Sotea ApS. Indholdsfortegnelse

Transkript

1 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj 2014 ISAE 3000 DK Sotea ApS REVI-IT A/S

2 Indholdsfortegnelse Afsnit 1: Sotea ApS ledelseserklæring... 3 Afsnit 2: Sotea ApS beskrivelse af den fysiske sikkerhed samt interne kontroller... 4 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet... 5 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf... 6 REVI-IT A/S Side 2 af 9

3 Afsnit 1: Sotea ApS ledelseserklæring Denne erklæring vedrører Sotea ApS efterlevelse af vores politikker og procedurer for den fysiske sikkerhed i vores datacenter for perioden 01. juni 2013 til 31. maj Erklæringen er udelukkende beregnet for Sotea ApS kunder og deres revisorer. Sotea ApS stiller fysisk plads til rådighed for kunder, som ønsker at placere egne servere i Sotea ApS datacenter. Erklæringen afgrænses af de forhold, som fremgår af afsnit 3. Per dags dato bekræfter vi at revisor har haft adgang til alle dokumenter, og har modtaget alle oplysninger, som har været nødvendige for erklæringsarbejdet. Med baggrund i ovenstående vurderer vi, at vi i alle væsentlige forhold har opretholdt effektive kontroller, der sikrer overholdelsen af vores aftale med kunderne vedr. sikring af deres udstyr. Silkeborg, 11. juni 2014 Med venlig hilsen Sotea ApS Jess Munch Teilmann Direktør REVI-IT A/S Side 3 af 9

4 Afsnit 2: Sotea ApS beskrivelse af den fysiske sikkerhed samt kontroller Sikre områder Datacenteret (DC) ligger i IT-Huset ved Ferskvandscentret (FVC) på adressen Vejlsøvej 51, 8600 Silkeborg. DC ligger i kælderen af IT-Huset og for at få adgang skal der dels bruges dør-kode samt en chip baseret nøgle, der er programmeret specielt til den enkelte bruger. Ved hovedindgangen til IT-huset kræves der adgang kun via førnævnte nøgle. Hovedindgangen er åben i dagstimerne 07:00-19:00, dørene låses automatisk kl. 19:00 og åbnes igen kl. 7:00. I kælderen er der en dør, der giver adgang til DC yderområder herunder lagerrum/administrationslokale og sanitet samt selve DC. Adgang hertil sker også kun via nøglen. For at komme ind i selve DC indsættes nøglen og hvis den lyser grøn, indtaster man sin personlige kode og låser sig ind. Alene autoriserede personer får adgang til lokaler via den etablerede procedure. Skal eksterne personer have adgang til lokalet, er det i følgeskab med en af vores autoriserede medarbejdere, medmindre der er indgået særskilt aftale om selvstændig adgang via nøgle og kode. Eksterne service tekniker vil efter aftale blive låst ind af Sotea, der også sørger for at der bliver aflåst igen. Adgang til DC kan kun ske vha. elektronisk kodet nøgle og PIN-kode der er udleveret efter aftale og som kræver underskrift af de enkelte personer. I DC er der monteret tyverialarm, i tilfælde af indbrud alarmeres den private vagtcentral, og vagtcentral ringer til Sotea medarbejder jf. prioriteret liste udleveret til vagtcentral - der sendes vagt så snart alarm går. Der er ligeledes monteret brandslukningsudstyr/energen anlæg, som tilsvarende vores tyverialarm er koblet op på vagtcentral. Der er andre alarmer i form af fejl på UPS, Køleanlæg og temperatur, hvor der ved fejl sendes SMS til den Tekniske Chef, Direktøren, Driftschefen og vagttelefonen, samt mail til support@sotea.dk, hvor der automatisk bliver oprettet en ticket på alarmen, som så håndteres af sotea support. Vi anvender til sikring af driftsfaciliteterne køle- og brandanlæg, der periodisk testes og serviceres. Som med tyveri er den private vagtcentral også her tilkoblet og i tilfælde af alarm vil relevante personer hos Sotea blive notificeret. Sikring af udstyr Vores centrale netværksudstyr samt kundernes servere, som har etableret aftale om placering af udstyr hos os, og andet udstyr er, fysisk placeret i aflåst lokale, som har monteret køling og brandslukning mv. Til sikring af forsyning af elektricitet til DC i forbindelse med strømudfald er der monteret UPS og diesel generator. Dette setup er anslået til at kan køre i 6 timer på en fuld tank. En gang i måneden tester vi UPS og generator og en gang årligt udføres der service af ekstern service tekniker. REVI-IT A/S Side 4 af 9

