Zentura IT A/S CVR-nr.:

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Starte visningen fra side:

Download "Zentura IT A/S CVR-nr.:"

Transkript

1 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med salg og drift af hostingplatform i perioden til II Zentura IT A/S CVR-nr.: November 2016 REVI-IT A/S statsautoriseret revisionsaktieselskab Jens Kofods Gade København K Tlf revi-it.dk CVR-nr

2 Indholdsfortegnelse Afsnit 1: Zentura IT A/S ledelseserklæring... 1 Afsnit 2: Afsnit 3: Beskrivelse af Zentura IT s kontroller i forbindelse med salg og drift af hosting-platform... 2 Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet... 8 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf REVI-IT A/S

3 Afsnit 1: Zentura IT A/S ledelseserklæring Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt Zentura IT A/S hostingplatform, og deres revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt, ved vurdering af risiciene for væsentlig fejlinformation i kundernes regnskaber. Zentura IT A/S bekræfter, at: (a) Den medfølgende beskrivelse, i afsnit 2, giver en retvisende beskrivelse af Zentura IT A/S salg og drift af hosting-platform til kunder i hele perioden fra til Kriterierne for denne udtalelse var, at den medfølgende beskrivelse: (i) (ii) redegør for, hvordan systemet var udformet og implementeret, herunder redegør for: de typer af ydelser, der er leveret, når det er relevant de processer i både it- og manuelle systemer, der er anvendt til at igangsætte, registrere, behandle og om nødvendigt korrigere transaktionerne samt overføre disse til de rapporter, der er udarbejdet til kunder relevante kontrolmål og kontroller, udformet til at nå disse mål kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af brugervirksomheder, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen og rapporteringen af kunders transaktioner indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden fra til (iii) ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne system under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt ved systemet, som den enkelte kunde måtte anse vigtigt efter deres særlige forhold (b) de kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra til Kriterierne for denne udtalelse var, at: (i) (ii) (iii) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål, og kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra til Vipperød, 17. november 2016 Zentura IT A/S Christian Pedersen Adm. direktør REVI-IT A/S Side 1 af 27

4 Afsnit 2: Beskrivelse af Zentura IT s kontroller i forbindelse med salg og drift af hosting-platform Indledning Vi har i virksomheden implementeret en række kontroller med henblik på at kvalitetssikre og dokumentere kvaliteten i vores ydelser. Alle kontroller, hvad enten de relaterer sig til en processuel eller teknisk handling, har en udførende ansvarshavende, og i visse tilfælde også en ansvarshavende godkender. Vores kontroller er rettet mod dels konkrete arbejdshandlinger, dels processer for en række arbejdshandlinger, hvilket kan have konkrete kontroller tilknyttet yderligere. Konkrete arbejdshandlinger er beskrevet i Standard Operating Procedure dokumenter (SOP er). Tidsangivelse for en given kontrol opgives altid over en periode, også selvom en given kontrol oftest måtte blive praktisk udført i en bestemt måned år efter år. Anvendelsesområde Vi er specialister i rådgivning, implementering, drift og vedligeholdelse af forretningskritiske it-løsninger, og tilbyder vores kunder forskellige typer af hosting. Vi har særlig fokus og kompetencer indenfor rådgivning, opsætning, opgradering, drift og vedligehold af Citrix løsninger. Vi sætter kvalitet og pålidelighed i højsædet, og da langt de fleste af vores produkter og services leveres i realtid, har vi naturligvis 24/7/365 kundeservice, monitorering og lover aldrig mindre end 99,7 % tilgængelighed. For at garantere vores ydelser vedligeholder vi løbende vores systemer, vores kompetencer og vores dokumentation. Vi er vores kunders it-afdeling og håndterer alle aspekter forbundet hermed. 5. Informationssikkerhedspolitikker 5.1 Retningslinjer for styring af informationssikkerhed Vi har i vores it-sikkerhedspolitik beskrevet hvordan vi tilsikrer informationssikkerhed i vores forretning. Vores it-sikkerhedspolitik kan ikke fraviges, hverken for kunder, ansatte eller leverandører, og det er virksomhedens ledelse der godkender retningslinjer og foretager de nødvendige opdateringer af samme. Virksomhedens it-sikkerhedspolitik opdateres såfremt der foretages ændringer eller implementeres nye forretningsområder, og politikken gennemgås i sin helhed minimum én gang årligt. Risikostyring Alle trusler vurderes systematisk og ensartet, og for at tilsikre transparens, overskuelighed og dokumentation, benyttes fastlagt klassifikationsmetode. Identifikation, analyse og vurdering af risici med betydning for vores forretning kan tage afsæt i både udefra kommende trusler og interne forhold. Risikovurdering foretages periodisk, minimum én gang årligt, samt når der foretages ændringer eller implementeres nye systemer, som vi vurderer at have relevans til i forhold til en revurdering af vores generelle risikovurdering. 6. Organisering af informationssikkerhed 6.1. Intern organisering Når vi har ændret ting i it-sikkerhedspolitikken, og minimum efter den årlige gennemgang, fremlægges ændringerne internt ved førstkommende månedsmøde for personalet. Ligeledes bliver eksterne leverandører m.fl. Inddraget og orienteret såfremt det har relevans. REVI-IT A/S Side 2 af 27

5 Det er virksomhedens administrerende direktør og partner, som er ansvarlig for virksomhedens informationssikkerhed Mobilt udstyr (databærende medier) og fjernarbejdspladser Vi har ingen databærende medier, undtaget serverrumsmedier og mobiltelefoner. Alle mobiltelefoner er sikret med en MDM løsning indeholdende en række sikkerhedspolicies. Vi anvender ikke lokale medier som eksempelvis USB-sticks. 7. Medarbejdersikkerhed 7.1. Før ansættelsen Forud for ansættelse af medarbejdere følges en ansættelsesprocedure. Det er den ansættende medarbejder/partner, som er ansvarlig for de HR relaterede kontroller. I For konsulenter, som skal have adgang til (dele af) vores netværk, udarbejdes altid opgavespecifik kontrakt, dedikeret fortrolighedserklæring, og anden relevant dokumentation indhentes. Det er virksomhedens direktør, som er ansvarlig for at alle HR processer og procedurer overholdes, og virksomhedens størrelse taget i betragtning varetages disse opgaver typisk af ham selv. Den tekniske oprettelse af medarbejdere- såvel som konsulenter, foretages i henhold til relevante SOP er. Vi har desuden en proces for kontrol af alle brugere med rettigheder til virksomhedens netværk. 7.2 Under ansættelsen Medarbejdere, og eksterne parter når relevant, bliver uddannet og trænet i vores retningslinjer for itsikkerhed og de deraf afledte opgaver. Dette foregår som sidemandsoplæringer, ved kontormøder o. lign. Vi har desuden en procedure for træning/uddannelse/certificering af medarbejdere. Afhængighed af nøglemedarbejdere Via vores dokumentation og beskrivelser sikrer vi os mod personafhængighed, ligesom vi arbejder med dobbeltroller på alle funktioner Ansættelsesforholdets ophør eller ændring Den tekniske afvikling af medarbejdere- såvel som konsulenter, foretages i henhold til relevante SOP er. Vi har desuden en proces for kontrol af alle brugere med rettigheder til virksomhedens netværk. 8 Styring af aktiver 8.1 Ansvar for aktiver Alle aktiver er ejet af virksomheden og der foreligger fortegnelser over samme. 8.2 Klassifikation af information Al virksomhedens data, såvel egne data som kundernes data, nyder samme beskyttelse. Der kan være helt særlige forhold aftalt for visse kunder, og disse forhold vil være reguleret og håndteret efter særlig aftale. 8.3 Mediehåndtering Vi har ingen databærende medier, undtaget serverrumsmedier og mobiltelefoner. Alle mobiltelefoner er sikret med en MDM løsning indeholdende en række sikkerhedspolicies. Vi anvender ikke lokale medier som eksempelvis USB-sticks. REVI-IT A/S Side 3 af 27

