænkt kunder, der har anvendt WWI A/S hostingydelse, og deres revisorer, som har en tilstrækkelig kompetence til at vurdere den medfølgende beskrivelse sammen med anden information, herunder information om kunders egne kontroller. Denne information tjener til opnåelse af en forståelse af kundernes informationssystemer, som er relevante for regnskabsaflæggelsen. København, 27. januar 2017 REVI-IT A/S Statsautoriseret revisionsaktieselskab Henrik Paaske Statsautoriseret revisor Martin Brogaard Nielsen It-revisor, CISA, CRISC, adm. direktør REVI-IT A/S Side 12 af 26

15 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf Den følgende oversigt er udformet for at skabe en forståelse for effektiviteten af de kontroller, som WWI A/S har implementeret. Vores test af funktionaliteten har omfattet de kontroller, som vi har vurderet nødvendige for at kunne opnå en høj grad af sikkerhed for, at de anførte kontrolmål har været opnået i perioden til Vi har således ikke nødvendigvis testet alle de kontroller, som WWI A/S har nævnt i sin beskrivelse i afsnit 2. Kontroller udført hos WWI A/S kunder er herudover ikke omfattet af vores erklæring idet kundernes egne revisorer må foretage denne gennemgang og vurdering. Vi har udført vores tests af kontroller hos WWI A/S via følgende handlinger: Metode Forespørgsel Observation Inspektion Genudførelse af kontrol Overordnet beskrivelse Interview, altså forespørgsel af udvalgt personale hos virksomheden angående kontroller Observation af, hvordan kontroller udføres Gennemgang og stillingtagen til politikker, procedurer og dokumentation vedrørende kontrollers udførelse Vi har selv udført eller har observeret en genudførelse af kontroller med henblik på at verificere, at kontrollen fungerer som forventet Beskrivelse og resultat af vores tests ud fra de testede kontroller fremgår af de efterfølgende skemaer. I det omfang vi har konstateret væsentlige svagheder i kontrolmiljøet eller afvigelser herfra, har vi anført dette. REVI-IT A/S Side 13 af 26

16 Risikovurdering og -håndtering Risikovurdering Kontrolmål: Formålet er at sikre, at virksomheden periodisk foretager en analyse og vurdering af it-risikobilledet. 4.1 IT-driftsudvalget reviderer og godkender 1 gang årligt risikoanalysen. Ved organisatoriske ændringer revideres og godkendes den ekstraordinært. IT-driftsudvalget sikrer, at sikringsforanstaltninger udvælges på basis af risikoanalysen. Vi har forespurgt til udarbejdelsen af en risikoanalyse, og vi har inspiceret den udarbejdede risikoanalyse. Vi har forespurgt til evaluering af itrisikoanalysen indenfor perioden, og vi har inspiceret dokumentation for, at it-risikoanalysen er gennemgået og godkendt af ledelsen i revisionsperioden. Informationssikkerhedspolitikker Retningslinjer for styring af informationssikkerhed Kontrolmål: Formålet er at sikre, at der gives retningslinjer for og understøttelse af informationssikkerheden i overensstemmelse med forretningsmæssige krav og relevante love og forskrifter. 5.1 IT-driftsudvalget sikrer, at den overordnede it-sikkerhedspolitik er kommunikeret til alle medarbejdere, samarbejdspartnere samt øvrige personer, der er involveret i anvendelsen af it i virksomheden. Der afholdes løbende møder i ITdriftsudvalget med fast agenda, hvor punkterne fra it-sikkerhedspolitikken vurderes og tages stilling til. Ledelsen godkender og revurderer it-sikkerhedspolitikken minimum hvert år, dog altid ved større organisatoriske ændringer med indvirkning på anvendelsen af it i virksomheden. Vi har forespurgt til udarbejdelsen af en informationssikkerhedspolitik, og vi har inspiceret dokumentet. Vi har forespurgt til periodisk gennemgang af informationssikkerhedspolitikken, og vi har inspiceret, at dokumentet er gennemgået i revisionsperioden. Vi har forespurgt til ledelsesgodkendelse af informationssikkerhedspolitikken, og vi har inspiceret dokumentation for ledelsesgodkendelse. REVI-IT A/S Side 14 af 26