5 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet Til ledelsen hos Sotea ApS, Sotea ApS kunder og deres revisorer. Omfang Vi har fået til opgave at afgive erklæring om Sotea ApS efterlevelse af de implementerede kontroller i forbindelse med varetagelse af den fysiske sikkerhed for Sotea ApS datacenter for perioden 01. juni 2013 til 31. maj Ledelsen har ansvaret for overholdelsen af de etablerede kontroller. Vores ansvar er på grundlag af vores udførte arbejde, at udtrykke en konklusion om, hvorvidt Sotea ApS overholder førnævnte forhold. Det udførte arbejde Vi har udført vores arbejde i overensstemmelse med den internationale standard om andre erklæringsopgaver med sikkerhed (ISAE 3000 DK) og yderligere krav ifølge dansk revisorlovgivning. Denne standard kræver, at vi tilrettelægger og udfører vores arbejde med henblik på at opnå høj grad af sikkerhed for, at de implementerede kontroller har været fungerende i perioden. Vores arbejde har omfattet en gennemgang af virksomhedens etablerede kontroller i forbindelse med varetagelsen af den fysiske sikkerhed i virksomhedens datacenter. Virksomheden har etableret kontroller med reference til ISO s afsnit omkring fysiske forhold. Vores arbejde har i den forbindelse bestået af en gennemgang efter denne standard Vi har udført vores arbejde ved interview, besigtigelse og stikprøvevis undersøgelse af information. I medfølgende afsnit 4 har vi beskrevet etablerede kontroller, vores test og resultatet heraf. Det er vores opfattelse, at det udførte arbejde giver et tilstrækkeligt grundlag for vores konklusion.. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i afsnit 2. Det er vores vurdering at virksomhedens efterlevelse af de etablerede kontroller, i de væsentligste henseender har været opfyldt for perioden 01. juni 2013 til 31. maj 2014 København, 11. juni 2014 REVI-IT A/S Statsautoriseret revisionsaktieselskab Henrik Paaske Statsautoriseret revisor Martin Brogaard Nielsen It-revisor, CISA, adm. direktør REVI-IT A/S Side 5 af 9

6 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf Den følgende oversigt er udformet for at skabe en forståelse for effektiviteten af de kontroller, som Sotea ApS har implementeret. Vores test af funktionaliteten har omfattet de kontroller, som vi har vurderet nødvendige for at kunne opnå en høj grad af sikkerhed for, at de anførte kontrolmål har været opnået i perioden 01. juni 2013 til 31. maj Vi har således ikke nødvendigvis testet alle de kontroller, som Sotea ApS har nævnt i sin beskrivelse i afsnit 2. Kontroller, udført hos Sotea ApS kunder, er herudover ikke omfattet af vores erklæring idet kundernes egne revisorer må foretage denne gennemgang og vurdering. Vi har udført vores tests af kontroller hos Sotea ApS via følgende handlinger: Metode Forespørgsel Observation Inspektion Genudførsel af kontrol Overordnet beskrivelse Interview, altså forespørgsel, af udvalgt personale hos virksomheden omkring kontroller Observation af hvordan kontroller udføres Gennemgang og stillingtagen til politikker, procedurer og dokumentation vedrørende kontrollers udførsel. Vi har selv eller observeret en genudførsel af kontroller med henblik på at verificere, at kontrollen fungerer som forventet. Beskrivelse og resultat af vores tests ud fra de testede kontroller fremgår af de efterfølgende skemaer. I det omfang vi har konstateret væsentlige svagheder i kontrolmiljøet eller afvigelser her fra, har vi anført dette. REVI-IT A/S Side 6 af 9

7 Fysisk sikkerhed Overordnet kontrolmål: At forhindre uautoriseret fysisk adgang til, beskadigelse og forstyrrelse af virksomhedens lokaler og informationer, samt at undgå tab, skade, tyveri eller kompromittering af aktiver og afbrydelse af virksomhedens aktiviteter. ISO Sikre områder 9.1 Nr. Kontrolmål Sotea ApS kontrolforanstaltning REVI-IT s test Resultat af test 01 Fysisk sikkerhedsafgrænsning at sikre, at sikkerhedsafgrænsninger (barrierer som fx vægge, kortstyrede indgangsporte eller bemandede receptioner) anvendes til at beskytte områder, der indeholder informationer og informationsbehandlingsfaciliteter. Datacenteret (DC) ligger i IT-Huset ved Ferskvandscentret (FVC) på adressen Vejlsøvej 51, 8600 Silkeborg. DC ligger i kælderen af IT-Huset og for at få adgang skal der dels bruges dør-kode samt en chip baseret nøgle, der er programmeret specielt til den enkelte bruger. Ved hovedindgangen til IT-huset kræves der adgang kun via førnævnte nøgle. Hovedindgangen er åben i dagstimerne 07:00-19:00, dørene låses automatisk kl. 19:00 og åbnes igen kl. 7:00. I kælderen er der en dør, der giver adgang til DC yderområder herunder lagerrum/administrationslokale og sanitet samt selve DC. Adgang hertil sker også kun via nøglen. For at komme ind i selve DC indsættes nøglen og hvis den lyser grøn, indtaster man sin personlige kode og låser sig ind. Vi har inspiceret de fysiske rammer for Sotea's datacenter i Ferskvandscenteret i Silkeborg Fysisk adgangskontrol at sikre, at sikre områder er beskyttet med passende adgangskontroller for at sikre, at kun autoriseret personale kan få adgang. Alene autoriserede personer får adgang til lokaler via den etablerede procedure. Skal eksterne personer have adgang til lokalet, er det i følgeskab med en af vores autoriserede medarbejdere, medmindre der er indgået særskilt aftale om selvstændig adgang via nøgle og kode. Eksterne service tekniker vil efter aftale blive låst ind af Sotea, der også sørger for at der bliver aflåst igen. Vi har forespurgt om processen og procedurerne ved de fysiske adgangskontroller. Vi har inspiceret procedurerne for den fysiske adgangskontrol. Vi har, stikprøvevis, inspiceret kontrollerne i revisionsperioden REVI-IT A/S Side 7 af 9