6 9. Adgangsstyring 9.1. Forretningsmæssige krav til adgangsstyring Vores kunders brugere oprettes, ændres og nedtages alene på baggrund af krav fra vores kunder. Interne brugere oprettes alene på baggrund af skriftligt ønske fra ledelsen. Alle brugere er personhenførbare. Servicebrugere, altså konti som alene benyttes systemmæssigt, er muligheden for egentlig logon deaktiveret. Alle brugere, kundebrugere som interne brugere, har restriktioner omkring adgangskode. Interne brugere og deres adgangsniveau gennemgås periodisk af ledelsen. Alle medarbejdere er oprettet med differentieret adgang, og har således alene adgang til de systemer og de data som er relevant for deres respektive jobfunktioner. Vi benytter desuden 2-faktor autentifikation, som er obligatorisk, også for kunder. 9.2 Administration af brugeradgang Onboarding af nye kunder foretages i henhold til fastlagte procedurer og relevante SOP er. Repræsentant fra vores Salg og Ledelse skal godkende kundeopsætningen, hvorfor der sikres overensstemmelse med kontrakt, teknik og forretningskrav. Hver kundekontrakt indeholder desuden specifikation af hvem, hos kunden, der har rettigheder til at fremsende og/eller godkende it-ændringsønsker på vegne af den pågældende virksomhed til Zentura, så der aldrig opstår tvivl om hvem der er ansvarlig for en udført handling. 9.3 Brugernes ansvar Administration af brugeradgange foretages i henhold til fastlagte procedurer og relevante SOP er. Retningslinjer for brugeransvar er tilgængelige i virksomhedens it-sikkerhedspolitik og medarbejderhåndbog Styring af system- og applikationsadgang Administration af system- og applikationsadgange foretages i henhold til fastlagte procedurer og SOP er. 10. Kryptografi 10.1 Kryptografiske kontroller Al netværkskommunikation mellem os og vores kunder er beskyttet med kryptering. Adgang til, og administration af, krypteringsnøgler varetages alene af virksomhedens ledelse. Al trafik til og fra Zenturas netværk er beskyttet med SSL certifikater som er trusted af GlobalSign. 11 Fysisk sikring og miljøsikring 11.1 Sikre områder Al vores udstyrer placeret i eget rack hos vores datacenter leverandør. Her er det kun vores tekniske personale har adgang. Vores backup udstyr er placeret i eget rack på alternativ datacenter-lokation. Vores datacenter leverandør har revisorerklæring af type ISAE 3402-II, som afgives årligt, og vi indhenter årligt relevant it-revisorerklæring fra leverandøren. Dertil fører vi selv tilsyn med vores fysiske udstyr, når vi med jævne mellemrum er lokationen for at udføre nødvendigt hardware relateret arbejde. Vores fysiske kontor er placeret i Vipperød. Vi har en proces for sikring af lokationen Udstyr Bortskaffelse af medier Vi ejer alle serverrumsmedier. Medier destrueres som en del af vores indkøbsaftale med leverandøren. Ved tyveri af mobiltelefon, foretages en fuld sletning af telefonen, og telefonens certifikat annulleres på vores certifikatserver. Det vil derefter ikke være muligt at tilgå vores netværk via den pågældende telefon. REVI-IT A/S Side 4 af 27

7 12 Driftssikkerhed 12.1 Driftsprocedurer og ansvarsområder Vores dokumentation og arbejdsprocesser medvirker til at sikre en stabil, korrekt og driftssikker ydelse, hvor personafhængighed og sluske-fejl minimeres Malwarebeskyttelse Vi anser Malware som en af de største trusler mod vores forretning, og vores tekniske foranstaltninger sikrer den højst mulige grad af sikkerhed for, at malware ikke kan afvikles i vores miljøer. Vi minimerer risikoen både i form af perimeter sikkerhed, men også skadesafgrænsning, skulle en hændelse opstå Backup og sikkerhedskopiering Hos Zentura IT tager vi vores ansvar alvorligt. Vores kunders data er lige så vigtigt som vores egen data, og vi har en procedure for at sikre samme. Vi har to backup løsninger og en disaster recovery løsning. Vores disaster recovery løsning sikrer en kopi af data, som er fysisk adskilt fra driftssystemerne. Vi tager dagligt backup, og vi har en procedure for kontrol af backup, herunder hvordan der skal agres ved fejl. Vi har desuden et redundant SAN, som indeholder en 1:1 kopi i 5 daglige versioner af vores drift SAN Logning og overvågning Vores tekniske set-up fokuserer på samme værdier, og værn mod uvedkommendes adgang til vores data er af højeste prioritet. Vi har desuden antivirus-systemer, skanning, og systemer til overvågning og sikring af netværk og internetbrug. Vi foretager daglig overvågning af vores systemer via automatiserede systemer til måling af grænseværdier. Alarmering, såfremt en kritisk hændelse konstateres, tilgår vores driftsmedarbejdere og uden for kontortiden til vores driftsvagt. Hændelser for login og logout på vores platforme logføres, og vi benytter alene personhenførbare brugerkonti, hvorfor det ter muligt at identificere hvilke personer der har været logget på Styring af driftssoftware Patching foretages ugentligt i et fastlagt service vindue. Service vinduet fremgår af virksomhedens generelle forretningsbetingelser, og skal ikke varsles separat. For kritiske systemopdateringer, eksempelvis Windows security updates, varsles kunderne i så god tid som muligt Sårbarhedsstyring Vores systemer er beskyttet mod ukontrolleret installation af software. Vores kunder er ligeledes afskærmet fra muligheden for at installere software Overvejelser i forbindelse med audit af informationssystemer Vi prioriterer løbende intern audit, herunder interne stikprøvekontroller, og tidspunkt for udførelsen af den eksterne audit planlægges i samarbejde med vores auditører. 13 Kommunikationssikkerhed 13.1 Styring af netværkssikkerhed Al godkendt netværkstrafik (indgående) kommer igennem vores firewall, og vi har MPLS forbindelser til alle kunder. Vi har en fast procedure for dokumentation af internt netværk, logisk opdeling af netværk, navngivning af enheder mv. Adgang til netværk via mobile enheder sikres via en MDM løsning, som er en fast del af vores proces for opsætning af enheder. REVI-IT A/S Side 5 af 27

