Miracle Hosting A/S. ISAE 3402 Type 2

Størrelse: px
Starte visningen fra side:

Download "Miracle Hosting A/S. ISAE 3402 Type 2"

Transkript

1 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Telefon Telefax Miracle Hosting A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til driftsog hostingydelser for perioden 1. januar 2014 til 31.december 2014 Medlem af Deloitte Touche Tohmatsu Limited

2 Deloitte 1 Indholdsfortegnelse Side 1. Uafhængig revisors erklæring 1 2. Udsagn fra Miracle Hosting A/S 5 3. Systembeskrivelse fra Miracle Hosting A/S Introduktion Beskrivelse af Miracle Hosting A/S ydelser Miracle Hosting A/S organisation og sikkerhed Risikostyring ved Miracle Hosting A/S Kontrolrammer, kontrolstruktur og kriterier for kontrolimplementering Etableret kontrolmiljø Informationssikkerhed Fysisk sikkerhed Styring af kommunikation med kunder Backup Drift og overvågning Adgangskontrol Anskaffelse og vedligeholdelse af infrastruktur Business Continuity Management hos Miracle Hosting Supplerende information omkring det etablerede kontrolmiljø Forhold, som skal iagttages af kundernes revisorer Information distribueret af Deloitte Introduktion Kontrolmiljøelementer Test af effektivitet Test af udførte kontroller hos Miracle Hosting A/S 21

3 Deloitte 1 1. Uafhængig revisors erklæring Til ledelsen hos Miracle Hosting A/S, Miracle Hosting A/S kunder og deres revisorer. Omfang Vi har fået til opgave at erklære os vedrørende Miracle Hosting A/S udsagn i afsnit 2 samt de tilhørende beskrivelser af system- og kontrolmiljøet i afsnit 3 for Miracle Hosting A/S hostingydelser for de tilsluttede kunder, omfattende design, implementering og effektivitet af kontroller anført i beskrivelsen. Miracle Hosting A/S beskrivelse omhandler hosting og drift af applikationer samt den underliggende infrastruktur. Erklæringen omfatter de fælles kontroller, som varetages af Miracle Hosting A/S i forbindelse med hosting og drift. Vi har ikke vurderet den faktiske sikkerhedsopsætning i applikationerne for hver kunde samt eventuelle kontroller, der udføres lokalt hos de enkelte kunder. Disse forhold forudsættes udført af kundernes egne revisorer med udgangspunkt i de etablerede forretningsgange hos hver kunde. Denne erklæring er udarbejdet efter helhedsmetoden og omfatter således ledelsens beskrivelse af kontrolmål og de hertil hørende kontrolaktiviteter hos Miracle Hosting A/S på alle områder inden for de generelle it-kontroller, som henføres til de leverede serviceydelser. Miracle Hosting A/S ansvar Miracle Hosting A/S er ansvarlig for udarbejdelse af foranstående udsagn samt beskrivelsen af system- og kontrolmiljøet, jf. afsnit 3. Miracle Hosting A/S er endvidere ansvarlig for sikring af beskrivelsernes fuldstændighed og nøjagtighed, herunder at sikre en korrekt fremstilling og præsentation af udsagn og beskrivelse i denne erklæring. Det er endvidere Miracle Hosting A/S ansvar at levere de ydelser, som beskrivelsen omfatter, at udforme og designe samt implementere effektive kontroller for at opnå de identificerede kontrolmål. Miracle Hosting A/S er ikke ansvarlig for arbejdsprocesser og kontroller, som udføres hos deres kunder. Vores uafhængighed og kvalitetsstyring Vi har overholdt kravene til uafhængighed og andre etiske krav i IESBA s Etiske regler, som er baseret på grundlæggende principper om integritet, objektivitet, faglige kompetencer og fornøden omhu, fortrolighed samt professionel adfærd.

4 Deloitte 2 Deloitte anvender ISQC 1 og opretholder derfor et omfattende system for kvalitetsstyring, herunder dokumenterede politikker og procedurer for overholdelse af etiske regler, faglige standarder samt gældende krav ifølge lov og øvrig regulering. Revisors ansvar Det er vores ansvar, baseret på vores procedurer, at udtrykke en konklusion om Miracle Hosting A/S udsagn, herunder om beskrivelse af system- og kontrolmiljøet er korrekt, om udførte kontroller er designet til at imødegå de identificerede risici implementeret i organisationen hos Miracle Hosting A/S, samt om kontrollerne har fungeret effektivt i perioden, som erklæringen omfatter. Vi har udført vores arbejder i henhold til International Standard on Assurance Engagements 3402, Assurance Reports on Controls at a Service Organization, udgivet af International Auditing and Assurance Standards Board. Denne standard kræver, at vi opfylder etiske krav samt planlægger og udfører vores procedurer med henblik på at opnå en høj grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er dækkende, og at kontrollerne er hensigtsmæssigt designet og fungerer effektivt. En erklæringsopgave med sikkerhed for beskrivelsen, design og effektiviteten af kontroller hos Miracle Hosting A/S omfatter udførelse af procedurer med henblik på at opnå bevis for Miracle Hosting A/S beskrivelse af sit system samt for kontrollernes design og effektivitet. De udvalgte procedurer afhænger af revisors vurdering, herunder vurdering af risikoen for, at beskrivelsen ikke fremstår dækkende, og at kontrollerne ikke er hensigtsmæssigt designet eller ikke fungerer effektivt. Vores procedurer omfatter en test af effektiviteten af de kontroller, som vi anser som nødvendige for at opnå en høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen bliver nået. Vores procedurer omfatter endvidere en vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte kontrolmål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i afsnit 2. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør Miracle Hosting A/S beskrivelse er udarbejdet med henblik på at imødekomme kravene fra kunderne og disses revisorer men omfatte ikke nødvendigvis alle aspekter af kontrol i et system, som den enkelte kunde anser som værende vigtig for eget kontrolmiljø. Kontroller i en servicevirksomhed kan heller ikke i sagens natur forhindre eller opdage alle fejl eller udeladelser i proces- eller rapporteringstrans-