8 03 Sikring af kontorer, lokaler og faciliteter at sikre, at sikring af kontorer, lokaler og faciliteter tilrettelægges og etableres. Adgang til DC kan kun ske vha. elektronisk kodet nøgle og PIN-kode der er udleveret efter aftale og som kræver underskrift af de enkelte personer. I DC er der monteret tyverialarm, i tilfælde af indbrud alarmeres den private vagtcentral, og vagtcentral ringer til Sotea medarbejder jf. prioriteret liste udleveret til vagtcentral - der sendes vagt så snart alarm går. Der er ligeledes monteret brandslukningsudstyr/energen anlæg, som tilsvarende vores tyverialarm er koblet op på vagtcentral. Der er andre alarmer i form af fejl på UPS, Køleanlæg og temperatur, hvor der ved fejl sendes SMS til den Tekniske Chef, Direktøren, Driftschefen og vagttelefonen, samt mail til support@sotea.dk, hvor der automatisk bliver oprettet en ticket på alarmen, som så håndteres af sotea support. Vi har inspiceret hvorledes kontorer, lokaler og faciliteter er sikret. Vi har inspiceret proceduren vedr. alarmering og opfølgning heraf. Vi har fået oplyst, at det er muligt at slette de automatisk genererede tickets ved alarmer. Det medfører mangel på sporbarhed i håndteringen af alarmer i perioden og dermed kan vi ikke teste kontrollen Beskyttelse mod eksterne og miljømæssige trusler at sikre, at fysisk beskyttelse mod skadevirkninger fra brand, oversvømmelser, jordskælv, eksplosioner, civile optøjer og andre former for natur- eller menneskeskabte katastrofer tilrettelægges og etableres. Vi anvender til sikring af driftsfaciliteterne køle- og brandanlæg, der periodisk testes og serviceres. Som med tyveri er den private vagtcentral også her tilkoblet og i tilfælde af alarm vil relevante personer hos Sotea blive notificeret. Vi har inspiceret datacenteret. Vi har inspiceret proceduren for den månedlige gennemgang af datacenteret Sikring af udstyr Placering og beskyttelse af udstyr at sikre, at udstyr placeres eller beskyttes for at nedsætte risikoen for miljøtrusler og farer og for muligheden for uautoriseret adgang. Vores centrale netværksudstyr samt kundernes servere, som har etableret aftale om placering af udstyr hos os, og andet udstyr er, fysisk placeret i aflåst lokale, som har monteret køling og brandslukning mv. Vi har inspiceret datacenteret REVI-IT A/S Side 8 af 9

9 08 Understøttende forsyninger (forsyningssikkerhed) at sikre, at udstyr beskyttes mod strømsvigt og andre forstyrrelser som følge af svigt af understøttende forsyninger. Til sikring af forsyning af elektricitet til DC i forbindelse med strømudfald er der monteret UPS og diesel generator. Dette setup er anslået til at kan køre i 6 timer på en fuld tank. En gang i måneden tester vi UPS og generator og en gang årligt udføres der service af ekstern service tekniker. Vi har inspiceret proceduren for den månedlige gennemgang af datacenteret. Vi har inspiceret dokumentation for service af UPS og dieselgenerator Vedligeholdelse af udstyr at sikre, at udstyr vedligeholdes korrekt for at sikre dets fortsatte tilgængelighed og integritet. Vi anvender til sikring af driftsfaciliteterne køle- og brandanlæg, der periodisk testes og serviceres. En gang i måneden tester vi UPS og generator og en gang årligt udføres der service af ekstern service tekniker. Vi har forespurgt på procedure for servicering af udstyr. Vi har inspiceret dokumentation for service af UPS, dieselgenerator, køling og brandslukningsanlægget Sikring af udstyr uden for virksomhedens lokaler at sikre, at der etableres sikring af udstyr uden for virksomheden under hensyntagen til de forskellige risici, der er forbundet med arbejde uden for virksomhedens lokaler. Alt udstyr befinder sig i egne lokaliteter. Vi har inspiceret at alt kritisk udstyr er placeret i datacenteret REVI-IT A/S Side 9 af 9