8 Alle standard ændringer har en dedikeret SOP. Alle væsentlige ændringer drøftes, prioriteres og godkendes af ledelsen Informationsoverførsel Ekstern datakommunikation sker alene via s, idet vores kunders adgang og brug af vores servere ikke betragtes som ekstern datakommunikation. 14 Anskaffelse, udvikling og vedligeholdelse af systemer 14.1 Sikkerhedskrav til informationssystemer Informationssikkerhedsrelaterede krav er en del af vores processer, og ændringer/nyindkøb vurderes altid ud fra et sikkerhedsmæssigt perspektiv, jf. vores risikoanalyse Sikkerhed i udviklings- og hjælpeprocesser Alle ændringer til systemer håndteres via change procedure Testdata Testdata må aldrig være personfølsom eller fortrolig data. Testdata nyder samme beskyttelse som al anden data. 15 Leverandørforhold 15.1 Informationssikkerhed i leverandørforhold Alle vores leverandør og partneraftaler skal indeholde regulering af fortrolighed Styring af leverandørydelser Vi har en proces til at sikre at vores leverandøraftaler indeholder relevante sikkerhedsmæssige forhold, eksempelvis forhold om monitorering, fortrolighed, immaterielle rettigheder og leverancesikkerhed. Der indhentes tillige revisorerklæring(er) fra vores kritiske leverandører. 16 Styring af informationssikkerhedsbrud 16.1 Styring af informationssikkerhedsbrud og forbedringer Vi definerer sikkerhedshændelser bredt, og har procedurer for håndtering af hændelser. Vi har en række tiltage for at forhindre at sikkerhedshændelser opstår, og vi har driftsvagtordning således at vi kan reagere straks en hændelse måtte opstå. Vi har etableret kontakt til hotline hos DK-CERT, vi har SikkerDNS via CSIS, som hjælper os med at være på forkant. Vi holder os tillige fagligt opdaterede vha. producenternes hjemmesider, debatfora mv. Opfølgning på informationssikkerhedsbrud Alle sikkerhedsbrud dokumenteres til internt brug, og hændelsen gennemgås med alle relevante medarbejdere ved førstkommende lejlighed. Afhængig af hændelsens karakter udarbejdes nye processer og procedurer, så vi undgår at hændelsen indtræffer igen. Sikkerhedsrelaterede emner, generelle såvel som aktuelle emner, gennemgås desuden ved interne møder. Ved kriminelle forhold sker en politimæssig efterforskning, hvor vores logføring og øvrige overvågning kan benyttes til opklaring og evaluering af sikkerhedshændelsen. REVI-IT A/S Side 6 af 27

9 17 Informationssikkerhedsaspekter ved nød-, beredskabs og reetableringsstyring Informationssikkerhedskontinuitet Kapacitetsstyring Tilgængelighed er en af vores kerneværdier, og vi sætter en ære i altid at levere den forventede kvalitet i ydelser til vores kunder. Vi overvåger vores kapacitet, både disk, CPU og trafik, og vi kan løbende, og uden gene for kunderne, kan udvide vores kapacitet Redundans Skulle en nødsituation opstå har Zentura udarbejdet en beredskabsplan. Beredskabsplanen er udarbejdet i henhold til vores it-sikkerhedspolitik og vores risikoanalyse, og den vedligeholdes minimum årligt. Planen testes, og plan og procedurer er forankret i vores driftsdokumentation- og procedurer. Vores beredskabsplanlægning tager højde for at vi kan levere vores ydelser rettidigt næsten uanset hvad der sker. Komplimenterende kontroller Med mindre andet er aftalt, er vores kunder selv ansvarlige for at etablere forbindelse til vores servere. Desuden er vores kunder selv ansvarlige for, med mindre andet er aftalt, at; i) Det aftalte niveau for backup dækker kundens behov, ii) Brugeradministration, herunder anmodninger om oprettelse og nedtagning af bruger, og periodisk gennemgang, af kundens egne brugere, iii) At sporbarhed opretholdes i tredjepartssoftware, som kunden selv administrerer, iv) At kundespecifikke softwareløsninger understøtter den af os udbudte backup teknologi, v) Særaftale for backupjobs der kræver krypteringspassword, hvor kunden alene er ansvarlig for håndtering og opbevaring af krypteringspassword, og vi) Anmodning om adgang til kundens servermiljø for kundens tredjepartsleverandører, vii) Kundens anmeldelse til Datatilsynet, for hvem dette måtte være relevant. 18 Overensstemmelse 18.1 Overensstemmelse med lovbestemt og kontraktlige krav Vi er ikke underlagt særlig lovgivning i forhold til vores ydelser. Vores kunder kan dog være underlagt særlig lovgivning, og hvor det måtte være tilfældet, er vores understøttelser heraf aftalt særskilt Gennemgang af informationssikkerhed Vi lader os årligt revidere af ekstern revisor med henblik på afgivelse af erklæring for overholdelsen af kontrollerne nævnt i denne beskrivelse. Vi følger rammerne inden for ISO 27002, hvilket føromtalte revisor attesterer i en ISAE 3402-erklæring. REVI-IT A/S Side 7 af 27

10 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet Til ledelsen hos Zentura IT A/S, deres kunder, og deres revisorer. Omfang Vi har fået til opgave at afgive erklæring om Zentura IT A/S beskrivelse, som er gengivet i afsnit 2. Beskrivelsen, som i afsnit 1 er bekræftet af Zentura IT A/S ledelse, dækker virksomhedens behandling af kunders transaktioner på virksomhedens hosting-platform i perioden til , samt udformningen og funktionaliteten af de kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Zentura IT A/S ansvar Zentura IT A/S er ansvarlig for udarbejdelsen af beskrivelsen (afsnit 2) og tilhørende udtalelse (afsnit 1), herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udtalelse er præsenteret. Zentura IT A/S er herudover ansvarlig for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmål og for udformningen, implementeringen og effektiviteten af fungerende kontroller for at nå de anførte kontrolmål. Vores uafhængighed og kvalitetsstyring Vi har overholdt kravene til uafhængighed og andre etiske krav i IESBA s Etiske regler, som er baseret på grundlæggende principper om integritet, objektivitet, faglige kompetencer og fornøden omhu, fortrolighed samt professionel adfærd. Firmaet anvender ISQC 1 og opretholder derfor et omfattende system for kvalitetsstyring, herunder dokumenterede politikker og procedurer for overholdelse af etiske regler, faglige standarder samt gældende krav ifølge lov og øvrig regulering. REVI-IT A/S ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om Zentura IT A/S beskrivelse (afsnit 2) og om udformningen og funktionaliteten af de kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi planlægger og udfører vores handlinger for at opnå en høj grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er retvisende, og at kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformede og fungerer effektivt. Opgaven med afgivelse af en erklæring med sikkerhed om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system og for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give en høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere en vurdering af den samlede præ- REVI-IT A/S Side 8 af 27

11 sentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i afsnit 2. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør Zentura IT A/S beskrivelse i afsnit 2 er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtige efter sine særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller afdække alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i Zentura IT A/S beskrivelse i afsnit 2, og det er på den baggrund vores vurdering, (a) at beskrivelsen af kontroller, således som de var udformet og implementeret i hele perioden til , i alle væsentlige henseender er retvisende (b) at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformede i hele perioden fra til (c) at de testede kontroller, som var de kontroller, der var nødvendige for at give en høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden til Beskrivelse af test af kontroller De specifikke kontroller, der er testet, samt arten, den tidsmæssige placering og resultater af disse tester fremgår i det efterfølgende hovedafsnit (afsnit 4). REVI-IT A/S Side 9 af 27