5 Deloitte 3 aktioner. Derudover er forskydningen af effektivitetsvurdering udsat for den risiko, at kontroller i en servicevirksomhed kan blive utilstrækkelige eller fejle. Endvidere vil en anvendelse af vores konklusion på efterfølgende perioders transaktioner være undergivet en risiko for, at der foretages ændringer af systemer eller kontroller eller i virksomhedens overholdelse af de beskrevne politikker og procedurer, hvorved vores konklusion muligvis ikke længere vil være gældende. Konklusion Vores konklusion er udformet på basis af de forhold, der er beskrevet i denne erklæring. De kriterier, som vi har anvendt i forbindelse med vores konklusion er beskrevet i afsnit 4. På grundlag af den udførte revision er det vores vurdering, at: a) beskrivelsen af de generelle it-kontroller relateret til drifts- og hostingydelser for de tilsluttede kunder, således som de var udformet og implementeret i perioden til , i alle væsentlige henseender er retvisende b) kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden til c) de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået, i alle væsentlige henseender har fungeret effektivt i hele perioden til Beskrivelse af test af kontroller De specifikke kontroller, der blev testet samt arten, den tidsmæssige placering og resultatet af disse tests fremgår af afsnit 4.

6 Deloitte 4 Tiltænkte brugere og formål Denne erklæring, beskrivelse af system- og kontrolmiljø i afsnit 4 samt vores test af kontroller i afsnit 4 er udelukkende tiltænkt kunder, der anvender Miracle Hosting A/S serviceydelser og disses revisorer, som har tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om de tilsluttede kunders egne kontroller, når de vurderer risici for væsentlige fejlinformationer i deres regnskaber. Aarhus, den 13. januar 2015 Deloitte Statsautoriseret Revisionspartnerselskab Steen Gellert-Kristensen statsautoriseret revisor Henrik Roed Svendsen director, CISA, CGEIT

7 Deloitte 5 2. Udsagn fra Miracle Hosting A/S Dette udsagn er udarbejdet til brug for Miracle Hosting A/S kunder, der anvender Miracle Hosting A/S serviceydelser og disse revisorer. Vores udsagn omfatter beskrivelsen af system og kontrolmiljøet, herunder de kontroller, som Miracle Hosting A/S udfører for kunderne i relation til de indgåede aftaler med Miracle Hosting A/S. Vores beskrivelse af arbejdsprocesser og udførte kontroller er nærmere beskrevet i afsnit 3 Systembeskrivelse fra Miracle Hosting A/S. Vores beskrivelse omfatter perioden til og forudsætter, at kunderne og deres revisorer har tilstrækkelig forståelse for og omkring de leverede serviceydelser til at vurdere beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har etableret ved vurdering af risiciene for fejlinformation i kundernes regnskaber. Miracle Hosting A/S bekræfter, at: beskrivelserne i afsnit 3 giver en dækkende redegørelse for vores arbejdsprocesser og udførte kontroller til sikring af betryggende sikringsforanstaltninger omkring hostingydelserne, herunder: o de typer af serviceydelser, som Miracle Hosting A/S leverer o at der er defineret en risikovurderingsproces til identifikation af risici i hostingydelserne o at der med udgangspunkt i risici er fastsat kontrolmål og kontroller til imødegåelse af de identificerede risici o at de beskrevne arbejdsprocesser og kontroller er implementeret o at der er etableret ledelsesmæssige overvågningskontroller til sikring af, at kontrollerne er effektive beskrivelserne indeholder relevante oplysninger om væsentlige ændringer i de outsourcede ydelser i perioden til beskrivelserne er udarbejdet under hensyntagen til, at de skal opfylde almindelige behov for information til brug for aflæggelse af kunders regnskaber

8 Deloitte 6 beskrivelse af de udførte kontroller er hensigtsmæssigt designet, er implementeret hos Miracle Hosting A/S og har fungeret effektivt i hele perioden til , herunder: o at etablerede kontroller er designet til at imødegå de identificerede risici o at etablerede kontroller vil hvis de udføres som beskrevet give høj grad af sikkerhed for, at de identificerede risici forhindres eller minimeres til et acceptabelt niveau o at manuelle kontroller udføres af personer med tilstrækkelige kompetencer og beføjelser hertil.

9 Deloitte 7 3. Systembeskrivelse fra Miracle Hosting A/S 3.1 Introduktion Denne beskrivelse er udfærdiget med henblik på at levere information til brug for Miracle Hostings kunder og disses revisorer i overensstemmelse med kravene i den danske revisionsstandard ISAE 3402 for erklæringsopgaver om kontroller hos serviceleverandør. Beskrivelsen omfatter informationer om system- og kontrolmiljøet, der er etableret i forbindelse med Miracle Hostings leverance af serviceydelser på drift og hosting. Beskrivelsen indeholder beskrivelser af de anvendte procedurer til sikring af en betryggende afvikling af systemer. Formålet er at give tilstrækkelige informationer til, at hostingkunders revisorer selvstændigt kan vurdere afdækningen af risici for kontrolsvagheder i kontrolmiljøet, i det omfang det kan medføre en risiko for væsentlige fejl i hostingkunders it-drift for perioden til Beskrivelse af Miracle Hosting A/S ydelser Miracle Hosting har siden etableringen i 2011 været en del af hostingbranchen og har leveret drift af it-løsninger til flere forskellige brancher på markedet. Miracle Hosting leverer udover hosting en bred vifte af øvrige it-relaterede ydelser. Miracle Hosting tilbyder i relation til denne erklæring følgende serviceydelser til hosting-markedet: Hosting Housing Remote Backup Nærværende systembeskrivelse indeholder en beskrivelse af anvendte arbejdsprocedurer og udførte kontroller på ovenstående serviceydelser.

