WWI A/S CVR-nr.:

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Starte visningen fra side:

Download "WWI A/S CVR-nr.:"

Transkript

1 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af deres hostingydelser i perioden til ISAE 3402-II WWI A/S CVR-nr.: Januar 2017 REVI-IT A/S statsautoriseret revisionsaktieselskab Jens Kofods Gade København K Tlf revi-it.dk CVR-nr

2 Indholdsfortegnelse Afsnit 1: WWI A/S ledelseserklæring... 1 Afsnit 2: Afsnit 3: WWI A/S beskrivelse af kontroller i forbindelse med drift af deres hostingydelse... 2 Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf REVI-IT A/S

3 Afsnit 1: WWI A/S ledelseserklæring Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt WWI A/S hostingydelser, og deres revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt, ved vurdering af risiciene for væsentlig fejlinformation i kundernes regnskaber. WWI A/S bekræfter, at: (a) Den medfølgende beskrivelse, i afsnit 2, giver en retvisende beskrivelse af WWI A/S hostingydelser til kunder i hele perioden fra til Kriterierne for denne udtalelse var, at den medfølgende beskrivelse: (i) (ii) redegør for, hvordan systemet var udformet og implementeret, herunder redegør for: de typer af ydelser, der er leveret, når det er relevant de processer i både it- og manuelle systemer, der er anvendt til at igangsætte, registrere, behandle og om nødvendigt korrigere transaktionerne samt overføre disse til de rapporter, der er udarbejdet til kunder relevante kontrolmål og kontroller, udformet til at nå disse mål kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af brugervirksomheder, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen og rapporteringen af kunders transaktioner indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden fra til (iii) ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne system under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt ved systemet, som den enkelte kunde måtte anse vigtigt efter deres særlige forhold (b) de kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra til Kriterierne for denne udtalelse var, at: (i) (ii) (iii) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål, og kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra til REVI-IT A/S Side 1 af 26

4 Afsnit 2: WWI A/S beskrivelse af kontroller i forbindelse med drift af deres hostingydelse WWI A/S er et 100 % danskejet IT-selskab med fødderne godt plantet i den jyske muld. Dette kan ikke kun ses på vore adresser, men skinner igennem i alt hvad vi tænker og gør. Vi har siden 1993 leveret seriøse og konkurrencedygtige IT-løsninger. Hos os er den rigtige løsning omdrejningspunktet for samarbejdet med vore kunder. Vi sætter en ære i, at give os den rette tid til at forstå behovet og få løsningen fulgt helt til døren! Startskuddet var salg af adresser, hjemmesider (hosting) og hvad der ellers rørte sig i den første begyndelse for internettets udbredelse til danske virksomheder. I dag udgør hosting stadig en solid grundkerne i virksomheden, men kompetenceniveauet er nu udvidet så hele spektret inden for IT dækkes - derfor kalder vi os også IT Totalleverandør! Vore kompetencer er bl.a.: Konsulentassistance / rådgivning Hosting og outsourcing Sikkerhedsløsninger Kommunikationsløsninger Salg af hardware / software Vi er medlemmer af BFIH, og ser det derigennem som en vigtig opgave at være med til at højne kvalitet, stabilitet og gennemsigtighed i et hostingmarked der er præget af mangeartede løsninger af varierende kvalitet og stabilitet. Vores målsætning er at være virksomhedens foretrukne samarbejdspartner med alt inden for IT. Dette skal opnås gennem god kundeservice, stabil og seriøs drift samt højt og professionelt kompetenceniveau. Side 2 af 26

5 Risikoanalyse og håndtering Ledelsen godkender og revurderer it-sikkerhedspolitikken minimum hvert år, dog altid ved større organisatoriske ændringer med indvirkning på anvendelsen af it i virksomheden. IT-driftsudvalget sikrer, at den overordnede it-sikkerhedspolitik er kommunikeret til alle medarbejdere, samarbejdspartnere samt øvrige personer, der er involveret i anvendelsen af it i virksomheden. It driftsudvalget reviderer og godkender 1 gang årligt risikoanalysen. Ved organisatoriske ændringer revideres og godkendes den ekstraordinært. IT-driftsudvalget sikrer, at sikringsforanstaltninger udvælges på basis af risikoanalysen. Organisering af informationssikkerhed, ansvar og retningslinjer Der afholdes løbende møder i IT-driftsudvalget med fast agenda hvor punkterne fra it-sikkerhedspolitikken vurderes og tages stilling til. Risikoanalysen opdateres og godkendes én gang årligt på driftsudvalgsmøde med mindre der har været organisatoriske ændringer herved revideres den umiddelbart. Organisation og ansvar Side 3 af 26

6 Organisatorisk er ansvar inddelt efter roller primært følgende: ledelse, it-driftsudvalg og systemejer It-driftsudvalget har såfremt det er relevant - ansvaret for kontakt til myndighederne vedrørende emner inden for it-sikkerhedsområdet. Vi er som hostingleverandør medlem af BFIH Brancheforeningen for IT-hostingvirksomheder i Danmark. Medarbejdere er medlem af relevante interessegrupper inden for deres arbejdsfelt. Medarbejdersikkerhed Screening Ved jobsamtalen kvalificeres den faglige viden, og stikprøve vis kontrolleres opgivne referencer. Ansættelsesforholdet Der er i ansættelseskontrakten angivet reference til at medarbejderen skal følge de til enhver tid gældende retningslinjer. Medarbejdere orienteres løbende på møder samt via omkring gældende itsikkerhedspolitik og procedurer, samt orienteres når disse opdateres og ændres. Medarbejdere deltager herudover også løbende i relevant uddannelse. Ansættelsens ophør Ledelsen sikrer, at medarbejdere ved fratrædelse informeres om deres pligter bl.a., med reference til tavshedserklæring og juridiske regler. Ligeledes sikrer ledelsen at det bliver meddelt it-driftsudvalget når medarbejdere eller anden form for personale tilknyttet virksomheden fratræder virksomheden, således rettigheder og privilegier kan inddrages. Styring af informationsrelaterede aktiver Der vedligeholdes fortegnelsen med oversigt over udstyr placeret i datacenteret. Heri er angivet placering, ejerskab og andre relevante oplysninger for aktiverne. Der forefindes ligeledes fortegnelse over de menneskelige ressourcer. Disse findes som bilag til IT-sikkerhedshåndbogen. It-driftsudvalget godkender sammen med ledelsen væsentlige indkøb af IT-udstyr og software, samt udpeger systemejer for dette. Klassifikation af informationer og data Data og informationer er inddelt i 3 klassificeringer. Kundedata, WWI A/S og Intern WWI. Alle typer data behandles med omhu jf. It-sikkerhedshåndbogen. Forsendelse og opbevaring af fortrolige data må kun foregå med stærk kryptering, og efter aftale med dataejer. Destruktion af datamedier må kun foregå med garanti for total destruktion af medier, og med dokumentation fra bortskafferen. Side 4 af 26