17 Organisering af informationssikkerhed Intern organisering Kontrolmål: Formålet er at sikre, at der etableres et ledelsesmæssigt grundlag for at kunne igangsætte og styre implementeringen og driften af informationssikkerhed i organisationen. 6.1 Organisatorisk er ansvar inddelt efter roller. Adgangsrettigheder gennemgås løbende for relevante systemer, og det kontrolleres, at der kun er de relevante adgange tildelt. It-driftsudvalget har såfremt det er relevant - ansvaret for kontakt til myndighederne vedrørende emner inden for it-sikkerhedsområdet. Vi er som hostingleverandør medlem af BFIH Brancheforeningen for IT-hostingvirksomheder i Danmark. Medarbejdere er medlem af relevante interessegrupper inden for deres arbejdsfelt. Vi har forespurgt til tildeling af ansvar for informationssikkerheden, og vi har inspiceret dokumentation for tildelingen og vedligeholdelsen af ansvarsbeskrivelser. Vi har forespurgt til adskillelse af adgang i forhold til funktion, og vi har inspiceret dokumentation for differentieret adgang. Vi har forespurgt til kontakt med interessegrupper, og vi har inspiceret dokumentation for kontakt. Vi har forespurgt til hensyntagen til informationssikkerhed ved styring af projekter, og vi har stikprøvevis inspiceret projektforløb og verificeret, at der tages hensyn til informationssikkerhed. Mobilt udstyr og fjernarbejdspladser Kontrolmål: Formålet er at sikre fjernarbejdspladser og brugen af mobilt udstyr. 6.2 Alle medarbejdere arbejder via krypterede VPN-forbindelser, når der benyttes mobil/opkobling udefra. Vi har forespurgt til styring af mobile enheder, og vi har inspiceret løsningen. Vi har forespurgt til sikring af fjernarbejdspladser, og vi har inspiceret løsningen. Medarbejdersikkerhed Før ansættelsen Kontrolmål: Formålet er at sikre, at medarbejdere og kontrahenter forstår deres ansvar og er egnede til de roller, de er i betragtning til. 7.1 Ved jobsamtalen kvalificeres den faglige viden, og stikprøvevis kontrolleres opgivne referencer. Der er i ansættelseskontrakten angivet reference til, at medarbejderen skal følge de til enhver tid gældende retningslinjer. Vi har forespurgt til procedure for ansættelse af nye medarbejdere, og vi har inspiceret proceduren. Vi har stikprøvevis inspiceret dokumentation for, at proceduren er fulgt. Vi har forespurgt til formaliseringen af ansættelsesforhold, og vi har stikprøvevis inspiceret indholdet af kontrakter. REVI-IT A/S Side 15 af 26

18 Under ansættelsen Kontrolmål: Formålet er at sikre, at medarbejdere og kontrahenter er bevidste om og lever op til deres informationssikkerhedsansvar. 7.2 Organisatorisk er ansvar inddelt efter roller primært følgende: ledelse, it-driftsudvalg og systemejer. Medarbejdere orienteres løbende på møder samt via omkring gældende it-sikkerhedspolitik og procedurer, samt orienteres når disse opdateres og ændres. Medarbejdere deltager herudover også løbende i relevant uddannelse. Vi har forespurgt til ledelsens ansvar for videreformidling af politikker og procedurer, og vi har inspiceret dokumentation for tildeling af ansvar. Vi har forespurgt til videreuddannelse af personale, og vi har stikprøvevis inspiceret dokumentation for videreuddannelse. Vi har forespurgt til retningslinjer for sanktionering, og vi har inspiceret retningslinjerne. Ansættelsesforholdets ophør eller ændring Kontrolmål: Formålet er at beskytte organisationens interesser som led i ansættelsesforholdets ophør eller ændring. 7.3 Ledelsen sikrer, at medarbejdere ved fratrædelse informeres om deres pligter bl.a., med reference til tavshedserklæring og juridiske regler. Vi har forespurgt til medarbejderes forpligtelse til opretholdelse af informationssikkerhed i forbindelse med ophør i ansættelse, og vi har inspiceret dokumentation for medarbejdernes forpligtelser. Styring af aktiver Ansvar for aktiver Kontrolmål: Formålet er at identificere organisationens aktiver og definere passende ansvarsområder til beskyttelse heraf. 8.1 Der vedligeholdes en fortegnelse med oversigt over udstyr placeret i datacenteret. Heri er angivet placering, ejerskab og andre relevante oplysninger for aktiverne. Der forefindes ligeledes fortegnelse over de menneskelige ressourcer. Disse findes som bilag til IT-sikkerhedshåndbogen. Ledelsen sikrer, at det bliver meddelt it-driftsudvalget, når medarbejdere eller anden form for personale tilknyttet virksomheden fratræder virksomheden, således at rettigheder og privilegier kan inddrages. Vi har forespurgt til fortegnelser over aktiver, og vi har stikprøvevis inspiceret fortegnelser over aktiver. Vi har endvidere inspiceret procedure for opdatering af fortegnelser over aktiver. Vi har forespurgt til oversigt af ejerskab for aktiver, og vi har inspiceret oversigten. Vi har forespurgt til retningslinjer for brugen af aktiver, og vi har inspiceret retningslinjerne. Vi har forespurgt til procedure til sikring af tilbagelevering af udleverede aktiver, og vi har inspiceret proceduren. Vi har stikprøvevis inspiceret processen for tilbagelevering af aktiver. REVI-IT A/S Side 16 af 26