10 Deloitte Miracle Hosting A/S organisation og sikkerhed Ansvar og organisering i Miracle Hosting A/S fremgår af nedenstående organisationsdiagram: Steen Knudsen Direktør Thomas Møller Driftschef Service Desk Driftafdeling Presale Direktionen i Miracle Hosting, som er den øverst ansvarlige for it-sikkerheden, søger for, at der til stadighed er etableret procedurer og systemer, der understøtter overholdelsen af den til enhver tid gældende it-sikkerhedspolitik. For at understøtte dette har Miracle Hosting A/S etableret en itsikkerhedsgruppe, som er ansvarlig for overordnede målsætninger for implementering af it-sikkerhed på serviceydelserne. Det er driftschefen, som er ansvarlig for udarbejdelse og implementering af relevante kontroller til efterlevelse af it-sikkerhedspolitikken. Sikkerhedsniveauet skal være målbart og kontrollerbart, hvor dette overhovedet er muligt, og være udtryk for best practice inden for de enkelte kontrolaktiviteter på de serviceområder, som tilbydes kunderne. It-sikkerhedsgruppen består pt. af følgende medlemmer: Direktør - Steen Knudsen Driftschef - Thomas Møller Gruppen mødes 1 gang årligt for at fastsætte og følge op på målsætninger i relation til it-sikkerheden. 3.4 Risikostyring ved Miracle Hosting A/S Risikostyring gennemføres i Miracle Hosting på flere områder og niveauer. Der gennemføres en årlig risiko- og trusselsvurdering, der sigter mod interne systemer generelt. Input til denne vurdering indhentes i hele organisationen. Processen faciliteres af ansvarlige og ledere, der udarbejder udkast til

11 Deloitte 9 Miracle Hostings ledelse. Efter intern bearbejdning godkendes vurderingen af Miracle Hostings ledelse. I projektindstillingsfasen udarbejdes der, afhængig af projektets karakter, dels en sikkerhedsvurdering samt en vurdering af særlige risici og usikkerheder. Dette sker efter en foruddefineret proces. På operationelt projektniveau gennemføres løbende risikostyring. Der arbejdes efter en fast projektstyringsmodel, hvor ansvaret for projektrelateret risikostyring gennemføres af projektlederen, som ofte vælger at inddrage projektdeltagere, eksterne partnere og eventuelle styregruppemedlemmer i processen. 3.5 Kontrolrammer, kontrolstruktur og kriterier for kontrolimplementering Miracle Hostings it-sikkerhedspolitik, etablerede processer og kontroller omfatter alle systemer og ydelser, der tilbydes kunderne. Det fortsatte arbejde med tilpasning og forbedring af Miracle Hostings sikringsforanstaltninger sker løbende i samarbejde med højt kvalificerede specialister. Fastsættelse af kriterier for kontrolimplementering hos Miracle Hosting tager udgangspunkt i DS-484. På basis af dette kontrol-framework er relevante kontrolområder og kontrolaktiviteter implementeret ud fra best practice for minimering af risici på de serviceydelser, som leveres af Miracle Hosting. Med udgangspunkt i den valgte kontrolmodel indgår følgende kontrolområder i det samlede kontrolmiljø: Informationssikkerhed Intern organisering af it-sikkerhed Fysisk sikkerhed Styring af kommunikation med kunder Backup Drift og overvågning Adgangskontrol Anskaffelse og vedligeholdelse af netværk Business Continuity Management Miracle Hosting har i december måned 2014 foretaget opdatering af sikringsforanstaltninger og kontroller ud fra kontrolframeworket ISO27001:2013. Fremtidige revisionserklæringer vil derfor efterleve retningsreglerne i ISO27001:2013.

12 Deloitte Etableret kontrolmiljø Hvert enkelt område er detaljebeskrevet i de efterfølgende afsnit Informationssikkerhed Formål En ledelsesgodkendt it-sikkerhedspolitik er udarbejdet med udgangspunkt i en it-risikoanalyse og kommunikeret ud til relevante medarbejdere i virksomheden. Anvendte procedurer og kontroller Miracle Hosting afdækker relevante it-risici på de etablerede serviceydelser. Dette varetages gennem en løbende trussels- og risikovurdering hos Miracle Hosting, dels i forbindelse med alle udviklingsprojekter og ændringer i systemmiljøer og dels ved en årlig revurdering af risikoanalysen. Resultatet af den årlige gennemgang forelægges ledelsen. På baggrund af ovenstående trussels- og risikovurdering af hostingaktiviteterne defineres itsikkerhedspolitikken. Miracle Hosting stiller endvidere en række informationer til rådighed for hostingkundernes revisorer til brug for deres vurdering af Miracle Hosting som serviceleverandør. Ud over driftsrelaterede forhold kan Miracle Hosting også informere om sikkerhedsmæssige forhold, i det omfang kunderne efterspørger dette. Tidspunkt for udførelse af kontrollen It-risikoanalysen og it-sikkerhedspolitikken revurderes mindst en gang årlig forinden udførelse af itrevision og udarbejdelse af erklæring. Hvem udfører kontrollen Den årlige gennemgang udføres af sikkerhedsgruppen. Kontroldokumentation Der er versionsstyring på dokumenterne Fysisk sikkerhed Miracle Hosting har et datacenter til kundernes og eget udstyr.