7 Adgangsstyring Adgangsrettigheder tildeles udelukkende ud fra et arbejdsbetinget behov. Brugere oprettes som personlige brugeridentiteter. Der vedligeholdes en brugeroversigt for relevante systemer, og denne oversigt revideres løbende for at sikre dens gyldighed. Er der tale om servicebrugere, er muligheden for egentlig log-on så vidt muligt deaktiveret. I tilfælde af ændringer/nedlæggelse/spærring af brugeradgang sørger systemejer for at udføre den pågældende opgave. Der opsamles log på systemer for autoriseret og uautoriserede adgangsforsøg. Logs gennemgås periodiske for autoriserede / uautoriserede logins fra brugere med administrative rettigheder. Adgangsrettigheder gennemgås løbende for relevante systemer og det kontrolleres at der kun er de relevante adgange tildelt. Rettigheder og brugeradgang inddrages for medarbejdere eller anden form for personale tilknyttet virksomheden ved endt samarbejde. Adgangskoder er fortrolige og behandles med omhu. Systemdokumentation er tilgængelig for de relevante medarbejdere og sikret via adgangskontrol. Netværket er opdelt i segmenter samt beskyttet af firewalls for at opnå den nødvendige sikkerhed for systemerne. Sikkerheden er tilpasset den enkelte kundeløsning eller det pågældende system, ligesom adgang til de pågældende systemer kun tildeles ud fra et arbejdsmæssigt behov. Der er etableret automatisk passwordpolicy der systemmæssigt tvinger brugere til at overholde den gældende politik samt sikre regelmæssig skift af password. Til særligt sikrede systemer er der endvidere etableret 2- faktorvalidering. Diagnose- og konfigurationsporte kan kun anvendes ved fysisk tilstedeværelse ved det pågældende udstyr, og er således sikret af den almindelige adgangskontrol. Systemer der kan sidestilles med samme adgangsniveau uden fysisk tilstedeværelse er beskyttet af adgangskontrol med 2-faktorvalidering. Kryptografi Alle medarbejdere arbejder via krypterede VPN forbindelser når der benyttes mobil/opkobling udefra. Kunders datakommunikation til WWI A/S foregår alene krypteret, bort set fra s. Kunder kan vælge at benytte krypterede s hvis der er behov for dette. Fysisk sikkerhed Adgang til sikre områder er begrænset af automatisk adgangskontrol og alarm hvor hver enkelt medarbejder er oprettet med egen personlig adgangskode/nøglebrik. Generel adgang til bygning/kontor kræver adgangskode og kodebrik. Side 5 af 26

8 Kun personer med arbejdsrelateret behov for at kunne tilgå datacentret har adgang her til. Der er ligeledes etableret videoovervågning af området, samt sikret udeareal hvor eksternt udstyr som dieselgenerator og køling er placeret. Eksternt udstyr er placeret bag aflåst og hærkværkssikret indhegning. Der føres log over op låsning af døre, samt fra og tilkobling af alarm og zoner. Loggen for adgang er sikret jævnfør gældende sikkerhedspolitikker. Alle driftssystemer er placeret i serverrummet. Køle- og brandslukningsanlæg til sikring af driftsfaciliteterne testes og serviceres jævnligt. Alarmer fra serverrummet sendes automatisk til døgnbemandet kontrolcentral. It-aktiver, der understøtter kritiske processer, er forsynet med UPS og diesel generator til fortsat drift i tilfælde af strømsvigt. Hvilket er tilsvarende for køleanlæg, brandslukning samt rum-overvågning. It-driftsudvalget følger min. 1 gang årligt op på servicering af nævnte udstyr. Der er fast punkt på agendaen til it-driftsudvalgsmøder hvor rapporter mv. gennemgås og kontrolleres. Der udføres løbende inspektion af tekniske sikringsforanstaltninger, samt andre relevante systemer i forbindelse med driften i serverrummet. Denne inspektion dokumenteres og logføres. Alle lagringsmedier slettes (almindelig re-formatering er ikke tilstrækkelig) eller fysisk destrueres inden genbrug eller bortskaffelse. Der er etableret systempolicy der automatisk sørger for at låse og slå pauseskærm til på alle enheder jævnføre den gældende sikkerhedspolitik, således disse sikres hvis de ikke er overvåget. Ligeledes holdes skriveborde ryddelige for fortrolige dokumenter og materiale. Driftssikkerhed Procedurer og drift It-driftsudvalget tager stilling til relevante procedurer. Procedurer findes tilgængeligt for relevant personale. Der udføres Change Management på relevante systemer og udstyr. Der er defineret følgende typer af Changes: Projekt, Minor og Major. Nærmere beskrivelse af disse er tilgængelig i IT-sikkerhedshåndbogen. Der forefindes change-log på relevant udstyr/systemer. It-driftsudvalget foretager løbende en vurdering af kapacitetsbehovet for driften. Herudover udarbejder ledelsen minimum én gang årligt en beskrivelse af det kommende års forventelige forretningsmæssige itressourcebehov. Bærbare computere opdateres automatisk med beskyttelse selv om der ikke kan kommunikeres med de centrale servere, og medarbejderes egne PC'ere er underlagt den til enhver tid gældende IT-sikkerhedspolitik På alle relevante servere og maskiner er der installeret antivirus for at sikre mod udefra kommende virus/malware/trusler. Side 6 af 26

9 Sikkerhedskopiering Der foretages fuld kopiering af alle servere/data jf. gældende SLA. Særligt udvalgte systemer kan have flere restorepoints. Kunder kan vælge specialtilpasset backupperioder. Backup foretages i 2 omgange. Primær backup til diskbaseret system i datacentret. Herefter replikeret backup foretaget til diskbaseret system på sekundær site via dedikeret fiberforbindelse. Backuprapport gennemgås løbende for fejl og andre relevante informationer, og der føres log over backuprapporter og hændelser. Der foretages løbende restore test. Der gendannes vilkårlig data og det kontrolleres at data intakt og ser ud som forventet. Der foretages logføring af restore test. Overvågning, logning og netværk Netværk og netværksudstyr overvåges proaktiv via system der løbende kan opsamle data om performance, samt reagere på fejl fra udstyret. Driftsmedarbejdere orienteres automatisk via eller SMS ved fejl. Systemer overvåges proaktivt for fejl. Overvågningen kontrolleres løbende for fejl så der kan følges op på fejl og indmeldinger. Eventuelle åbne fejl leveres i samt internt system og præsenteres på oversigtsskærm i kontor for synliggørelse for driftsmedarbejdere. Afhængig af typen af fejl, tager support eller systemejer sig af fejlen og sørger for den bliver rettet. Support eller systemejer rapporterer til it-driftsudvalget hvis fejlen er af en type hvor det findes relevant at tage stilling til hvilke foranstaltninger der kan etableres for at forhindre fejlen i at opstå igen. Systemer og netværk overvåges ligeledes proaktivt på relevante parametre for forsøg på misbrug. Logdata gemmes og sikres, og relevante logdata gennemgås løbende. Systemer og netværksudstyr synkroniserer automatisk tiden via NTP-server fra internettet. Patching og andre opgraderinger udføres som fastlagt i gældende procedurer. Disse dokumenteres ligeledes i Change Management. Via vores medlemskab af BFIH, er vi forpligtede til at sikre, at kritiske sikkerhedsopdateringer implementeres inden for 2 måneder efter frigivelse. Dette sikrer vi ved, at vi efter fastlagte procedurer afvejer alle væsentlige opdateringer og implementerer dem inden for det pågældende tidsrum. Netværket er opdelt i segmenter samt beskyttet af firewalls for at opnå den nødvendige sikkerhed for systemerne. Eksterne samarbejdspartnere og leverandører I samarbejde med it-driftsudvalget har systemejeren ansvaret for, at der udarbejdes en risikoanalyse i forbindelse med samarbejde med eksterne parter, der har adgang til virksomhedens it-aktiver. Systemejeren har ligeledes ansvaret for, at alle formelle samarbejdsaftaler med eksterne parter indeholder de dele af it-sikkerhedspolitikken med tilhørende regler, der gør sig gældende for samarbejdet. It-driftsudvalget gennemgår minimum hver 6. måned rapporter fra eksterne serviceleverandører omhandlende hændelser, problemer, fejl, nedbrud og logning. Der indhentes ligeledes revisionserklæring hvor dette er relevant. Side 7 af 26