19 Klassifikation af information Kontrolmål: Formålet er at sikre passende beskyttelse af information, der står i forhold til informationens betydning for organisationen. 8.2 Data og informationer er inddelt i 3 klassificeringer. Alle typer data behandles med omhu jf. It-sikkerhedshåndbogen. Forsendelse og opbevaring af fortrolige data må kun foregå med stærk kryptering, og efter aftale med dataejer. Vi har forespurgt til politik for klassificering af data, og vi har inspiceret politikken. Vi har forespurgt til mærkning af data, og vi har inspiceret retningslinjerne for mærkning af data. Vi har forespurgt til retningslinjer for håndtering af aktiver, og vi har inspiceret retningslinjerne. Mediehåndtering Kontrolmål: Formålet er at sikre hindring af uautoriseret offentliggørelse, ændring, fjernelse eller destruktion af information lagret på medier. 8.3 Destruktion af datamedier må kun foregå med garanti for total destruktion af medier, og med dokumentation fra bortskafferen. Vi har forespurgt til styring af bærbare medier, og vi har inspiceret dokumentation for løsningen. Vi har forespurgt til politik for bortskaffelse af databærende medier, og vi har inspiceret politikken. Vi har forespurgt til bortskaffede medier i perioden. Vi har forespurgt til transport af bærbare medier. Adgangskontrol Forretningsmæssige krav til adgangsstyring Kontrolmål: Formålet er at begrænse adgangen til information og informationsbehandlingsfaciliteter. 9.1 Adgangsrettigheder tildeles udelukkende ud fra et arbejdsbetinget behov. Diagnose- og konfigurationsporte kan kun anvendes ved fysisk tilstedeværelse ved det pågældende udstyr, og er således sikret af den almindelige adgangskontrol. Systemer, der kan sidestilles med samme adgangsniveau uden fysisk tilstedeværelse, er beskyttet af adgangskontrol med 2- faktorvalidering. Vi har forespurgt til politik for styring af adgange til systemer og bygninger, og vi har inspiceret politikken. Vi har forespurgt til håndtering af adgang til netværk og netværksservices, og vi har inspiceret løsningen. REVI-IT A/S Side 17 af 26