12 Tiltænkte brugere og formål Denne erklæring er udelukkende tiltænkt kunder, der har anvendt Zentura IT A/S hosting-platform, og deres revisorer, som har en tilstrækkelig kompetence til at vurdere den medfølgende beskrivelse sammen med anden information, herunder information om kunders egne kontroller. Denne information tjener til opnåelse af en forståelse af kundernes informationssystemer, som er relevante for regnskabsaflæggelsen. København, 17. november 2016 REVI-IT A/S Statsautoriseret revisionsaktieselskab Henrik Paaske Statsautoriseret revisor Martin Brogaard Nielsen It-revisor, CISA, CRISC, adm. direktør REVI-IT A/S Side 10 af 27

13 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf Den følgende oversigt er udformet for at skabe en forståelse for effektiviteten af de kontroller, som Zentura IT A/S har implementeret. Vores test af funktionaliteten har omfattet de kontroller, som vi har vurderet nødvendige for at kunne opnå en høj grad af sikkerhed for, at de anførte kontrolmål har været opnået i perioden til Vi har således ikke nødvendigvis testet alle de kontroller, som Zentura IT A/S har nævnt i sin beskrivelse i afsnit 2. Kontroller, udført hos Zentura IT A/S kunder, er herudover ikke omfattet af vores erklæring, idet kundernes egne revisorer må foretage denne gennemgang og vurdering. Vi har udført vores tests af kontroller hos Zentura IT A/S via følgende handlinger: Metode Forespørgsel Observation Inspektion Genudførelse af kontrol Overordnet beskrivelse Interview, altså forespørgsel af udvalgt personale hos virksomheden angående kontroller Observation af, hvordan kontroller udføres Gennemgang og stillingtagen til politikker, procedurer og dokumentation vedrørende kontrollers udførelse Vi har selv udført eller har observeret en genudførelse af kontroller med henblik på at verificere, at kontrollen fungerer som forventet Beskrivelse og resultat af vores tests ud fra de testede kontroller fremgår af de efterfølgende skemaer. I det omfang vi har konstateret væsentlige svagheder i kontrolmiljøet eller afvigelser herfra, har vi anført dette. REVI-IT A/S Side 11 af 27

14 Risikovurdering og -håndtering Risikovurdering Kontrolmål: Formålet er at sikre, at virksomheden periodisk foretager en analyse og vurdering af it-risikobilledet. 4.1 Alle trusler vurderes systematisk og ensartet, og for at tilsikre transparens, overskuelighed og dokumentation, benyttes fastlagt klassifikationsmetode. Identifikation, analyse og vurdering af risici med betydning for vores forretning kan tage afsæt i både udefrakommende trusler og interne forhold. Risikovurdering foretages periodisk, minimum én gang årligt, samt når der foretages ændringer eller implementeres nye systemer, som vi vurderer at have relevans til i forhold til en revurdering af vores generelle risikovurdering. Vi har forespurgt til udarbejdelsen af en risikoanalyse, og vi har inspiceret den udarbejdede risikoanalyse. Vi har forespurgt til evaluering af itrisikoanalysen indenfor perioden, og vi har inspiceret dokumentation for, at denne er gennemgået og godkendt af ledelsen i revisionsperioden. Informationssikkerhedspolitikker Retningslinjer for styring af informationssikkerhed Kontrolmål: Formålet er at sikre, at der gives retningslinjer for og understøttelse af informationssikkerheden i overensstemmelse med forretningsmæssige krav og relevante love og forskrifter. 5.1 Vi har i vores it-sikkerhedspolitik beskrevet, hvordan vi tilsikrer informationssikkerhed i vores forretning. Vores it-sikkerhedspolitik kan ikke fraviges, hverken for kunder, ansatte eller leverandører, og det er virksomhedens ledelse, der godkender retningslinjer og foretager de nødvendige opdateringer af samme. Virksomhedens it-sikkerhedspolitik opdateres, såfremt der foretages ændringer eller implementeres nye forretningsområder, og politikken gennemgås i sin helhed minimum én gang årligt. Vi har forespurgt til udarbejdelsen af en informationssikkerhedspolitik, og vi har inspiceret dokumentet. Vi har forespurgt til periodisk gennemgang af informationssikkerhedspolitikken, og vi har inspiceret, at dokumentet er gennemgået i revisionsperioden. Vi har også inspiceret kontrol for periodisk gennemgang af dokumentet. Vi har forespurgt til ledelsesgodkendelse af informationssikkerhedspolitikken, og vi har inspiceret dokumentation for ledelsesgodkendelse. REVI-IT A/S Side 12 af 27

15 Organisering af informationssikkerhed Intern organisering Kontrolmål: Formålet er at sikre, at der etableres et ledelsesmæssigt grundlag for at kunne igangsætte og styre implementeringen og driften af informationssikkerhed i organisationen. 6.1 Når vi har ændret ting i it-sikkerhedspolitikken, og minimum efter den årlige gennemgang, fremlægges ændringerne internt ved førstkommende månedsmøde for personalet. Ligeledes bliver eksterne leverandører mfl. inddraget og orienteret, såfremt det har relevans. Det er virksomhedens administrerende direktør og partner, som er ansvarlig for virksomhedens informationssikkerhed. Vi har forespurgt til tildeling af ansvar for informationssikkerheden, og vi har inspiceret dokumentation for tildelingen og vedligeholdelsen af ansvarsbeskrivelser. Vi har forespurgt til adskillelse af adgang i forhold til funktion, og vi har inspiceret dokumentation for differentieret adgang. Vi har forespurgt til retningslinjer for kontakt med myndigheder. Vi har forespurgt til kontakt med interessegrupper, og vi har inspiceret dokumentation for kontakt. Vi har forespurgt til hensyntagen til informationssikkerhed ved styring af projekter. Vi har stikprøvevis inspiceret projektforløb, og vi har verificeret, at der tages hensyn til informationssikkerhed. Mobilt udstyr og fjernarbejdspladser Kontrolmål: Formålet er at sikre fjernarbejdspladser og brugen af mobilt udstyr. 6.2 Vi har ingen databærende medier, undtaget serverrumsmedier og mobiltelefoner. Alle mobiltelefoner er sikret med en MDM løsning indeholdende en række sikkerhedspolicies. Vi anvender ikke lokale medier som eksempelvis USB-sticks. Vi har forespurgt til styring af mobile enheder, og vi har inspiceret løsningen. Vi har forespurgt til sikring af fjernarbejdspladser, og vi har inspiceret løsningen. REVI-IT A/S Side 13 af 27