10 Der er fast punkt på agendaen til it-driftsudvalgsmøder hvor rapporter mv. gennemgås og kontrolleres. På agendaen er ligeledes fastlagt punkt hvor kapacitetsbehov behandles. Styring af sikkerhedsbrud Sikkerhedshændelser behandles og evalueres som et fast punkt på It-driftsudvalgets møder. Der føres en sikkerhedshændelseslog der behandler både tekniske samt generelt sikkerhedsmæssige hændelser. Alle medarbejdere og øvrige personer, der gør brug af it-systemerne, skal indrapportere itsikkerhedshændelser umiddelbart efter, at disse er Indrapporteringen skal foregå direkte til et medlem af It-driftsudvalget. Sikkerhedshændelser klassificeres i følgende 3 kategorier: Tilgængelighed eks. nedbrud på driftsfaciliteter Integritet eks. manipulationer på systemer/netværk Fortrolighed eks. uautoriserede har fået adgang til data Sikkerhedshændelser prioriteres således: Minor Mindre sikkerhedsbrud der ikke er kritisk eller kræver en akut løsning. Medium Kræver håndtering akut. Major Kræver iværksættelse af beredskabsplanen. Alle sikkerhedshændelser dokumenteres ud fra en fastlagt skabelon, og der foretages løbende opfølgning på hændelser i It-driftsudvalget. It-driftsudvalget vurderer nødvendigheden for at indhente data fra logs fra relevante systemer når dette findes relevant. Beredskabsstyring Der forefindes en ledelsesgodkendt beredskabsplan. Denne plan er tilgængelig på papir og i elektronisk form distribueret. Der forefindes ligeledes en ledelsesgodkendt risikoanalyse. Gennemgang og revidering af beredskabsplanen er en fast del af agendaen for it-driftsudvalgets fastlagte møder. Test af beredskabsplanen foretages løbende. Redundans I det generelle netværksdesign er der etableret redundant internetforbindelse der først mødes i switch. Herudover er der i infrastrukturen indarbejdet yderligere redundans hvor dette er relevant. Overensstemmelse med lovbestemte krav WWI A/S er ikke underlagt særlig lovgivning i forbindelse med drift af hostingsystemerne. Vores kunder kan dog være underlagt dette, og her vil WWI A/S understøttelse af dette være aftalt særskilt. Side 8 af 26

11 Der udsendes jævnligt orienterende til alle medarbejdere med henblik på orientering omkring WWI A/S sikkerhedspolitik samt It-sikkerhedshåndbogen og dertilhørende relaterede procedurer og emner. Én gang årligt lader vi os undergå uvildig IT-revision med henblik på afgivelse af en 3402 erklæring for overholdelse af kontrollerne nævnt i denne beskrivelse. I kraft af, at vi er medlemmer af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark), skal vi årligt kunne bevise at vi følger rammerne inden for ISO 27002:2014. Omtalte revisorerklæring sikrer dette, ligesom BFIH ønsker ekstern revisors bekræftelse på vores overholdelse af foreningens øvrige krav. Disse omhandler forsikringsforhold, gennemsigtighed i forretningsvilkår, selskabsretlige forhold for virksomheden mv. Disse bekræftelser fra revisor er hjælp til BFIH s certificering af WWI A/S. Komplementerende kontroller etableret hos vores kunder WWI A/S kunder er, med mindre andet er aftalt, selv ansvarlig for at etablere forbindelse til WWI A/S servere. Dette indbefatter, at kunderne selv er ansvarlige for at have en fungerende og tilstrækkelig internetforbindelse samt evt. opsætning og test af alternative internetforbindelser, skulle den primære internetforbindelse fejle. WWI A/S kunder er ansvarlige for periodisk gennemgang af kundens egne brugerkonti. WWI A/S kunder er ansvarlige for at ajourføre liste over sammenhæng mellem brugerkonti og ansatte/maskiner. WWI A/S kunder er ansvarlige for, at deres brugerkonti kun benyttes på deres godkendte personer/maskiner. Skulle der opstå tvivl om kompromitterede brugerkonti ved f.eks. tyveri af PC, er det kundens ansvar at informere WWI A/S. Side 9 af 26

12 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet Til ledelsen hos WWI A/S, deres kunder, og deres revisorer. Omfang Vi har fået til opgave at afgive erklæring om WWI A/S beskrivelse, som er gengivet i afsnit 2. Beskrivelsen, som i afsnit 1 er bekræftet af WWI A/S ledelse, dækker virksomhedens behandling af kunders transaktioner på virksomhedens hostingydelser i perioden til , samt udformningen og funktionaliteten af de kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Vores konklusion udtrykkes med høj grad af sikkerhed. WWI A/S beskrivelse (afsnit 2) indeholder en række forhold som virksomheden skal leve op til jf. virksomhedens medlemskab af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark). Vores revision har omfattet disse forhold, og består udover de fysiske forhold, herunder server hardware, LAN, WAN og firewalls, af: hvorvidt WWI A/S implementerer kritiske sikkerhedsopdateringer inden for 2 måneder fra frigivelse hvorvidt WWI A/S kan retablere enheder i datacenter inden for 3 dage Hvorvidt WWI A/S lever op til BFIH s krav for mindstemål for god hosting. WWI A/S ansvar WWI A/S er ansvarlig for udarbejdelsen af beskrivelsen (afsnit 2) og tilhørende udtalelse (afsnit 1), herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udtalelse er præsenteret. WWI A/S er herudover ansvarlig for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmål og for udformningen, implementeringen og effektiviteten af fungerende kontroller for at nå de anførte kontrolmål. REVI-IT A/S uafhængighed og kvalitetsstyring Vi har overholdt kravene til uafhængighed og andre etiske krav i IESBA s Etiske regler, som er baseret på grundlæggende principper om integritet, objektivitet, faglige kompetencer og fornøden omhu, fortrolighed samt professionel adfærd. Firmaet anvender ISQC 1 og opretholder derfor et omfattende system for kvalitetsstyring, herunder dokumenterede politikker og procedurer for overholdelse af etiske regler, faglige standarder samt gældende krav ifølge lov og øvrig regulering. REVI-IT A/S ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om WWI A/S beskrivelse (afsnit 2) og om udformningen og funktionaliteten af de kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi planlægger og udfører vores handlinger for at opnå en høj grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er retvisende, og at kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformede og fungerer effektivt. REVI-IT A/S Side 10 af 26