20 Administration af brugeradgange Kontrolmål: Formålet er at sikre adgang for autoriserede brugere og forhindre uautoriseret adgang til systemer og tjenester. 9.2 Brugere oprettes som personlige brugeridentiteter. Der vedligeholdes en brugeroversigt for relevante systemer, og denne oversigt revideres løbende for at sikre dens gyldighed. Er der tale om servicebrugere, er muligheden for egentlig log-on så vidt muligt deaktiveret. I tilfælde af ændringer/nedlæggelse/spærring af brugeradgang sørger systemejer for at udføre den pågældende opgave. Adgangsrettigheder gennemgås løbende for relevante systemer, og det kontrolleres, at der kun er de relevante adgange tildelt. Rettigheder og brugeradgang inddrages for medarbejdere eller anden form for personale tilknyttet virksomheden ved endt samarbejde. Vi har forespurgt til procedure for oprettelse og nedlæggelse af brugere, og vi har inspiceret procedurerne. Vi har stikprøvevis inspiceret dokumentation for oprettelse og nedlæggelse af brugere. Vi har forespurgt til proces for tildeling af rettigheder, og vi har stikprøvevis inspiceret processen. Vi har forespurgt til overvågning af anvendelsen af privilegerede adgangsrettigheder, og vi har stikprøvevis inspiceret dokumentation for overvågning. Vi har forespurgt til opbevaring og håndtering af fortrolige adgangskoder, og vi har inspiceret løsningen. Vi har forespurgt til proces for periodisk gennemgang af brugere, og vi har inspiceret dokumentation for seneste gennemgang. Brugernes ansvar Kontrolmål: Formålet er at gøre brugere ansvarlige for at sikre deres autentifikationsinformation. 9.3 Adgangskoder er fortrolige og behandles med omhu. Vi har forespurgt til retningslinjer for brugen af fortrolig adgangskode, og vi har inspiceret retningslinjerne. Styring af system- og applikationsadgang Kontrolmål: Formålet er at forhindre uautoriseret adgang til systemer og applikationer. 9.4 Adgangsrettigheder tildeles udelukkende ud fra et arbejdsbetinget behov. Der er etableret automatisk passwordpolicy, der systemmæssigt tvinger brugere til at overholde den gældende politik samt sikre regelmæssig skift af password. Til særligt sikrede systemer er der endvidere etableret 2- faktorvalidering. Vi har forespurgt til begrænsning af adgang til data, og vi har inspiceret dokumentation for begrænsning. Vi har forespurgt til procedure for sikker logon, og vi har inspiceret løsningen. Vi har forespurgt til system til styring af adgangskoder, og vi har inspiceret de opstillede krav til kvaliteten af kodeord. REVI-IT A/S Side 18 af 26

21 Fysisk sikring og miljøsikring Sikre områder Kontrolmål: Formålet er at forhindre uautoriseret fysisk adgang til samt beskadigelse og forstyrrelse af organisationens information og informationsbehandlingsfaciliteter Adgang til sikre områder er begrænset af automatisk adgangskontrol og alarm, hvor hver enkelt medarbejder er oprettet med egen personlig adgangskode/nøglebrik. Generel adgang til bygning/kontor kræver adgangskode og kodebrik. Kun personer med arbejdsrelateret behov for at kunne tilgå datacentret har adgang hertil. Der er ligeledes etableret videoovervågning af området, samt sikret udeareal hvor eksternt udstyr som dieselgenerator og køling er placeret. Eksternt udstyr er placeret bag aflåst og hærkværkssikret indhegning. Der føres log over oplåsning af døre, samt fra og tilkobling af alarm og zoner. Loggen for adgang er sikret jf. gældende sikkerhedspolitikker. Alle driftssystemer er placeret i serverrummet. Vi har inspiceret de fysiske rammer for WWI's datacenter og kontor, og vi har påset lokationen for betryggende fysiske rammer. Vi har forespurgt til den fysiske adgangskontrol til datacenter, og vi har inspiceret den etablerede løsning. Vi har forespurgt til kontrol med adgang til datacenter, og vi har inspiceret kontrollen. Vi har forespurgt til foranstaltninger til beskyttelse mod eksterne og miljømæssige trusler, og vi har inspiceret den etablerede løsning. Vi har forespurgt til erklæring fra underleverandør med hensyn til de fysiske rammer, og vi har inspiceret erklæringen fra underleverandøren, med henblik på at identificere væsentlige bemærkninger. Erklæring fra underleverandøren dækker hele revisionsperioden. REVI-IT A/S Side 19 af 26