16 Medarbejdersikkerhed Før ansættelsen Kontrolmål: Formålet er at sikre, at medarbejdere og kontrahenter forstår deres ansvar og er egnede til de roller, de er i betragtning til. 7.1 Forud for ansættelse af medarbejdere følges en ansættelsesprocedure. Det er den ansættende medarbejder/partner, som er ansvarlig for de HR-relaterede kontroller. For konsulenter, som skal have adgang til (dele af) vores netværk, udarbejdes altid opgavespecifik kontrakt, dedikeret fortrolighedserklæring, og anden relevant dokumentation indhentes. Det er virksomhedens direktør, som er ansvarlig for, at alle HRprocesser og procedurer overholdes, og virksomhedens størrelse taget i betragtning varetages disse opgaver typisk af ham selv. Den tekniske oprettelse af medarbejdere såvel som konsulenter foretages i henhold til relevante SOP er. Vi har desuden en proces for kontrol af alle brugere med rettigheder til virksomhedens netværk. Vi har forespurgt til procedure for ansættelse af nye medarbejdere, og vi har inspiceret proceduren. Vi har endvidere stikprøvevis inspiceret dokumentation for, at proceduren er fulgt. Vi har forespurgt til formaliseringen af ansættelsesforhold, og vi har stikprøvevis inspiceret indholdet af kontrakter. Under ansættelsen Kontrolmål: Formålet er at sikre, at medarbejdere og kontrahenter er bevidste om og lever op til deres informationssikkerhedsansvar. 7.2 Medarbejdere, og eksterne parter når relevant, bliver uddannet og trænet i vores retningslinjer for itsikkerhed og de deraf afledte opgaver. Dette foregår som sidemandsoplæringer, ved kontormøder o. lign. Vi har desuden en procedure for træning/uddannelse/certificering af medarbejdere. Via vores dokumentation og beskrivelser sikrer vi os mod personafhængighed, ligesom vi arbejder med dobbeltroller på alle funktioner. Vi har forespurgt til ledelsens ansvar for videreformidling af politikker og procedurer, og vi har inspiceret dokumentation for tildeling af ansvar. Vi har forespurgt til videreuddannelse af personale, og vi har stikprøvevis inspiceret dokumentation for videreuddannelse. Vi har forespurgt til retningslinjer for sanktionering, og vi har inspiceret retningslinjerne. REVI-IT A/S Side 14 af 27

17 Ansættelsesforholdets ophør eller ændring Kontrolmål: Formålet er at beskytte organisationens interesser som led i ansættelsesforholdets ophør eller ændring. 7.3 Den tekniske afvikling af medarbejdere såvel som konsulenter foretages i henhold til relevante SOP er. Vi har desuden en proces for kontrol af alle brugere med rettigheder til virksomhedens netværk. Vi har forespurgt til medarbejderes forpligtelse til opretholdelse af informationssikkerhed i forbindelse med ophør i ansættelse, og vi har inspiceret dokumentation for medarbejdernes forpligtelser. Styring af aktiver Ansvar for aktiver Kontrolmål: Formålet er at identificere organisationens aktiver og definere passende ansvarsområder til beskyttelse heraf. 8.1 Alle aktiver er ejet af virksomheden, og der foreligger fortegnelser over samme. Vi har forespurgt til fortegnelser over aktiver, og vi har stikprøvevis inspiceret fortegnelser over aktiver. Vi har forespurgt til oversigt af ejerskab for aktiver, og vi har inspiceret oversigten. Vi har forespurgt til retningslinjer for brugen af aktiver, og vi har inspiceret retningslinjerne. Vi har forespurgt til procedure til sikring af tilbagelevering af udleverede aktiver, og vi har inspiceret proceduren. Klassifikation af information Kontrolmål: Formålet er at sikre passende beskyttelse af information, der står i forhold til informationens betydning for organisationen. 8.2 Al virksomhedens data, såvel egne data som kundernes data, nyder samme beskyttelse. Der kan være helt særlige forhold aftalt for visse kunder, og disse forhold vil være reguleret og håndteret efter særlig aftale. Vi har forespurgt til politik for klassificering af data, og vi har inspiceret politikken. Vi har forespurgt til mærkning af data, og vi har inspiceret retningslinjerne for mærkning af data. Vi har forespurgt til retningslinjer for håndtering af aktiver, og vi har inspiceret retningslinjerne. REVI-IT A/S Side 15 af 27

18 Mediehåndtering Kontrolmål: Formålet er at sikre hindring af uautoriseret offentliggørelse, ændring, fjernelse eller destruktion af information lagret på medier. 8.3 Vi har ingen databærende medier, undtaget serverrumsmedier og mobiltelefoner. Alle mobiltelefoner er sikret med en MDM løsning indeholdende en række sikkerhedspolicies. Vi anvender ikke lokale medier som eksempelvis USB-sticks. Vi har forespurgt til styring af bærbare medier, og vi har inspiceret dokumentation for løsningen. Vi har forespurgt til retningslinjer for bortskaffelse af medier. Vi har forespurgt til transport af bærbare medier. Inge væsentlige afvigelser Adgangskontrol Forretningsmæssige krav til adgangsstyring Kontrolmål: Formålet er at begrænse adgangen til information og informationsbehandlingsfaciliteter. 9.1 Vores kunders brugere oprettes, ændres og nedtages alene på baggrund af krav fra vores kunder. Interne brugere oprettes alene på baggrund af skriftligt ønske fra ledelsen. Alle brugere er personhenførbare. På servicebrugere, altså konti, som alene benyttes systemmæssigt, er muligheden for egentlig logon deaktiveret. Alle brugere, kundebrugere som interne brugere, har restriktioner omkring adgangskode. Interne brugere og deres adgangsniveau gennemgås periodisk af ledelsen. Alle medarbejdere er oprettet med differentieret adgang, og har således alene adgang til de systemer og de data, som er relevant for deres respektive jobfunktioner. Vi benytter desuden 2-faktor autentifikation, som er obligatorisk, også for kunder. Vi har forespurgt til politik for styring af adgange til systemer og bygninger, og vi har inspiceret politikken. Vi har forespurgt til håndtering af adgang til netværk og netværksservices, og vi har inspiceret løsningen. REVI-IT A/S Side 16 af 27

19 Administration af brugeradgange Kontrolmål: Formålet er at sikre adgang for autoriserede brugere og forhindre uautoriseret adgang til systemer og tjenester. 9.2 Onboarding af nye kunder foretages i henhold til fastlagte procedurer og relevante SOP er. Repræsentant fra vores Salg og Ledelse skal godkende kundeopsætningen, hvorfor der sikres overensstemmelse med kontrakt, teknik og forretningskrav. Hver kundekontrakt indeholder desuden specifikation af hvem, hos kunden, der har rettigheder til at fremsende og/eller godkende itændringsønsker på vegne af den pågældende virksomhed til Zentura, så der aldrig opstår tvivl om, hvem der er ansvarlig for en udført handling. Vi har forespurgt til procedure for oprettelse og nedlæggelse af brugere, og vi har inspiceret procedurerne. Vi har stikprøvevis inspiceret dokumentation for oprettelse og nedlæggelse af brugere. Vi har forespurgt til proces for tildeling af rettigheder, og vi har inspiceret processen. Vi har forespurgt til overvågning af anvendelsen af privilegerede adgangsrettigheder, og vi har stikprøvevis inspiceret dokumentation for overvågning. Vi har forespurgt til opbevaring af fortrolige adgangskoder, og vi har inspiceret dokumentation for betryggende opbevaring. Vi har forespurgt til proces for periodisk gennemgang af brugere, og vi har inspiceret dokumentation for seneste gennemgang. Vi har forespurgt til procedure for inddragelse af rettigheder, og vi har inspiceret proceduren. Brugernes ansvar Kontrolmål: Formålet er at gøre brugere ansvarlige for at sikre deres autentifikationsinformation. 9.3 Administration af brugeradgange foretages i henhold til fastlagte procedurer og relevante SOP er. Retningslinjer for brugeransvar er tilgængelige i virksomhedens itsikkerhedspolitik og medarbejderhåndbog. Vi har forespurgt til retningslinjer for brugen af fortrolig adgangskode, og vi har inspiceret retningslinjerne. REVI-IT A/S Side 17 af 27