13 Opgaven med afgivelse af en erklæring med sikkerhed om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system og for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformede eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give en høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere en vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i afsnit 2. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør WWI A/S beskrivelse i afsnit 2 er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtige efter sine særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller afdække alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i WWI A/S beskrivelse i afsnit 2, og det er på den baggrund vores vurdering, (a) at beskrivelsen af kontroller, således som de var udformet og implementeret i hele perioden til , i alle væsentlige henseender er retvisende (b) at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformede i hele perioden fra til (c) at kontrollerne for de særlige krav, som er foranlediget af virksomhedens medlemskab af BFIH jf. beskrivelsen i kapitel 2, var hensigtsmæssigt udformede i hele perioden fra til (d) at de testede kontroller, som var de kontroller, der var nødvendige for at give en høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden til Beskrivelse af test af kontroller De specifikke kontroller, der er testet, samt arten, den tidsmæssige placering og resultater af disse tests fremgår i det efterfølgende hovedafsnit (afsnit 4). REVI-IT A/S Side 11 af 26

14 Tiltænkte brugere og formål Denne erklæring er udelukkende tiltænkt kunder, der har anvendt WWI A/S hostingydelse, og deres revisorer, som har en tilstrækkelig kompetence til at vurdere den medfølgende beskrivelse sammen med anden information, herunder information om kunders egne kontroller. Denne information tjener til opnåelse af en forståelse af kundernes informationssystemer, som er relevante for regnskabsaflæggelsen. København, 27. januar 2017 REVI-IT A/S Statsautoriseret revisionsaktieselskab Henrik Paaske Statsautoriseret revisor Martin Brogaard Nielsen It-revisor, CISA, CRISC, adm. direktør REVI-IT A/S Side 12 af 26

15 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf Den følgende oversigt er udformet for at skabe en forståelse for effektiviteten af de kontroller, som WWI A/S har implementeret. Vores test af funktionaliteten har omfattet de kontroller, som vi har vurderet nødvendige for at kunne opnå en høj grad af sikkerhed for, at de anførte kontrolmål har været opnået i perioden til Vi har således ikke nødvendigvis testet alle de kontroller, som WWI A/S har nævnt i sin beskrivelse i afsnit 2. Kontroller udført hos WWI A/S kunder er herudover ikke omfattet af vores erklæring idet kundernes egne revisorer må foretage denne gennemgang og vurdering. Vi har udført vores tests af kontroller hos WWI A/S via følgende handlinger: Metode Forespørgsel Observation Inspektion Genudførelse af kontrol Overordnet beskrivelse Interview, altså forespørgsel af udvalgt personale hos virksomheden angående kontroller Observation af, hvordan kontroller udføres Gennemgang og stillingtagen til politikker, procedurer og dokumentation vedrørende kontrollers udførelse Vi har selv udført eller har observeret en genudførelse af kontroller med henblik på at verificere, at kontrollen fungerer som forventet Beskrivelse og resultat af vores tests ud fra de testede kontroller fremgår af de efterfølgende skemaer. I det omfang vi har konstateret væsentlige svagheder i kontrolmiljøet eller afvigelser herfra, har vi anført dette. REVI-IT A/S Side 13 af 26

16 Risikovurdering og -håndtering Risikovurdering Kontrolmål: Formålet er at sikre, at virksomheden periodisk foretager en analyse og vurdering af it-risikobilledet. 4.1 IT-driftsudvalget reviderer og godkender 1 gang årligt risikoanalysen. Ved organisatoriske ændringer revideres og godkendes den ekstraordinært. IT-driftsudvalget sikrer, at sikringsforanstaltninger udvælges på basis af risikoanalysen. Vi har forespurgt til udarbejdelsen af en risikoanalyse, og vi har inspiceret den udarbejdede risikoanalyse. Vi har forespurgt til evaluering af itrisikoanalysen indenfor perioden, og vi har inspiceret dokumentation for, at it-risikoanalysen er gennemgået og godkendt af ledelsen i revisionsperioden. Informationssikkerhedspolitikker Retningslinjer for styring af informationssikkerhed Kontrolmål: Formålet er at sikre, at der gives retningslinjer for og understøttelse af informationssikkerheden i overensstemmelse med forretningsmæssige krav og relevante love og forskrifter. 5.1 IT-driftsudvalget sikrer, at den overordnede it-sikkerhedspolitik er kommunikeret til alle medarbejdere, samarbejdspartnere samt øvrige personer, der er involveret i anvendelsen af it i virksomheden. Der afholdes løbende møder i ITdriftsudvalget med fast agenda, hvor punkterne fra it-sikkerhedspolitikken vurderes og tages stilling til. Ledelsen godkender og revurderer it-sikkerhedspolitikken minimum hvert år, dog altid ved større organisatoriske ændringer med indvirkning på anvendelsen af it i virksomheden. Vi har forespurgt til udarbejdelsen af en informationssikkerhedspolitik, og vi har inspiceret dokumentet. Vi har forespurgt til periodisk gennemgang af informationssikkerhedspolitikken, og vi har inspiceret, at dokumentet er gennemgået i revisionsperioden. Vi har forespurgt til ledelsesgodkendelse af informationssikkerhedspolitikken, og vi har inspiceret dokumentation for ledelsesgodkendelse. REVI-IT A/S Side 14 af 26

17 Organisering af informationssikkerhed Intern organisering Kontrolmål: Formålet er at sikre, at der etableres et ledelsesmæssigt grundlag for at kunne igangsætte og styre implementeringen og driften af informationssikkerhed i organisationen. 6.1 Organisatorisk er ansvar inddelt efter roller. Adgangsrettigheder gennemgås løbende for relevante systemer, og det kontrolleres, at der kun er de relevante adgange tildelt. It-driftsudvalget har såfremt det er relevant - ansvaret for kontakt til myndighederne vedrørende emner inden for it-sikkerhedsområdet. Vi er som hostingleverandør medlem af BFIH Brancheforeningen for IT-hostingvirksomheder i Danmark. Medarbejdere er medlem af relevante interessegrupper inden for deres arbejdsfelt. Vi har forespurgt til tildeling af ansvar for informationssikkerheden, og vi har inspiceret dokumentation for tildelingen og vedligeholdelsen af ansvarsbeskrivelser. Vi har forespurgt til adskillelse af adgang i forhold til funktion, og vi har inspiceret dokumentation for differentieret adgang. Vi har forespurgt til kontakt med interessegrupper, og vi har inspiceret dokumentation for kontakt. Vi har forespurgt til hensyntagen til informationssikkerhed ved styring af projekter, og vi har stikprøvevis inspiceret projektforløb og verificeret, at der tages hensyn til informationssikkerhed. Mobilt udstyr og fjernarbejdspladser Kontrolmål: Formålet er at sikre fjernarbejdspladser og brugen af mobilt udstyr. 6.2 Alle medarbejdere arbejder via krypterede VPN-forbindelser, når der benyttes mobil/opkobling udefra. Vi har forespurgt til styring af mobile enheder, og vi har inspiceret løsningen. Vi har forespurgt til sikring af fjernarbejdspladser, og vi har inspiceret løsningen. Medarbejdersikkerhed Før ansættelsen Kontrolmål: Formålet er at sikre, at medarbejdere og kontrahenter forstår deres ansvar og er egnede til de roller, de er i betragtning til. 7.1 Ved jobsamtalen kvalificeres den faglige viden, og stikprøvevis kontrolleres opgivne referencer. Der er i ansættelseskontrakten angivet reference til, at medarbejderen skal følge de til enhver tid gældende retningslinjer. Vi har forespurgt til procedure for ansættelse af nye medarbejdere, og vi har inspiceret proceduren. Vi har stikprøvevis inspiceret dokumentation for, at proceduren er fulgt. Vi har forespurgt til formaliseringen af ansættelsesforhold, og vi har stikprøvevis inspiceret indholdet af kontrakter. REVI-IT A/S Side 15 af 26