22 Udstyr Kontrolmål: Formålet er at undgå tab, skade, tyveri, eller kompromittering af aktiver og driftsafbrydelse i organisationen It-aktiver, der understøtter kritiske processer, er forsynet med UPS og diesel generator til fortsat drift i tilfælde af strømsvigt. Hvilket er tilsvarende for køleanlæg, brandslukning samt rum-overvågning. It-driftsudvalget følger min. 1 gang årligt op på servicering af nævnte udstyr. Der udføres løbende inspektion af tekniske sikringsforanstaltninger samt andre relevante systemer i forbindelse med driften i serverrummet. Der er etableret systempolicy, der automatisk sørger for at låse og slå pauseskærm til på alle enheder jævnføre den gældende sikkerhedspolitik. Ligeledes holdes skriveborde ryddelige for fortrolige dokumenter og materiale. Alle lagringsmedier slettes (almindelig re-formatering er ikke tilstrækkelig) eller fysisk destrueres inden genbrug eller bortskaffelse. Vi har forespurgt til placering af vitalt udstyr, og vi har inspiceret lokationen og påset eksistensen af virksomhedens understøttende forsyninger, herunder nødstrømsforsyning, køling og brandsikring. Vi har endvidere inspiceret datacenter med henblik på at påse sikring af kablingen. Vi har forespurgt til servicering af udstyr, og vi har inspiceret dokumentation for service på udstyr. Vi har forespurgt til sikker bortskaffelse af udstyr, og vi har inspiceret politik for bortskaffelse af udstyr. Vi har forespurgt til sikring af brugerudstyr uden opsyn, og vi har påset den etablerede løsning. Vi har forespurgt til politik for ryddeligt skrivebord og blank skærm, og vi har inspiceret politikken. Vi har forespurgt til erklæring fra underleverandør med hensyn til de fysiske rammer, og vi har inspiceret erklæringen fra underleverandøren med henblik på at identificere væsentlige bemærkninger. Erklæring fra underleverandøren dækker hele revisionsperioden. Det har ikke været muligt at teste effektiviteten af procedure for bortskaffelse af databærende udstyr, idet der ikke er foretaget destruktion af databærende udstyr i perioden. REVI-IT A/S Side 20 af 26

23 Driftssikkerhed Driftsprocedurer og ansvarsområder Kontrolmål: Formålet er at sikre korrekt og sikker drift af informationsbehandlingsfaciliteter It-driftsudvalget tager stilling til relevante procedurer. Der udføres Change Management på relevante systemer og udstyr. Der forefindes change-log på relevant udstyr/systemer. It-driftsudvalget foretager løbende en vurdering af kapacitetsbehovet for driften. Herudover udarbejder ledelsen minimum én gang årligt en beskrivelse af det kommende års forventelige forretningsmæssige it-ressourcebehov. Netværk og netværksudstyr overvåges proaktivt via system, der løbende kan opsamle data om performance og reagere på fejl fra udstyret. Driftsmedarbejdere orienteres automatisk via eller SMS ved fejl. Vi har forespurgt til udarbejdelse og vedligeholdelsen af procedurer i forbindelse med driften. Vi har stikprøvevis inspiceret procedurerne og påset, at de løbende vedligeholdes. Vi har forespurgt til ændringsstyring, og vi har stikprøvevis inspiceret dokumentation for håndtering af ændringer i perioden. Vi har forespurgt til overvågning af kapacitet, og vi har stikprøvevis inspiceret dokumentation for overvågning af kapacitet. Vi har forespurgt til adskillelse af produktions- og testmiljø, og vi har inspiceret dokumentation for adskillelse. Malwarebeskyttelse Kontrolmål: Formålet er at sikre, at information og informationsbehandlingsfaciliteter er beskyttet mod malware På alle relevante servere og maskiner er der installeret antivirus for at sikre mod udefra kommende virus/malware/trusler. Vi har forespurgt til foranstaltninger mod malware. Vi har forespurgt til anvendelsen af antivirusprogrammer, og vi har inspiceret dokumentation for anvendelsen. Vi har forespurgt til procedure for håndtering af DDoS og ransomware, og vi har inspiceret procedurerne. REVI-IT A/S Side 21 af 26