20 Styring af system- og applikationsadgang Kontrolmål: Formålet er at forhindre uautoriseret adgang til systemer og applikationer. 9.4 Administration af system- og applikationsadgange foretages i henhold til fastlagte procedurer og SOP er. Vi har forespurgt til begrænsning af adgang til data, og vi har inspiceret dokumentation for begrænsning. Vi har forespurgt til procedure for sikker logon, og vi har inspiceret løsningen. Vi har forespurgt til system til styring af adgangskoder. Vi har inspiceret løsningen og udvalgte konfigurationer. Kryptografi Kryptografiske kontroller Kontrolmål: Formålet er at sikre korrekt og effektiv brug af kryptografi for at beskytte informationers fortrolighed, autenticitet og/eller integritet Al netværkskommunikation mellem os og vores kunder er beskyttet med kryptering. Adgang til, og administration af, krypteringsnøgler varetages alene af virksomhedens ledelse. Al trafik til og fra Zenturas netværk er beskyttet med SSL-certifikater, som er trusted af GlobalSign. Vi har forespurgt til politik for anvendelse af kryptering. REVI-IT A/S Side 18 af 27

21 Fysisk sikring og miljøsikring Sikre områder Kontrolmål: Formålet er at forhindre uautoriseret fysisk adgang til samt beskadigelse og forstyrrelse af organisationens information og informationsbehandlingsfaciliteter Al vores udstyrer placeret i eget rack hos vores datacenterleverandør. Her er det kun vores tekniske personale, der har adgang. Vores backup-udstyr er placeret i eget rack på alternativ datacenter-lokation. Vores datacenter-leverandør har revisorerklæring af type ISAE 3402-II, som afgives årligt, og vi indhenter årligt relevant it-revisorerklæring fra leverandøren. Dertil fører vi selv tilsyn med vores fysiske udstyr, når vi med jævne mellemrum er på lokationen for at udføre nødvendigt hardware-relateret arbejde. Vores fysiske kontor er placeret i Vipperød. Vi har en proces for sikring af lokationen. Vi har forespurgt til erklæring fra underleverandør af fysiske forhold, og vi har inspiceret erklæringen for betryggende fysisk sikring. Vi har forespurgt til tildeling og nedlæggelse af adgang til driftsfaciliteter hos underleverandør, og vi har stikprøvevis inspiceret dokumentation for tildeling af adgang til driftsfaciliteter. Vi har inspiceret de fysiske forhold hos virksomhedens kontorer med henblik på at kontrollere den fysiske sikring. Vi har forespurgt til erklæring fra underleverandør af fysiske forhold, og vi har inspiceret erklæringen for betryggende fysisk sikring. REVI-IT A/S Side 19 af 27

22 Udstyr Kontrolmål: Formålet er at undgå tab, skade, tyveri, eller kompromittering af aktiver og driftsafbrydelse i organisationen Vi ejer alle serverrumsmedier. Medier destrueres som en del af vores indkøbsaftale med leverandøren. Ved tyveri af mobiltelefon foretages en fuld sletning af telefonen, og telefonens certifikat annulleres på vores certifikatserver. Det vil derefter ikke være muligt at tilgå vores netværk via den pågældende telefon. Vi har forespurgt til erklæring fra underleverandør af fysiske forhold, og vi har inspiceret erklæringen for betryggende fysisk sikring. Vi har inspiceret erklæring fra underleverandør med henblik på at identificere understøttende forsyninger og sikring af regelmæssig vedligeholdelse af udstyret. Vi har forespurgt til sikring af kabler, og vi har inspiceret erklæring fra leverandør. Vi har forespurgt til politik for bortskaffelse af udstyr. Vi har forespurgt til sikring af udstyr uden for virksomhedens lokaler. Vi har inspiceret erklæring fra underleverandør. Vi har observeret, at erklæring fra underleverandør dækker til og med , og dermed er senest opdaterede erklæring. Vi har forespurgt til periodisk eftersyn af ekstern lokation, og vi har stikprøvevis inspiceret dokumentation for eftersyn. Vi har forespurgt til politik for bortskaffelse af databærende medier. Vi har forespurgt til sikring af brugerudstyr uden opsyn, og vi har stikprøvevis inspiceret, at brugerudstyr låses ved inaktivitet. Vi har forespurgt til politik for ryddeligt skrivebord. REVI-IT A/S Side 20 af 27

23 Driftssikkerhed Driftsprocedurer og ansvarsområder Kontrolmål: Formålet er at sikre korrekt og sikker drift af informationsbehandlingsfaciliteter Vores dokumentation og arbejdsprocesser medvirker til at sikre en stabil, korrekt og driftssikker ydelse, hvor personafhængighed og sjuskefejl minimeres. Tilgængelighed er en af vores kerneværdier, og vi sætter en ære i altid at levere den forventede kvalitet i ydelser til vores kunder. Vi overvåger vores kapacitet, både disk, CPU og trafik, og vi kan løbende, og uden gene for kunderne, udvide vores kapacitet. Vi har forespurgt til procedurer i forbindelse med driften, og vi har stikprøvevis inspiceret procedurerne. Vi har forespurgt til ændringsstyring, og vi har stikprøvevis inspiceret dokumentation for håndtering af ændringer i perioden. Vi har forespurgt til overvågning af kapacitet, og vi har stikprøvevis inspiceret dokumentation for overvågning af kapacitet. Vi har forespurgt til anvendelsen af testmiljø, og vi har inspiceret dokumentation for eksistensen af testmiljø. Malwarebeskyttelse Kontrolmål: Formålet er at sikre, at information og informationsbehandlingsfaciliteter er beskyttet mod malware Vi anser malware som en af de største trusler mod vores forretning, og vores tekniske foranstaltninger sikrer den højst mulige grad af sikkerhed for, at malware ikke kan afvikles i vores miljøer. Vi minimerer risikoen både i form af perimetersikkerhed, men også skadesafgrænsning, skulle en hændelse opstå. Vi har forespurgt til foranstaltninger mod malware. Vi har forespurgt til anvendelsen af antivirusprogrammer, og vi har inspiceret dokumentation for anvendelsen. Backup Kontrolmål: Formålet er at beskytte mod tab af data Hos Zentura IT tager vi vores ansvar alvorligt. Vores kunders data er lige så vigtigt som vores egen data, og vi har en procedure for at sikre samme. Vi har to backup-løsninger og en disaster recovery-løsning. Vores disaster recovery-løsning sikrer en kopi af data, som er fysisk adskilt fra driftssystemerne. Vi tager dagligt backup, og vi har en procedure for kontrol af backup, herunder hvordan der skal ageres ved fejl. Vi har desuden et redundant SAN, som indeholder en 1:1 kopi i 5 daglige versioner af vores drift SAN. Vi har forespurgt til konfiguration af backup, og vi har stikprøvevis inspiceret dokumentation for opsætningen. Vi har forespurgt til opbevaring af backup, og vi har inspiceret erklæring fra underleverandør med henblik på at se, at backup opbevares forsvarligt. Vi har forespurgt til test af genoprettelse fra backupfiler, og vi har inspiceret dokumentation for test af genoprettelse. REVI-IT A/S Side 21 af 27