18 Under ansættelsen Kontrolmål: Formålet er at sikre, at medarbejdere og kontrahenter er bevidste om og lever op til deres informationssikkerhedsansvar. 7.2 Organisatorisk er ansvar inddelt efter roller primært følgende: ledelse, it-driftsudvalg og systemejer. Medarbejdere orienteres løbende på møder samt via omkring gældende it-sikkerhedspolitik og procedurer, samt orienteres når disse opdateres og ændres. Medarbejdere deltager herudover også løbende i relevant uddannelse. Vi har forespurgt til ledelsens ansvar for videreformidling af politikker og procedurer, og vi har inspiceret dokumentation for tildeling af ansvar. Vi har forespurgt til videreuddannelse af personale, og vi har stikprøvevis inspiceret dokumentation for videreuddannelse. Vi har forespurgt til retningslinjer for sanktionering, og vi har inspiceret retningslinjerne. Ansættelsesforholdets ophør eller ændring Kontrolmål: Formålet er at beskytte organisationens interesser som led i ansættelsesforholdets ophør eller ændring. 7.3 Ledelsen sikrer, at medarbejdere ved fratrædelse informeres om deres pligter bl.a., med reference til tavshedserklæring og juridiske regler. Vi har forespurgt til medarbejderes forpligtelse til opretholdelse af informationssikkerhed i forbindelse med ophør i ansættelse, og vi har inspiceret dokumentation for medarbejdernes forpligtelser. Styring af aktiver Ansvar for aktiver Kontrolmål: Formålet er at identificere organisationens aktiver og definere passende ansvarsområder til beskyttelse heraf. 8.1 Der vedligeholdes en fortegnelse med oversigt over udstyr placeret i datacenteret. Heri er angivet placering, ejerskab og andre relevante oplysninger for aktiverne. Der forefindes ligeledes fortegnelse over de menneskelige ressourcer. Disse findes som bilag til IT-sikkerhedshåndbogen. Ledelsen sikrer, at det bliver meddelt it-driftsudvalget, når medarbejdere eller anden form for personale tilknyttet virksomheden fratræder virksomheden, således at rettigheder og privilegier kan inddrages. Vi har forespurgt til fortegnelser over aktiver, og vi har stikprøvevis inspiceret fortegnelser over aktiver. Vi har endvidere inspiceret procedure for opdatering af fortegnelser over aktiver. Vi har forespurgt til oversigt af ejerskab for aktiver, og vi har inspiceret oversigten. Vi har forespurgt til retningslinjer for brugen af aktiver, og vi har inspiceret retningslinjerne. Vi har forespurgt til procedure til sikring af tilbagelevering af udleverede aktiver, og vi har inspiceret proceduren. Vi har stikprøvevis inspiceret processen for tilbagelevering af aktiver. REVI-IT A/S Side 16 af 26

19 Klassifikation af information Kontrolmål: Formålet er at sikre passende beskyttelse af information, der står i forhold til informationens betydning for organisationen. 8.2 Data og informationer er inddelt i 3 klassificeringer. Alle typer data behandles med omhu jf. It-sikkerhedshåndbogen. Forsendelse og opbevaring af fortrolige data må kun foregå med stærk kryptering, og efter aftale med dataejer. Vi har forespurgt til politik for klassificering af data, og vi har inspiceret politikken. Vi har forespurgt til mærkning af data, og vi har inspiceret retningslinjerne for mærkning af data. Vi har forespurgt til retningslinjer for håndtering af aktiver, og vi har inspiceret retningslinjerne. Mediehåndtering Kontrolmål: Formålet er at sikre hindring af uautoriseret offentliggørelse, ændring, fjernelse eller destruktion af information lagret på medier. 8.3 Destruktion af datamedier må kun foregå med garanti for total destruktion af medier, og med dokumentation fra bortskafferen. Vi har forespurgt til styring af bærbare medier, og vi har inspiceret dokumentation for løsningen. Vi har forespurgt til politik for bortskaffelse af databærende medier, og vi har inspiceret politikken. Vi har forespurgt til bortskaffede medier i perioden. Vi har forespurgt til transport af bærbare medier. Adgangskontrol Forretningsmæssige krav til adgangsstyring Kontrolmål: Formålet er at begrænse adgangen til information og informationsbehandlingsfaciliteter. 9.1 Adgangsrettigheder tildeles udelukkende ud fra et arbejdsbetinget behov. Diagnose- og konfigurationsporte kan kun anvendes ved fysisk tilstedeværelse ved det pågældende udstyr, og er således sikret af den almindelige adgangskontrol. Systemer, der kan sidestilles med samme adgangsniveau uden fysisk tilstedeværelse, er beskyttet af adgangskontrol med 2- faktorvalidering. Vi har forespurgt til politik for styring af adgange til systemer og bygninger, og vi har inspiceret politikken. Vi har forespurgt til håndtering af adgang til netværk og netværksservices, og vi har inspiceret løsningen. REVI-IT A/S Side 17 af 26

20 Administration af brugeradgange Kontrolmål: Formålet er at sikre adgang for autoriserede brugere og forhindre uautoriseret adgang til systemer og tjenester. 9.2 Brugere oprettes som personlige brugeridentiteter. Der vedligeholdes en brugeroversigt for relevante systemer, og denne oversigt revideres løbende for at sikre dens gyldighed. Er der tale om servicebrugere, er muligheden for egentlig log-on så vidt muligt deaktiveret. I tilfælde af ændringer/nedlæggelse/spærring af brugeradgang sørger systemejer for at udføre den pågældende opgave. Adgangsrettigheder gennemgås løbende for relevante systemer, og det kontrolleres, at der kun er de relevante adgange tildelt. Rettigheder og brugeradgang inddrages for medarbejdere eller anden form for personale tilknyttet virksomheden ved endt samarbejde. Vi har forespurgt til procedure for oprettelse og nedlæggelse af brugere, og vi har inspiceret procedurerne. Vi har stikprøvevis inspiceret dokumentation for oprettelse og nedlæggelse af brugere. Vi har forespurgt til proces for tildeling af rettigheder, og vi har stikprøvevis inspiceret processen. Vi har forespurgt til overvågning af anvendelsen af privilegerede adgangsrettigheder, og vi har stikprøvevis inspiceret dokumentation for overvågning. Vi har forespurgt til opbevaring og håndtering af fortrolige adgangskoder, og vi har inspiceret løsningen. Vi har forespurgt til proces for periodisk gennemgang af brugere, og vi har inspiceret dokumentation for seneste gennemgang. Brugernes ansvar Kontrolmål: Formålet er at gøre brugere ansvarlige for at sikre deres autentifikationsinformation. 9.3 Adgangskoder er fortrolige og behandles med omhu. Vi har forespurgt til retningslinjer for brugen af fortrolig adgangskode, og vi har inspiceret retningslinjerne. Styring af system- og applikationsadgang Kontrolmål: Formålet er at forhindre uautoriseret adgang til systemer og applikationer. 9.4 Adgangsrettigheder tildeles udelukkende ud fra et arbejdsbetinget behov. Der er etableret automatisk passwordpolicy, der systemmæssigt tvinger brugere til at overholde den gældende politik samt sikre regelmæssig skift af password. Til særligt sikrede systemer er der endvidere etableret 2- faktorvalidering. Vi har forespurgt til begrænsning af adgang til data, og vi har inspiceret dokumentation for begrænsning. Vi har forespurgt til procedure for sikker logon, og vi har inspiceret løsningen. Vi har forespurgt til system til styring af adgangskoder, og vi har inspiceret de opstillede krav til kvaliteten af kodeord. REVI-IT A/S Side 18 af 26

21 Fysisk sikring og miljøsikring Sikre områder Kontrolmål: Formålet er at forhindre uautoriseret fysisk adgang til samt beskadigelse og forstyrrelse af organisationens information og informationsbehandlingsfaciliteter Adgang til sikre områder er begrænset af automatisk adgangskontrol og alarm, hvor hver enkelt medarbejder er oprettet med egen personlig adgangskode/nøglebrik. Generel adgang til bygning/kontor kræver adgangskode og kodebrik. Kun personer med arbejdsrelateret behov for at kunne tilgå datacentret har adgang hertil. Der er ligeledes etableret videoovervågning af området, samt sikret udeareal hvor eksternt udstyr som dieselgenerator og køling er placeret. Eksternt udstyr er placeret bag aflåst og hærkværkssikret indhegning. Der føres log over oplåsning af døre, samt fra og tilkobling af alarm og zoner. Loggen for adgang er sikret jf. gældende sikkerhedspolitikker. Alle driftssystemer er placeret i serverrummet. Vi har inspiceret de fysiske rammer for WWI's datacenter og kontor, og vi har påset lokationen for betryggende fysiske rammer. Vi har forespurgt til den fysiske adgangskontrol til datacenter, og vi har inspiceret den etablerede løsning. Vi har forespurgt til kontrol med adgang til datacenter, og vi har inspiceret kontrollen. Vi har forespurgt til foranstaltninger til beskyttelse mod eksterne og miljømæssige trusler, og vi har inspiceret den etablerede løsning. Vi har forespurgt til erklæring fra underleverandør med hensyn til de fysiske rammer, og vi har inspiceret erklæringen fra underleverandøren, med henblik på at identificere væsentlige bemærkninger. Erklæring fra underleverandøren dækker hele revisionsperioden. REVI-IT A/S Side 19 af 26

22 Udstyr Kontrolmål: Formålet er at undgå tab, skade, tyveri, eller kompromittering af aktiver og driftsafbrydelse i organisationen It-aktiver, der understøtter kritiske processer, er forsynet med UPS og diesel generator til fortsat drift i tilfælde af strømsvigt. Hvilket er tilsvarende for køleanlæg, brandslukning samt rum-overvågning. It-driftsudvalget følger min. 1 gang årligt op på servicering af nævnte udstyr. Der udføres løbende inspektion af tekniske sikringsforanstaltninger samt andre relevante systemer i forbindelse med driften i serverrummet. Der er etableret systempolicy, der automatisk sørger for at låse og slå pauseskærm til på alle enheder jævnføre den gældende sikkerhedspolitik. Ligeledes holdes skriveborde ryddelige for fortrolige dokumenter og materiale. Alle lagringsmedier slettes (almindelig re-formatering er ikke tilstrækkelig) eller fysisk destrueres inden genbrug eller bortskaffelse. Vi har forespurgt til placering af vitalt udstyr, og vi har inspiceret lokationen og påset eksistensen af virksomhedens understøttende forsyninger, herunder nødstrømsforsyning, køling og brandsikring. Vi har endvidere inspiceret datacenter med henblik på at påse sikring af kablingen. Vi har forespurgt til servicering af udstyr, og vi har inspiceret dokumentation for service på udstyr. Vi har forespurgt til sikker bortskaffelse af udstyr, og vi har inspiceret politik for bortskaffelse af udstyr. Vi har forespurgt til sikring af brugerudstyr uden opsyn, og vi har påset den etablerede løsning. Vi har forespurgt til politik for ryddeligt skrivebord og blank skærm, og vi har inspiceret politikken. Vi har forespurgt til erklæring fra underleverandør med hensyn til de fysiske rammer, og vi har inspiceret erklæringen fra underleverandøren med henblik på at identificere væsentlige bemærkninger. Erklæring fra underleverandøren dækker hele revisionsperioden. Det har ikke været muligt at teste effektiviteten af procedure for bortskaffelse af databærende udstyr, idet der ikke er foretaget destruktion af databærende udstyr i perioden. REVI-IT A/S Side 20 af 26

23 Driftssikkerhed Driftsprocedurer og ansvarsområder Kontrolmål: Formålet er at sikre korrekt og sikker drift af informationsbehandlingsfaciliteter It-driftsudvalget tager stilling til relevante procedurer. Der udføres Change Management på relevante systemer og udstyr. Der forefindes change-log på relevant udstyr/systemer. It-driftsudvalget foretager løbende en vurdering af kapacitetsbehovet for driften. Herudover udarbejder ledelsen minimum én gang årligt en beskrivelse af det kommende års forventelige forretningsmæssige it-ressourcebehov. Netværk og netværksudstyr overvåges proaktivt via system, der løbende kan opsamle data om performance og reagere på fejl fra udstyret. Driftsmedarbejdere orienteres automatisk via eller SMS ved fejl. Vi har forespurgt til udarbejdelse og vedligeholdelsen af procedurer i forbindelse med driften. Vi har stikprøvevis inspiceret procedurerne og påset, at de løbende vedligeholdes. Vi har forespurgt til ændringsstyring, og vi har stikprøvevis inspiceret dokumentation for håndtering af ændringer i perioden. Vi har forespurgt til overvågning af kapacitet, og vi har stikprøvevis inspiceret dokumentation for overvågning af kapacitet. Vi har forespurgt til adskillelse af produktions- og testmiljø, og vi har inspiceret dokumentation for adskillelse. Malwarebeskyttelse Kontrolmål: Formålet er at sikre, at information og informationsbehandlingsfaciliteter er beskyttet mod malware På alle relevante servere og maskiner er der installeret antivirus for at sikre mod udefra kommende virus/malware/trusler. Vi har forespurgt til foranstaltninger mod malware. Vi har forespurgt til anvendelsen af antivirusprogrammer, og vi har inspiceret dokumentation for anvendelsen. Vi har forespurgt til procedure for håndtering af DDoS og ransomware, og vi har inspiceret procedurerne. REVI-IT A/S Side 21 af 26

24 Backup Kontrolmål: Formålet er at beskytte mod tab af data Der foretages fuld kopiering af alle servere/data jf. gældende SLA. Særligt udvalgte systemer kan have flere restorepoints. Backup foretages i 2 omgange. Primær backup til diskbaseret system i datacentret. Herefter replikeret backup foretaget til diskbaseret system på sekundær site via dedikeret fiberforbindelse. Backuprapport gennemgås løbende for fejl og andre relevante informationer, og der føres log over backuprapporter og hændelser. Der foretages løbende restore test. Der gendannes vilkårligt data og det kontrolleres, at data er intakt og ser ud som forventet. Der foretages logføring af restore test. Vi har forespurgt til konfiguration af backup, og vi har stikprøvevis inspiceret dokumentation for opsætningen. Vi har forespurgt til opbevaring af backup, og vi har inspiceret erklæring fra underleverandør med henblik på at se, at backup opbevares forsvarligt. Vi har forespurgt til test af genoprettelse fra backupfiler, og vi har inspiceret dokumentation for test af genoprettelse. Logning og overvågning Kontrolmål: Formålet er at registrere hændelser og tilvejebringe bevis Der opsamles log på systemer for autoriserede og uautoriserede adgangsforsøg. Logs gennemgås periodisk for autoriserede/ uautoriserede logins fra brugere med administrative rettigheder. Logdata gemmes og sikres, og relevante logdata gennemgås løbende. Systemer og netværksudstyr synkroniserer automatisk tiden via NTP-server fra internettet. Vi har forespurgt til logning af brugeraktivitet. Vi har stikprøvevis inspiceret logningskonfigurationerne. Vi har forespurgt til sikring af logoplysninger, og vi har inspiceret løsningen. Vi har forespurgt til logning af brugeraktivitet. Vi har stikprøvevis inspiceret logningskonfigurationerne. Vi har forespurgt til synkronisering op imod en betryggende tidsserver, og vi har inspiceret løsningen. Styring af driftssoftware Kontrolmål: Formålet er at sikre integriteten af driftssystemer Patching og andre opgraderinger udføres som fastlagt i gældende procedurer. Disse dokumenteres ligeledes i Change Management. Via vores medlemskab af BFIH er vi forpligtede til at sikre, at kritiske sikkerhedsopdateringer implementeres inden for 2 måneder efter frigivelse. Dette sikrer vi ved, at vi efter fastlagte procedurer afvejer alle væsentlige opdateringer og implementerer dem inden for det pågældende tidsrum. Vi har forespurgt til retningslinjer for installation af software på driftssystemer, og vi har inspiceret retningslinjerne. Vi har forespurgt til rettidig opdatering af driftssystemer, og vi har inspiceret dokumentation for opdatering af driftssystemerne, som stemmer overens med BFIH's krav. REVI-IT A/S Side 22 af 26

25 Sårbarhedsstyring Kontrolmål: Formålet er at forhindre, at tekniske sårbarheder udnyttes Bærbare computere opdateres automatisk med beskyttelse, selv om der ikke kan kommunikeres med de centrale servere, og medarbejderes egne PC ere er underlagt den til enhver tid gældende IT-sikkerhedspolitik. Vi har forespurgt til styring af tekniske sårbarheder, og vi har inspiceret dokumentation for styringen. Vi har forespurgt til styring af adgang til programinstallation, og vi har inspiceret dokumentation for begrænsningen af brugere med rettighed til programinstallation. Kommunikationssikkerhed Styring af netværkssikkerhed Kontrolmål: Formålet er at sikre beskyttelse af informationer i netværk og af understøttende informationsbehandlingsfaciliteter Netværket er opdelt i segmenter samt er beskyttet af firewalls for at opnå den nødvendige sikkerhed for systemerne. Netværk og netværksudstyr overvåges proaktivt via et system, der løbende kan opsamle data om performance og reagere på fejl fra udstyret. Vi har forespurgt til foranstaltninger til beskyttelse af netværk og netværkstjenester. Vi har inspiceret dokumentation for etablering af firewall. Vi har forespurgt til kontroller for vedligeholdelse af firewallen, og vi har inspiceret dokumentation for skanninger på virksomhedens firewall. Vi har forespurgt til sikring af netværkstjenester, og vi har inspiceret dokumentation for betryggende sikring. Informationsoverførsel Kontrolmål: Formålet er at opretholde informationssikkerhed ved overførsel internt i en organisation og til en ekstern entitet Kunders datakommunikation til WWI A/S foregår alene krypteret, bort set fra s. Kunder kan vælge at benytte krypterede e- mails hvis der er behov for dette. Vi har forespurgt til politikker og procedurer for dataoverførsel. Vi har forespurgt til aftaler om dataoverførsel. Vi har forespurgt til retningslinjer for afsendelse af fortrolig information. Vi har forespurgt til etablering af fortrolighedsaftaler og vi har inspiceret dokumentation for etablering. REVI-IT A/S Side 23 af 26

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

DFF EDB a.m.b.a. CVR-nr.:

DFF EDB a.m.b.a. CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med deres hostingydelse hos Zitcom A/S pr. 23. juni 2017 ISAE 3402-I DFF EDB a.m.b.a.

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk Sonlinc A/S ISAE 3000-erklæring fra uafhængig revisor vedrørende udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing for perioden

Læs mere

DFF-EDB a.m.b.a CVR nr.:

DFF-EDB a.m.b.a CVR nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og implementering i forbindelse med hosting og drift af Citrix-platformen pr. 22. juni 2015 ISAE 3402, type I

Læs mere

Zentura IT A/S CVR-nr.:

Zentura IT A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med salg og drift af hostingplatform i perioden 01-11-2015 til 31-10-2016 3402-II

Læs mere

Zentura IT A/S CVR-nr. 32 89 08 06

Zentura IT A/S CVR-nr. 32 89 08 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-12-2014 til 30-11-2015 ISAE 3402-II any.cloud

Læs mere

any.cloud A/S CVR nr.: DK 31161509

any.cloud A/S CVR nr.: DK 31161509 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-12-2013 til 30-11-2014 any.cloud A/S CVR nr.:

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Procedure for tilsyn af databehandleraftale

Procedure for tilsyn af databehandleraftale IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

NORRIQ Danmark A/S CVR-nr.:

NORRIQ Danmark A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-01-2016 til 31-12-2016 ISAE 3402-II NORRIQ Danmark

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

any.cloud A/S CVR-nr.:

any.cloud A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelsen i perioden 01-12-2015 til 30-11-2016 ISAE 3402-II any.cloud

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

SYSTEMHOSTING A/S CVR nr.: 25 81 46 06

SYSTEMHOSTING A/S CVR nr.: 25 81 46 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af hosting-platform i perioden 01-01-2015 til 31-12-2015 SYSTEMHOSTING

Læs mere

WWI A/S. CVR nr.: 26 73 40 96. Februar 2016

WWI A/S. CVR nr.: 26 73 40 96. Februar 2016 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af deres hostingydelse i perioden 01-12-2014 til 30-11-2015 WWI A/S

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

ISAE 3402-II NORRIQ Danmark A/S. CVR nr.: Marts 2016

ISAE 3402-II NORRIQ Danmark A/S. CVR nr.: Marts 2016 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-01-2015 til 31-12-2015 ISAE 3402-II NORRIQ Danmark

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013 Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Informationssikkerhedspolitik for <organisation>

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

ISAE 3402 TYPE 2 ERKLÆRING

ISAE 3402 TYPE 2 ERKLÆRING JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING JUNI 2015 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

IST DANMARK APS ISAE 3000 ERKLÆRING

IST DANMARK APS ISAE 3000 ERKLÆRING MAJ 2017 IST DANMARK APS ISAE 3000 ERKLÆRING Uafhængig revisors erklæring om IST Danmark ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerheds- foranstaltninger til beskyttelse af personoplysninger.

Læs mere

SYSTEMHOSTING A/S CVR nr.: 25814606

SYSTEMHOSTING A/S CVR nr.: 25814606 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af hosting-platform i perioden 01-01-2014 til 31-12-2014 SYSTEMHOSTING

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad

Læs mere

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017 Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst

Læs mere

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune. Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker 5. 1. Retningslinjer for styring af informationssikkerhed 5. 1. 1. Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne

Læs mere

NaviPartner København ApS CVR-nr.: 21 38 21 91

NaviPartner København ApS CVR-nr.: 21 38 21 91 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og effektivitet i forbindelse med drift af Microsoft Dynamics NAV hosting-platform i perioden 01-10-2014 til 30-09-2015

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter www.pwc.dk Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Januar 2016 Indhold 1. Ledelsens udtalelse 3 2.

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING APRIL 2014 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik for Horsens Kommune Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S plus revision skat rådgivning Front-data Danmark A/S ISAE 3402 type 2 erklæring Februar 2013 Revisionserklæring af de generelle it-kontroller for driften af Front-data Danmarks hosting-aktiviteter. Kalvebod

Læs mere

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 Februar 2015 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING FEBRUAR 2015 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2014 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

A/S it-drift og hostingaktiviteter

A/S it-drift og hostingaktiviteter www.pwc.dk Januar 2015 Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle itkontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Indhold 1. Ledelsens erklæring 3 2. Outforce

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

Organisering og styring af informationssikkerhed. I Odder Kommune

Organisering og styring af informationssikkerhed. I Odder Kommune Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium 18. juni 2015 BILAG 1 Kommissorium for revisionsudvalget i TDC A/S 1. Status og kommissorium Revisionsudvalget er et udvalg under bestyrelsen, der er nedsat i overensstemmelse med 15.1 i forretningsordenen

Læs mere

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål. Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling

Læs mere

FRONT-DATA DANMARK A/S

FRONT-DATA DANMARK A/S MARTS 2014 FRONT-DATA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-data Danmarks hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

FYSISK SIKKERHED. Bilag 10-1

FYSISK SIKKERHED. Bilag 10-1 FYSISK SIKKERHED Bilag 10-1 Indholdsfortegnelse 1. FYSISK SIKKERHED... 3 1.1. SIKRE OMRÅDER... 3 1.2. BESKYTTELSE AF UDSTYR... 4 Bilag 10-1 FYSISK SIKKERHED Kunden, side 2 af 6 1. FYSISK SIKKERHED Kundens

Læs mere

DEN UAFHÆNGIGE REVISORS REVISIONSPÅTEGNING

DEN UAFHÆNGIGE REVISORS REVISIONSPÅTEGNING Paradigme standard 3: Erklæring om offentlig revision 2016 Almen boligorganisation Fuldstændigt regnskab med generelt formål efter en begrebsramme, der giver et retvisende billede. Regnskab omfattet af

Læs mere

Kl Indledning v. Lone Strøm, Rigsrevisor

Kl Indledning v. Lone Strøm, Rigsrevisor Kl. 13.00-13.10 Indledning v. Lone Strøm, Rigsrevisor Kl. 13.10-13.40 Hvad viser Rigsrevisionens beretning? Hvad viser beretningen om styring af it-sikkerhed hos it-leverandører? v. Claus Bobjerg Juul,

Læs mere

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR. IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens

Læs mere

Hørsholm Kommune. Regler 3.3. Slutbruger

Hørsholm Kommune. Regler 3.3. Slutbruger Hørsholm Kommune Regler 3.3 Slutbruger 17-11-2016 Indholdsfortegnelse 6 Organisering af informationssikkerhed 1 6.1 Interne organisatoriske forhold 1 6.1.4 Godkendelsesprocedure ved anskaffelser 1 6.1.5

Læs mere

Bilag 7.1 Status på handleplan

Bilag 7.1 Status på handleplan Bilag 7.1 Status på handleplan Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015 Status = projektstatus ud fra milepæle Følger plan

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så blev den nye version af ISO 9001 implementeret. Det skete den 23. september 2015 og herefter har virksomhederne 36 måneder til at implementere de nye krav i standarden. At

Læs mere

Bilag X Databehandleraftale

Bilag X Databehandleraftale Bilag X Databehandleraftale 1 Anvendelsesområde og omfang 1.1 KUNDEN er dataansvarlig for de personoplysninger, som MICO behandler på vegne af KUNDEN i henhold til Aftalen. MICO er databehandler. KUNDEN

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Underbilag Databehandlerinstruks

Underbilag Databehandlerinstruks Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter

Læs mere

Kommissorium for revisionsudvalget i TDC A/S

Kommissorium for revisionsudvalget i TDC A/S 2. februar 2012 Kommissorium for revisionsudvalget i TDC A/S 1. Status og kommissorium Revisionsudvalget er et udvalg under bestyrelsen, der er nedsat i overensstemmelse med 15.1 i forretningsordenen for

Læs mere

DEN UAFHÆNGIGE REVISORS REVISIONSPÅTEGNING

DEN UAFHÆNGIGE REVISORS REVISIONSPÅTEGNING Paradigme standard 3: Erklæring om offentlig revision 2016 Boligafdeling i almen boligorganisation Fuldstændigt regnskab med generelt formål efter en begrebsramme, der giver et retvisende billede. Regnskab

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes Det er jf. Aftale om forældretilfredshedsundersøgelse på Børn og Unge området i Aarhus Kommune 2015 aftalt, at - leverandørnavn

Læs mere

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser April 2013 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S

Læs mere

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv

Læs mere

Sotea ApS CVR nr.: DK 10085225

Sotea ApS CVR nr.: DK 10085225 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-08-2014 til 31-01-2015 Sotea ApS CVR nr.: DK 10085225

Læs mere