24 Backup Kontrolmål: Formålet er at beskytte mod tab af data Der foretages fuld kopiering af alle servere/data jf. gældende SLA. Særligt udvalgte systemer kan have flere restorepoints. Backup foretages i 2 omgange. Primær backup til diskbaseret system i datacentret. Herefter replikeret backup foretaget til diskbaseret system på sekundær site via dedikeret fiberforbindelse. Backuprapport gennemgås løbende for fejl og andre relevante informationer, og der føres log over backuprapporter og hændelser. Der foretages løbende restore test. Der gendannes vilkårligt data og det kontrolleres, at data er intakt og ser ud som forventet. Der foretages logføring af restore test. Vi har forespurgt til konfiguration af backup, og vi har stikprøvevis inspiceret dokumentation for opsætningen. Vi har forespurgt til opbevaring af backup, og vi har inspiceret erklæring fra underleverandør med henblik på at se, at backup opbevares forsvarligt. Vi har forespurgt til test af genoprettelse fra backupfiler, og vi har inspiceret dokumentation for test af genoprettelse. Logning og overvågning Kontrolmål: Formålet er at registrere hændelser og tilvejebringe bevis Der opsamles log på systemer for autoriserede og uautoriserede adgangsforsøg. Logs gennemgås periodisk for autoriserede/ uautoriserede logins fra brugere med administrative rettigheder. Logdata gemmes og sikres, og relevante logdata gennemgås løbende. Systemer og netværksudstyr synkroniserer automatisk tiden via NTP-server fra internettet. Vi har forespurgt til logning af brugeraktivitet. Vi har stikprøvevis inspiceret logningskonfigurationerne. Vi har forespurgt til sikring af logoplysninger, og vi har inspiceret løsningen. Vi har forespurgt til logning af brugeraktivitet. Vi har stikprøvevis inspiceret logningskonfigurationerne. Vi har forespurgt til synkronisering op imod en betryggende tidsserver, og vi har inspiceret løsningen. Styring af driftssoftware Kontrolmål: Formålet er at sikre integriteten af driftssystemer Patching og andre opgraderinger udføres som fastlagt i gældende procedurer. Disse dokumenteres ligeledes i Change Management. Via vores medlemskab af BFIH er vi forpligtede til at sikre, at kritiske sikkerhedsopdateringer implementeres inden for 2 måneder efter frigivelse. Dette sikrer vi ved, at vi efter fastlagte procedurer afvejer alle væsentlige opdateringer og implementerer dem inden for det pågældende tidsrum. Vi har forespurgt til retningslinjer for installation af software på driftssystemer, og vi har inspiceret retningslinjerne. Vi har forespurgt til rettidig opdatering af driftssystemer, og vi har inspiceret dokumentation for opdatering af driftssystemerne, som stemmer overens med BFIH's krav. REVI-IT A/S Side 22 af 26

25 Sårbarhedsstyring Kontrolmål: Formålet er at forhindre, at tekniske sårbarheder udnyttes Bærbare computere opdateres automatisk med beskyttelse, selv om der ikke kan kommunikeres med de centrale servere, og medarbejderes egne PC ere er underlagt den til enhver tid gældende IT-sikkerhedspolitik. Vi har forespurgt til styring af tekniske sårbarheder, og vi har inspiceret dokumentation for styringen. Vi har forespurgt til styring af adgang til programinstallation, og vi har inspiceret dokumentation for begrænsningen af brugere med rettighed til programinstallation. Kommunikationssikkerhed Styring af netværkssikkerhed Kontrolmål: Formålet er at sikre beskyttelse af informationer i netværk og af understøttende informationsbehandlingsfaciliteter Netværket er opdelt i segmenter samt er beskyttet af firewalls for at opnå den nødvendige sikkerhed for systemerne. Netværk og netværksudstyr overvåges proaktivt via et system, der løbende kan opsamle data om performance og reagere på fejl fra udstyret. Vi har forespurgt til foranstaltninger til beskyttelse af netværk og netværkstjenester. Vi har inspiceret dokumentation for etablering af firewall. Vi har forespurgt til kontroller for vedligeholdelse af firewallen, og vi har inspiceret dokumentation for skanninger på virksomhedens firewall. Vi har forespurgt til sikring af netværkstjenester, og vi har inspiceret dokumentation for betryggende sikring. Informationsoverførsel Kontrolmål: Formålet er at opretholde informationssikkerhed ved overførsel internt i en organisation og til en ekstern entitet Kunders datakommunikation til WWI A/S foregår alene krypteret, bort set fra s. Kunder kan vælge at benytte krypterede e- mails hvis der er behov for dette. Vi har forespurgt til politikker og procedurer for dataoverførsel. Vi har forespurgt til aftaler om dataoverførsel. Vi har forespurgt til retningslinjer for afsendelse af fortrolig information. Vi har forespurgt til etablering af fortrolighedsaftaler og vi har inspiceret dokumentation for etablering. REVI-IT A/S Side 23 af 26