24 Logning og overvågning Kontrolmål: Formålet er at registrere hændelser og tilvejebringe bevis Vores tekniske set-up fokuserer på samme værdier, og værn mod uvedkommendes adgang til vores data er af højeste prioritet. Vi har desuden antivirus-systemer, e- mail skanning, og systemer til overvågning og sikring af netværk og internetbrug. Vi foretager daglig overvågning af vores systemer via automatiserede systemer til måling af grænseværdier. Alarmering, såfremt en kritisk hændelse konstateres, tilgår vores driftsmedarbejdere og uden for kontortiden til vores driftsvagt. Hændelser for login og logout på vores platforme logføres, og vi benytter alene personhenførbare brugerkonti, hvorfor det er muligt at identificere, hvilke personer der har været logget på. Vi har forespurgt til logning af brugeraktivitet. Vi har stikprøvevis inspiceret logningskonfigurationerne. Vi har forespurgt til sikring af logoplysninger, og vi har inspiceret løsningen. Vi har forespurgt til logning af brugeraktivitet. Vi har stikprøvevis inspiceret logningskonfigurationerne. Vi har forespurgt til synkronisering op imod en betryggende tidsserver, og vi har inspiceret løsningen. Styring af driftssoftware Kontrolmål: Formålet er at sikre integriteten af driftssystemer Patching foretages ugentligt i et fastlagt servicevindue. Servicevinduet fremgår af virksomhedens generelle forretningsbetingelser, og skal ikke varsles separat. For kritiske systemopdateringer, eksempelvis Windows security updates, varsles kunderne i så god tid som muligt. Vi har forespurgt til retningslinjer for installation af software på driftssystemer, og vi har inspiceret retningslinjerne. Vi har forespurgt til rettidig opdatering af driftssystemer, og vi har inspiceret dokumentation for opdatering af driftssystemerne. Sårbarhedsstyring Kontrolmål: Formålet er at forhindre, at tekniske sårbarheder udnyttes Vores systemer er beskyttet mod ukontrolleret installation af software. Vores kunder er ligeledes afskærmet fra muligheden for at installere software. Vi har forespurgt til styring af tekniske sårbarheder, og vi har inspiceret dokumentation for styringen. Vi har forespurgt til styring af adgang til programinstallation, og vi har inspiceret dokumentation for begrænsningen af brugere med rettighed til programinstallation. REVI-IT A/S Side 22 af 27

25 Overvejelser i forbindelse med audit af informationssystemerne Kontrolmål: Formålet er at minimere virkningen af auditaktiviteter på systemet Vi prioriterer løbende intern audit, herunder interne stikprøvekontroller, og tidspunkt for udførelsen af den eksterne audit planlægges i samarbejde med vores auditører. Der er en politik for intern og ekstern audit. Kommunikationssikkerhed Styring af netværkssikkerhed Kontrolmål: Formålet er at sikre beskyttelse af informationer i netværk og af understøttende informationsbehandlingsfaciliteter Al godkendt netværkstrafik (indgående) kommer igennem vores firewall, og vi har MPLS forbindelser til alle kunder. Vi har en fast procedure for dokumentation af internt netværk, logisk opdeling af netværk, navngivning af enheder mv. Adgang til netværk via mobile enheder sikres via en MDM løsning, som er en fast del af vores proces for opsætning af enheder. Alle standard ændringer har en dedikeret SOP. Alle væsentlige ændringer drøftes, prioriteres og godkendes af ledelsen. Vi har forespurgt til foranstaltninger til beskyttelse af netværk og netværkstjenester. Vi har inspiceret dokumentation for etablering af firewall og patching af firewall. Vi har forespurgt til sikring af netværkstjenester, og vi har inspiceret dokumentation for betryggende sikring. Informationsoverførsel Kontrolmål: Formålet er at opretholde informationssikkerhed ved overførsel internt i en organisation og til en ekstern entitet Ekstern datakommunikation sker alene via s, idet vores kunders adgang og brug af vores servere ikke betragtes som ekstern datakommunikation. Vi har forespurgt til politikker og procedurer for dataoverførsel. Vi har forespurgt til aftaler om dataoverførsel. Vi har forespurgt til retningslinjer for afsendelse af fortrolig information. Vi har forespurgt til etablering af fortrolighedsaftaler, og vi har inspiceret dokumentation for etablering. REVI-IT A/S Side 23 af 27

Zentura IT A/S CVR-nr. 32 89 08 06

Zentura IT A/S CVR-nr. 32 89 08 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32

Læs mere

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

DFF EDB a.m.b.a. CVR-nr.:

DFF EDB a.m.b.a. CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med deres hostingydelse hos Zitcom A/S pr. 23. juni 2017 ISAE 3402-I DFF EDB a.m.b.a.

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

DFF-EDB a.m.b.a CVR nr.:

DFF-EDB a.m.b.a CVR nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og implementering i forbindelse med hosting og drift af Citrix-platformen pr. 22. juni 2015 ISAE 3402, type I

Læs mere

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-12-2014 til 30-11-2015 ISAE 3402-II any.cloud

Læs mere

any.cloud A/S CVR nr.: DK 31161509

any.cloud A/S CVR nr.: DK 31161509 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-12-2013 til 30-11-2014 any.cloud A/S CVR nr.:

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk Sonlinc A/S ISAE 3000-erklæring fra uafhængig revisor vedrørende udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing for perioden

Læs mere

WWI A/S CVR-nr.:

WWI A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af deres hostingydelser i perioden 01-12-2015 til 30-11-2016 ISAE 3402-II

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

Security & Risk Management Summit 2016

Security & Risk Management Summit 2016 Security & Risk Management Summit 2016 DGI Byen, den 3. november 2016 Premium partner: Partnere: Sikkerhedsanalyse - fundamentet for din sikkerhed! John Wiingaard og Lars Boye, Senior GRC Consultants,

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Procedure for tilsyn af databehandleraftale

Procedure for tilsyn af databehandleraftale IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af

Læs mere

any.cloud A/S CVR-nr.:

any.cloud A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelsen i perioden 01-12-2015 til 30-11-2016 ISAE 3402-II any.cloud

Læs mere

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

NORRIQ Danmark A/S CVR-nr.:

NORRIQ Danmark A/S CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-01-2016 til 31-12-2016 ISAE 3402-II NORRIQ Danmark

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

SYSTEMHOSTING A/S CVR nr.: 25814606

SYSTEMHOSTING A/S CVR nr.: 25814606 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af hosting-platform i perioden 01-01-2014 til 31-12-2014 SYSTEMHOSTING

Læs mere

SYSTEMHOSTING A/S CVR nr.: 25 81 46 06

SYSTEMHOSTING A/S CVR nr.: 25 81 46 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af hosting-platform i perioden 01-01-2015 til 31-12-2015 SYSTEMHOSTING

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens

Læs mere

ISAE 3402 TYPE 2 ERKLÆRING

ISAE 3402 TYPE 2 ERKLÆRING JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge

Læs mere

NaviPartner København ApS CVR-nr.: 21 38 21 91

NaviPartner København ApS CVR-nr.: 21 38 21 91 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og effektivitet i forbindelse med drift af Microsoft Dynamics NAV hosting-platform i perioden 01-10-2014 til 30-09-2015

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter www.pwc.dk Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Januar 2016 Indhold 1. Ledelsens udtalelse 3 2.