13 Deloitte 11 Fysisk adgangskontrol og sikring Formål Den fysiske adgang til systemer, data og andre it-ressourcer er begrænset og tilrettelagt i overensstemmelse med kunders ønsker. Anvendte procedurer og kontroller Adgang til bygning er kontrolleret via nøglekort, som er udleveret til Miracle Hostings driftspersonale ud fra et arbejdsmæssigt behov. Serverrummet er hævet over grundniveau, og alle døre i datacenteret er sikret med en elektronisk låsemekanisme, som kun kan låses op med registrerede nøglekort. Endelig er der etableret et alarmsystem, som alarmerer vagtcentralen ved forsøg på indbrud. Tidspunkt for udførelse af kontrollen Der sker en periodisk gennemgang af nøglekortholdere ved udskiftning af personale eller som minimum en gang om året. Hvem udfører kontrollen Driftsafdelingen. Kontroldokumentation Udskrift af nøglekortholdere fra nøglestyrringssystemet. Sikring mod miljømæssige hændelser Formål It-udstyr er beskyttet mod miljømæssige hændelser som strømsvigt og brand. Anvendte procedurer og kontroller Datacenterets serverrum er beskyttet mod følgende miljømæssige hændelser: Strømsikring Brandsikring Klima På alt vitalt it-udstyr er stabil strøm sikret med en UPS-installation, som kan holde systemerne med strøm, indtil generatoren automatisk er startet og klar. I serverrumet er der etableret røg- og tempera-

14 Deloitte 12 turføler, der er koblet sammen med det centrale brandovervågningssystem. Serverrummet er endvidere forsynet med automatisk brandbekæmpelsesudstyr (der aktiveres ved for høje værdier på enten røg eller varme). Der udføres løbende service på disse anlæg. Varmeudviklingen i serverrummet reguleres gennem det fuldautomatiske kølesystem, som sikrer den korrekte temperatur for sikring af stabil drift og lang holdbarhed på det anvendte it-udstyr. Der udføres løbende service på anlægget. Tidspunkt for udførelse af kontrollen Der udføres løbende visuel kontrol af teknik- og serverrum af driftspersonalet Der udføres 1 årlige kontrol/service af alarmsystemet fra alarmselskabet Der udføres 1 årlig kontrol/service af brandbekæmpelsesudstyr Der udføres 1 årlige kontrol/service af UPS og generator Der udføres 1 årlige kontrol/service af køleanlægget Hvem udfører kontrollen Kontrollen udføres af leverandører af systemerne. Kontroldokumentation Alle kontrol-/serviceskemaer forefindes hos driftschefen Styring af kommunikation med kunder Service Desk og kundesupport Formål Der udføres betryggende brugersupport for brugere, der kontakter Service Desk, herunder at der ydes den aftalte support i de tidsrum og på de i kontrakten aftalte områder. Anvendte procedurer og kontroller Miracle Hosting har etableret et sæt skriftlige Service Desk-procedurer på de områder, der er aftalt i aftalen med kunden. Service Desk-procedurerne udarbejdes af Service Desk i tæt samarbejde med kunden samt 3. parts leverandøre. Support til bruger sker over telefon og evt. via fjernstyringsværktøjer. Tidspunkt for udførelse af kontrollen Service Desk gennemgår dagligt sager, der afventer løsning.

15 Deloitte 13 Hvem udfører kontrollen Kontroller udføres af Service Desk, og uden for normal arbejdstid udføres den af Service Deskvagten. Kontroldokumentation Dokumentation for henvendelser og udførelse af opgaver for kunderne sker i Miracle Hostings sagsstyringssystem. Incidenthåndtering Formål Der gennemføres en betryggende Incidenthåndtering ud fra de indgåede aftaler med kunder, herunder at Miracle Hosting kontrollerer, at dette sker til normal fuldførelse og med forventet resultat. Anvendte procedurer og kontroller Miracle Hosting anvender sagsstyringssystem til registrering og håndtering af incidents. Der noteres følgende i sagen: Fejl Hvad der er gjort for afhjælpning af fejl Hvem der har udført opgaver Tidsstempling for, hvad tid der er noteret i sagen Tidsregistrering (om det er ifølge driftsaftale, eller det skal faktureres). Ledelsen af driftsafdelingen er ansvarlig for overvågning af, at indkomne henvendelser i Service Desk prioriteres og tildeles ressourcer, samt at incidenthåndtering gennemføres i overensstemmelse med de indgåede kundeaftaler. Tidspunkt for udførelse af kontrollen Incidenthåndtering sker inden for de aftalte SLA-tider med kunden. Hvem udfører kontrollen Håndteringerne af incidents udføres af Miracle Hostings driftsafdeling, og uden for normal arbejdstid udføres den af en konsulent (vagten). Kontroldokumentation Dokumentation for incidents og udførelse af incidents for kunderne sker i Miracle Hostings sagsstyringssystem.

16 Deloitte Backup Formål Data sikkerhedskopieres og opbevares, så de kan reetableres i overensstemmelse med gældende SLAkrav. Miracle Hosting kontrollerer, om backup udføres fejlfrit, og ved fejl i backup at der udføres en vurdering af fejl og opfølgning på evt. fejlretning. Anvendte procedurer og kontroller Der er udarbejdet udførlig beskrivelse af backupprocedure. Backupproceduren er en del af den daglige kørsel og er således automatiseret i systemet. Manuelle rutiner i forbindelse med backup er beskrevet i driftsprocedurerne. Alle backups gemmes på 2 lokationer med betryggende afstand. Backup testes løbende, idet backups anvendes til at reetablere kundedata, ligesom der ved den årlige afprøvning af recovery-procedurer sker en efterprøvning af restore i forbindelse med en fuld reetablering af én enkelt kundes miljø, dvs. både systemopsætning og brugerdata. Tidspunkt for udførelse af kontrollen Der udføres tjek af backuplogs i normal arbejdstid. Hvem udfører kontrollen Driftsafdelingen forestår den daglige kontrol af backuplogs. Kontroldokumentation Daglig kontrol i Miracle Hostings sagsstyringssystem Drift og overvågning Formål Der udføres proaktiv overvågning af, at aftalte services er tilgængelige, at tilgængelige ressourcer er i overensstemmelse med de aftalte normer/tærskelværdier, og at nødvendige jobs og kørsler, såvel online som batch, afvikles rettidigt og korrekt. Miracle Hosting kontrollerer, at dette sker til normal fuldførelse og med forventet resultat. Anvendte procedurer og kontroller Miracle Hosting har etableret et sæt skriftlige driftsprocedurer på alle væsentlige driftsaktiviteter, som er afstemt med kundens krav og den tilhørende it-sikkerhedspolitik. Driftsprocedurerne udarbejdes af driftsafdelingen i et tæt samarbejde med kunden, 3. parts leverandører samt driftsafdelingen. Der foreligger en række jobbeskrivelser for driftsafdelingen, hvor der er fastsat, hvilken overvågning og kontroller, der udføres dagligt, ugentlig og årligt. Konstaterede fejl i udførte kontroller og eventu-

17 Deloitte 15 elle fejl fra det systemtekniske overvågningssystem korrigeres hurtigst muligt ved hjælp af procedure eller best practice. Kunden informeres løbende om omfanget og konsekvenserne af de konstaterede fejl. Følgende funktionsområder har adgang til kundernes it-systemer: Service Desk-medarbejdere Driftsmedarbejder Konsulenter Tidspunkt for udførelse af kontrollen Kontrollen udføres i primær driftstid ifølge SLA-aftalen med den enkelte kunde. Hvem udfører kontrollen Kontroller udføres af Miracle Hostings driftsafdeling, og uden for normal arbejdstid udføres den af en konsulent (vagten). Kontroldokumentation Dokumentation for udførelse af dette for kunderne sker i Miracle Hostings sagsstyringssystem Adgangskontrol Formål Adgang til systemer, data og andre it-ressourcer administreres, vedligeholdes og overvåges i overensstemmelse med de tilsluttede kunders behov. Adgangen deles op i 3 områder: Kundens medarbejder Miracle Hostings medarbejder 3. part Anvendte procedurer og kontroller Det er Miracle Hostings ansvar at sikre en betryggende adgang til de enkelte systemer, ved at kunden godkender 3. parts-oprettelse af brugere og tildeling af roller. Brugere oprettes på baggrund af skriftlige henvendelser/mail sendt til Miracle Hostings driftsafdeling. Det er Miracle Hosting, der fastsætter, hvilken af de foruddefinerede roller, som brugerne skal tildeles på baggrund af kundens godkendelse.

18 Deloitte 16 Det er endvidere kundens ansvar at meddele Miracle Hosting, når rolletildelingen skal ændres eller fjernes. Rettigheder til interne brugere hos Miracle Hosting oprettes efter de samme principper og godkendes af Driftschefen. For interne medarbejdere er der udarbejdet formelle retningslinjer vedrørende sletning af brugere. Disse sikrer bl.a., at en fratrådt medarbejder ved arbejdsophør hos Miracle Hosting afleverer nøgler og adgangskort, således at der ikke kan opnås fysisk adgang til bygningen, og vedkommendes bruger-id spærres for log-in. Tidspunkt for udførelse af kontrollen For kunder sker det i forbindelse med anmodning fra kunden, og når 3. part tilgår kundens system internt sker der kontrol i forbindelse med personaleændringer. Hvem udfører kontrollen For kunder er det driftsafdelingen ved Miracle Hosting, der har ansvaret for, at proceduren for 3. parts-adgang til kundens miljø bliver overholdt ifølge aftale med kunden. For medarbejdere ved Miracle Hosting er det Driftschefen, der har ansvaret for, hvem der har adgang til hvad (kundemiljø, interne systemer). Kontroldokumentation Ved behov for adgang fra en 3. part til kundens it-miljø er det kundens it-ansvarlige, der fremsender en godkendelsesmail til Driftsafdelingen. Denne lagres herefter på kundedrevet i kundens Driftsmappe. For Miracle Hostings medarbejder gemmes brugerskemaer i den enkeltes personalemappe på Direktionsdrevet Anskaffelse og vedligeholdelse af infrastruktur Netværk og kommunikationssoftware Formål Netværks- og kommunikationssoftware vedligeholdes og supporteres, og ledelsen sikrer, at ændringer eller nyanskaffelser sker i overensstemmelse med behov, samt at ændringer testes og dokumenteres på tilfredsstillende vis. Anvendte procedurer og kontroller Miracle Hosting har fuld dokumentation for netværk og kommunikationslinjer frem til de tilsluttede kunder, hvor der foreligger en aftale omkring drift af kundens netværksudstyr. Miracle Hosting vurderer løbende behov for opdatering af firmware på netværks- og kommunikationssoftware. For at sikre en stabil drift vil der alene ske opdateringer, såfremt det er nødvendigt for at sikre kommunikationen. Inden ændringer foretages, tages backup af konfigurationsfilerne til netværks

19 Deloitte 17 komponenter, ligesom udskiftet udstyr beholdes i en karensperiode i tilfælde af, at nyt udstyr ikke fungerer korrekt eller optimalt. Væsentlige ændringer til netværkskonfigurationer foretages inden for de med kunderne aftalte servicevinduer. Tidspunkt for udførelse af kontrollen Kontrollen udføres i forbindelse med opdatering og ændring. Hvem udfører kontrollen Driftsafdelingen har ansvaret for udførelse af opdateringer samt kontrol af funktionalitet. Kontroldokumentation Der laves dokumentation i Miracle Hostings sagsstyringssystem omkring opgaver, der er udført på kundens system. Systemsoftware Formål Systemsoftware vedligeholdes og supporteres, og ledelsen sikrer, at ændringer eller nyanskaffelser sker i overensstemmelse med virksomhedens behov, samt at ændringer testes og dokumenteres på tilfredsstillende vis. Anvendte procedurer og kontroller For Windows-servere indhentes fyldestgørende systemdokumentation efter behov. Miracle Hosting har fastsat procedurer for anskaffelse og opdatering af systemsoftware på Windows-platformene. På Windows-platformen hentes opdateringer fra Microsoft og rulles manuelt på efter aftale med kunden. Vurderinger og test sker ved, at der i forbindelse med servicevindue tages stilling til, om der er behov for de frigivne patches og fixes. Herefter testes de på mindre kritiske systemer, inden de rulles på alle systemer. Tidspunkt for udførelse af kontrollen Kontrollen for opdateringer sker efter opsatte kontroller i Miracle Hostings sagsstyringssystem. Hvem udfører kontrollen Driftsafdelingen er ansvarlig for udførelse af opdateringer og kontrol heraf. Kontroldokumentation Det fremgår af de installerede patches på den enkelte server samt Miracle Hostings sagsstyringssystem.

20 Deloitte Business Continuity Management hos Miracle Hosting Formål En plan for genoptagelse af Miracle Hostings mest kritiske, interne, it-baserede forretningsprocesser efter en katastrofe er indtruffet. Anvendte procedurer og kontroller Miracle Hosting har tegnet service på alle kritiske komponenter i datacenteret. Herudover er alle kritiske netværkskomponenter redundante for at sikre den fortsatte drift i tilfælde af nedbrud og fejl. De virtuelle servere drives primært i et VMware cluster for at sikre høj tilgængelighed i tilfælde af nedbrud på en eller flere noder. Backup foretages dagligt, og data kopieres til en sekundær lokation efter endt backup. De fastsatte procedurer omfatter ikke beredskabsstyring og reetablering af kundernes systemmiljøer ud over assistance ved restore af foretaget backup. Tidspunkt for udførelse af kontrollen Miracle Hosting gennemgår årligt serviceniveauet for kritisk udstyr for at sikre høj tilgængelighed i datacenteret. Hvem udfører kontrollen Sikkerhedsgruppen udfører den årlige gennemgang og tilpasning af serviceniveauer og infrastrukturarkitektur. Kontroldokumentation Den årlige gennemgang dokumenteres i Miracle Hostings sagsstyringssystem. 3.7 Supplerende information omkring det etablerede kontrolmiljø Forhold, som skal iagttages af kundernes revisorer Levering af serviceydelser Ovenstående systembeskrivelse af kontroller er baseret på Miracle Hostings standardbetingelser. Det bevirker, at kundernes afvigelser fra Miracle Hostings standardbetingelser ikke er omfattet af nærværende erklæring. Kundernes egne revisorer bør derfor vurdere, om denne erklæring kan anvendes på den konkrete kunde og selv afdække eventulle andre risici, der vurderes som væsentlige for aflæggelse af kundernes årsregnskaber.

Wannafind. ISAE 3402 Type 2

Wannafind. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Wannafind ISAE 3402 Type 2

Læs mere

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31.

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31. Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til drifts- og hosting-ydelser for 1. januar 2014 til 31. december 2014 Indholdsfortegnelse Ledelsens

Læs mere

IT Relation A/S. ISAE 3402 Type 2

IT Relation A/S. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk IT Relation A/S ISAE 3402 Type

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring om generelle itkontroller relateret til drifts- og hosting-ydelser i perioden 1. januar 2016 til 31. december 2016 Indholdsfortegnelse Indholdsfortegnelse

Læs mere

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

A/S ScanNet. ISAE 3402 Type 2

A/S ScanNet. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk A/S ScanNet ISAE 3402 Type

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

Miracle A/S. ISAE 3402 Type 2

Miracle A/S. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Miracle A/S ISAE 3402 Type

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

ITS (IT-Supportcentret) ISAE 3402 Type 2

ITS (IT-Supportcentret) ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk ITS (IT-Supportcentret) ISAE

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013 Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Zentura IT A/S CVR-nr. 32 89 08 06

Zentura IT A/S CVR-nr. 32 89 08 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

Revisionsrapport Revision af generelle it-kontroller 2016

Revisionsrapport Revision af generelle it-kontroller 2016 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Københavns Kommune Koncernservice

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

A/S ScanNet. ISAE 3402 Type 2

A/S ScanNet. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk A/S ScanNet ISAE 3402 Type

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

Revisionskomitéen. Under udførelsen af udvalgets opgaver skal udvalget opretholde et effektivt samarbejde med bestyrelse, ledelse og revisorer.

Revisionskomitéen. Under udførelsen af udvalgets opgaver skal udvalget opretholde et effektivt samarbejde med bestyrelse, ledelse og revisorer. Thrane & Thranes bestyrelse har nedsat en revisionskomite. Revisionskomitéen Revisionskomiteens medlemmer er: Morten Eldrup-Jørgensen (formand og uafhængigt medlem med ekspertise inden for blandt andet

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Business Data A/S Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Version 3.0.1 (senest redigeret 20. november 2014) Indhold 1. Generelt... 2 2. Definitioner...

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium 18. juni 2015 BILAG 1 Kommissorium for revisionsudvalget i TDC A/S 1. Status og kommissorium Revisionsudvalget er et udvalg under bestyrelsen, der er nedsat i overensstemmelse med 15.1 i forretningsordenen

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

Greve Kommune. Revision af generelle it-kontroller

Greve Kommune. Revision af generelle it-kontroller Deloitte Statsautoriseret Revisionsaktieselskab CVR-nr. 4 1 37 14 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter www.pwc.dk Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Januar 2016 Indhold 1. Ledelsens udtalelse 3 2.

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Kommissorium for revisionsudvalget i TDC A/S

Kommissorium for revisionsudvalget i TDC A/S 2. februar 2012 Kommissorium for revisionsudvalget i TDC A/S 1. Status og kommissorium Revisionsudvalget er et udvalg under bestyrelsen, der er nedsat i overensstemmelse med 15.1 i forretningsordenen for

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2013 August 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 15. august 2014 Formål Vi har i perioden

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Revisionsprotokollat af 23. marts 2014

Revisionsprotokollat af 23. marts 2014 KPMG Statsautoriseret Revisionspartnerselskab AUDIT Osvald Helmuths Vej 4 Postboks 250 2000 Frederiksberg Telefon 73 23 30 00 Telefax 72 29 30 30 www.kpmg.dk Revisionsprotokollat af 23. marts 2014 om revisors

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

Sikkerhed og Revision 2013 Finansiel revisors ønsker til it-revisor. 5. september 2013

Sikkerhed og Revision 2013 Finansiel revisors ønsker til it-revisor. 5. september 2013 Sikkerhed og Revision 2013 Finansiel revisors ønsker til it-revisor 5. september 2013 Den nye revisionsmetode Køreplan til, hvordan en it-specialist kan medvirke i planlægningen (side 1 af 2) Opdatere

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Aftalevilkår er gældende fra januar 2016. Telefon: E-mail: Web: 8742 8000 support@nhc.dk Silkeborg 2016 Dokumentversion: Dato: Oprettet af: Ændret af: Seneste ændring: 1.1

Læs mere

DEN UAFHÆNGIGE REVISORS REVISIONSPÅTEGNING

DEN UAFHÆNGIGE REVISORS REVISIONSPÅTEGNING Paradigme standard 3: Erklæring om offentlig revision 2016 Boligafdeling i almen boligorganisation Fuldstændigt regnskab med generelt formål efter en begrebsramme, der giver et retvisende billede. Regnskab

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2012 August 2013 Ib Østergaard Rasmussen Faxe Kommune Frederiksgade 9 4690 Haslev 13. august 2013 Formål Vi har i juli/august måned 2013 foretaget revision

Læs mere

Regnskabserklæring til revisor for Business Faxe Copenhagen. Efter anmodning skal jeg afgive nedenstående erklæring i forbindelse med jeres:

Regnskabserklæring til revisor for Business Faxe Copenhagen. Efter anmodning skal jeg afgive nedenstående erklæring i forbindelse med jeres: Beierholm Bregentvedvej 22 4690 Haslev Regnskabserklæring til revisor for Business Faxe Copenhagen Efter anmodning skal jeg afgive nedenstående erklæring i forbindelse med jeres: Revision af årsregnskabet

Læs mere

MELLEM. 2300 København S. (herefter SKI )

MELLEM. 2300 København S. (herefter SKI ) BRUGERTILSLUTNINGSAFTALE SKI. dk MELLEM Staten og Kommunernes Indkøbs Service A/S Zeppelinerhallen, Islands Brygge 55 2300 København S CVR 17472437, EAN 57900002758477 (herefter SKI ) og (Herefter Kunden

Læs mere

Fælleskøkkenet Elbo I/S. Revisionsprotokollat til årsregnskab 2011

Fælleskøkkenet Elbo I/S. Revisionsprotokollat til årsregnskab 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Arosgaarden, Åboulevarden 31 Postboks 514 8100 Aarhus C Telefon 89 41 41 41 Telefax 89 41 42 43 www.deloitte.dk Fælleskøkkenet Elbo

Læs mere

Comendo Remote Backup. Service Level Agreement

Comendo Remote Backup. Service Level Agreement Comendo Remote Backup Service Level Agreement Side 2 af 7 Indholdsfortegnelse Service Level Agreement... 1 Indholdsfortegnelse... 2 Introduktion... 3 Comendo Remote Backup ansvar og forpligtelser... 3

Læs mere

Revisionsprotokollat af 27. marts 2011

Revisionsprotokollat af 27. marts 2011 KPMG Statsautoriseret Revisionspartnerselskab AUDIT Borups Allé 177 Postboks 250 2000 Frederiksberg Telefon 38 18 30 00 Telefax 72 29 30 30 www.kpmg.dk Revisionsprotokollat af 27. marts 2011 til årsrapporten

Læs mere

Notat om revisionsberetning nr. 35 vedrørende revisionen af Region Midtjyllands regnskab for 2015

Notat om revisionsberetning nr. 35 vedrørende revisionen af Region Midtjyllands regnskab for 2015 Regionshuset Viborg Koncernøkonomi Skottenborg 26 Notat om revisionsberetning nr. 35 vedrørende revisionen af Region Midtjyllands regnskab for 2015 8800 Vibrog Tel. +45 87285000 koncernoekonomi@stab.rm.dk

Læs mere

Pr. 31. december 2014

Pr. 31. december 2014 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Emini A/S Uafhængig revisors

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

DEN UAFHÆNGIGE REVISORS REVISIONSPÅTEGNING

DEN UAFHÆNGIGE REVISORS REVISIONSPÅTEGNING Paradigme standard 3: Erklæring om offentlig revision 2016 Almen boligorganisation Fuldstændigt regnskab med generelt formål efter en begrebsramme, der giver et retvisende billede. Regnskab omfattet af

Læs mere

SLA Service Level Agreement

SLA Service Level Agreement SLA Service Level Agreement Indholdsfortegnelse 1 Service Level Agreement... 1 2 Driftsvindue og oppetid... 1 2.1 Servicevindue... 1 2.1.1 Ekstraordinær service... 1 2.1.2 Patch Management... 1 2.1.3 Åbningstid...

Læs mere

Kl Indledning v. Lone Strøm, Rigsrevisor

Kl Indledning v. Lone Strøm, Rigsrevisor Kl. 13.00-13.10 Indledning v. Lone Strøm, Rigsrevisor Kl. 13.10-13.40 Hvad viser Rigsrevisionens beretning? Hvad viser beretningen om styring af it-sikkerhed hos it-leverandører? v. Claus Bobjerg Juul,

Læs mere

DEN UAFHÆNGIGE REVISORS REVISIONSPÅTEGNING

DEN UAFHÆNGIGE REVISORS REVISIONSPÅTEGNING Paradigme standard 3: Erklæring om offentlig revision 2016 Frie skoler Fuldstændigt regnskab med generelt formål efter en begrebsramme, der giver et retvisende billede. Regnskab omfattet af [indsæt relevant

Læs mere

Service Level Agreement

Service Level Agreement Service Level Agreement Dette dokument vil gennemgå de serviceforpligtelser, som leverandøren har til kunden i forbindelse med en købsaftale, forudsat der specifikt er henvist til den korrekte versionering

Læs mere

30. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

30. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 30. marts 2016 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2015 Økonomi- og Stabschefchef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 30.

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

www.pwc.dk Ballerup Kommune Beretning om tiltrædelse som revisor

www.pwc.dk Ballerup Kommune Beretning om tiltrædelse som revisor www.pwc.dk Ballerup Kommune Beretning om tiltrædelse som revisor Pr. 1. januar 2015 Indholdsfortegnelse 1. Tiltrædelse som revisor 3 1.1. Indledning 3 1.2. Opgaver og ansvar 3 1.2.1. Ledelsen 3 1.2.2.

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Dansk Træforening. Revisionsprotokol af 5/5 2009 vedrørende årsrapporten for 2008

Dansk Træforening. Revisionsprotokol af 5/5 2009 vedrørende årsrapporten for 2008 Dansk Træforening Revisionsprotokol af 5/5 2009 vedrørende årsrapporten for 2008 Kvæsthusgade 3 DK-1251 København K Tlf. (+45) 39 16 36 36 Fax (+45) 39 16 36 37 E-mail:copenhagen@n-c.dk Aalborg København

Læs mere

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser iodc (In & Outbound Datacenter) Hvidovrevej 80D 2610 Rødovre CVR 35963634 ( IODC ) Version 1.0 1 1. Forudsætninger... 3 2. Ansvar

Læs mere

Regnskabserklæring til revisor for Gedser Fjernvarme A.m.b.a. Efter anmodning skal jeg afgive nedenstående erklæring i forbindelse med jeres:

Regnskabserklæring til revisor for Gedser Fjernvarme A.m.b.a. Efter anmodning skal jeg afgive nedenstående erklæring i forbindelse med jeres: Beierholm Slotsgade 11 4800 Nykøbing F. Regnskabserklæring til revisor for Gedser Fjernvarme A.m.b.a. Efter anmodning skal jeg afgive nedenstående erklæring i forbindelse med jeres: Revision af årsregnskabet

Læs mere

Komplementarselskabet Karlstad Bymidte ApS

Komplementarselskabet Karlstad Bymidte ApS Komplementarselskabet Karlstad Bymidte ApS Revisionsprotokollat vedrørende ansvarsforhold, revisionens omfang og rapportering (Tiltrædelsesprotokollat) PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab,

Læs mere

A/S it-drift og hostingaktiviteter

A/S it-drift og hostingaktiviteter www.pwc.dk Januar 2015 Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle itkontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Indhold 1. Ledelsens erklæring 3 2. Outforce

Læs mere

Bilag 7: Aftale om drift

Bilag 7: Aftale om drift Bilag 7: Aftale om drift Udbud af E-rekrutteringssystem Aftale om drift mellem REGION SYDDANMARK (i det følgende kaldet Kunden ) og Bilag 7 Aftale om drift 3 7.1 Indledning

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v.

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v. S E R V I C E L E V E L A G R E E M E N T for Netgroups levering af IT-ydelser m.v. Netgroup A/S Store Kongensgade 40 H 1264 København K CVR-nr.: 26 09 35 03 ( Netgroup ) Version 4.4 1. Forudsætninger...

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

A/S SCANNET Service Level Agreement

A/S SCANNET Service Level Agreement A/S SCANNET Service Level Agreement Outsourcing, server og webhosting INDHOLD 1. GENERELT...1 1.1 STANDARDER & DEFINITIONER...1 2. DRIFTSVINDUE & OPPETID...2 2.1 SERVICEVINDUE...2 2.2 EKSTRAORDINÆR SERVICE...2

Læs mere

KOMMISSORIUM FOR REVISIONS- OG RISIKOUDVALG KØBENHAVNS LUFTHAVNE A/S CVR NR

KOMMISSORIUM FOR REVISIONS- OG RISIKOUDVALG KØBENHAVNS LUFTHAVNE A/S CVR NR KOMMISSORIUM FOR REVISIONS- OG RISIKOUDVALG KØBENHAVNS LUFTHAVNE A/S CVR NR. 14 70 22 04 1 Indholdsfortegnelse 1 Sammensætning... 3 2 Formand... 3 3 Valgperiode... 3 4 Beslutningsdygtighed og stemmeafgivelse...

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Vejledning til Teknisk opsætning

Vejledning til Teknisk opsætning Vejledning til Teknisk opsætning v. 1.0 Adm4you, 2010. Indhold Kort om denne vejledning... 3 Generelt om easyourtime... 3 Installation af databasen... 3 Sikkerhed og rettigheder... 4 SQL Login... 4 Rettigheder

Læs mere

Regnskabserklæring til revisor for Odense Lærerforening og Særlig Fond

Regnskabserklæring til revisor for Odense Lærerforening og Særlig Fond Beierholm Munkehatten 1B 5220 Odense SØ Regnskabserklæring til revisor for Odense Lærerforening og Særlig Fond Efter anmodning skal jeg afgive nedenstående erklæring i forbindelse med jeres: Revision af

Læs mere