Læs mere

ISAE 3402-II NORRIQ Danmark A/S. CVR nr.: Marts 2016

ISAE 3402-II NORRIQ Danmark A/S. CVR nr.: Marts 2016 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-01-2015 til 31-12-2015 ISAE 3402-II NORRIQ Danmark

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne

Læs mere

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium 18. juni 2015 BILAG 1 Kommissorium for revisionsudvalget i TDC A/S 1. Status og kommissorium Revisionsudvalget er et udvalg under bestyrelsen, der er nedsat i overensstemmelse med 15.1 i forretningsordenen

Læs mere

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune. Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87 Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Kommissorium for revisionsudvalget i TDC A/S

Kommissorium for revisionsudvalget i TDC A/S 2. februar 2012 Kommissorium for revisionsudvalget i TDC A/S 1. Status og kommissorium Revisionsudvalget er et udvalg under bestyrelsen, der er nedsat i overensstemmelse med 15.1 i forretningsordenen for

Læs mere

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker 5. 1. Retningslinjer for styring af informationssikkerhed 5. 1. 1. Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING JUNI 2015 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik for Horsens Kommune Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

KOMMISSORIUM FOR REVISIONS- OG RISIKOUDVALG KØBENHAVNS LUFTHAVNE A/S CVR NR

KOMMISSORIUM FOR REVISIONS- OG RISIKOUDVALG KØBENHAVNS LUFTHAVNE A/S CVR NR KOMMISSORIUM FOR REVISIONS- OG RISIKOUDVALG KØBENHAVNS LUFTHAVNE A/S CVR NR. 14 70 22 04 1 Indholdsfortegnelse 1 Sammensætning... 3 2 Formand... 3 3 Valgperiode... 3 4 Beslutningsdygtighed og stemmeafgivelse...

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

IST DANMARK APS ISAE 3000 ERKLÆRING

IST DANMARK APS ISAE 3000 ERKLÆRING MAJ 2017 IST DANMARK APS ISAE 3000 ERKLÆRING Uafhængig revisors erklæring om IST Danmark ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerheds- foranstaltninger til beskyttelse af personoplysninger.

Læs mere

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010

Læs mere

A/S it-drift og hostingaktiviteter

A/S it-drift og hostingaktiviteter www.pwc.dk Januar 2015 Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle itkontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Indhold 1. Ledelsens erklæring 3 2. Outforce

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 Februar 2015 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad

Læs mere

Kontraktbilag 7: Databehandleraftale

Kontraktbilag 7: Databehandleraftale Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR. IT Databehandleraftale Databehandleraftale om [SYSTEMNAVN] mellem Ishøj Kommune Ishøj Store Torv 20 2635 Ishøj CVR. 11 93 13 16 (herefter nævnt som dataansvarlige) Og [behandlernes navn] [behandlerens

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål. Databehandleraftale Mellem Landbrugsstyrelsen Nyropsgade 30 1780 København V CVR-nr: 20814616 (som dataansvarlig) og [Databehandler] [Adresse] [Postnummer og by] CVR-nr: [xxxx] (som databehandler) Om behandling

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

LINK MOBILE A/S ISAE 3402 TYPE 2 ERKLÆRING. Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service.

LINK MOBILE A/S ISAE 3402 TYPE 2 ERKLÆRING. Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. JUNI 2016 LINK MOBILE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. Beierholm Statsautoriseret Revisionspartnerselskab

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING FEBRUAR 2015 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så blev den nye version af ISO 9001 implementeret. Det skete den 23. september 2015 og herefter har virksomhederne 36 måneder til at implementere de nye krav i standarden. At

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Sotea ApS CVR nr.: DK 10085225

Sotea ApS CVR nr.: DK 10085225 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-08-2014 til 31-01-2015 Sotea ApS CVR nr.: DK 10085225

Læs mere

It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud. Region Midtjylland 2010.

It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud. Region Midtjylland 2010. It arkitektur- og sikkerhedskrav Løn og personalesystemsudbud Region Midtjylland 2010. 1 1 Indledning 1.1 Versionshistorie Version Dato Ansvarlig Status Beskrivelse 1.0 2010-05-04 HENSTI Lukket Definition

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium 22. juni 2017 Kommissorium for revisionsudvalget i TDC A/S 1. Status og kommissorium Revisionsudvalget er et udvalg under bestyrelsen, der er nedsat i overensstemmelse med 15.1 i forretningsordenen for

Læs mere

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er

Læs mere

FYSISK SIKKERHED. Bilag 10-1

FYSISK SIKKERHED. Bilag 10-1 FYSISK SIKKERHED Bilag 10-1 Indholdsfortegnelse 1. FYSISK SIKKERHED... 3 1.1. SIKRE OMRÅDER... 3 1.2. BESKYTTELSE AF UDSTYR... 4 Bilag 10-1 FYSISK SIKKERHED Kunden, side 2 af 6 1. FYSISK SIKKERHED Kundens

Læs mere

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent, Systemforvaltning for SDN Temadag om SDN og VDX den 9. november 2016 Peder Illum, konsulent, pi@medcom.dk Agenda Vi fik besøg af Rigsrevisionen.. Hvordan forløb det, hvordan var det, og hvad blev resultatet?

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

RISIKOANALYSE CYBER RISK / DATA OG NETFORSIKRING

RISIKOANALYSE CYBER RISK / DATA OG NETFORSIKRING 1 Involverede parter 1.1 Virksomheden Navn: CVR.nr. Kontaktperson: Juridiske enheder omfattet af analysen: 1.2 Willis Adresse Forsikringsmægler E-mail / Telefon @willis.dk / 88 139 2 Om virksomheden 2.1

Læs mere

Frederiksberg Kommunes It-sikkerhedsregler (baseret på ISO 27001)

Frederiksberg Kommunes It-sikkerhedsregler (baseret på ISO 27001) Frederiksberg Kommunes It-sikkerhedsregler (baseret på ISO 27001) Indhold 1. Informationsksikkerhedspolitikker 4 1.1 Retningslinjer for styring af informationssikkerhed 4 1.1.1 Politikker for informationssikkerhed

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser www.pwc.dk Athena IT-Group Erklæring fra uafhængig revisor vedrørende generelle itkontroller for Athena IT-Group A/S' driftsydelser Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S' beskrivelse

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere