MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

Størrelse: px
Starte visningen fra side:

Download "MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING"

Transkript

1 FEBRUAR 2015 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede revisorer Ellebjergvej 52, 2. sal DK-2450 København SV CVR-nr Tlf Afdelinger i: Aalborg, Holstebro, Kolding København, Odense, Skærbæk, Vordingborg og Aarhus RSM plus er et selvstændigt medlem af RSM International, en uafhængig kæde af selvstændige revisionsog konsulentfirmaer med kontorer i mere end 100 lande /1

2 Erklæringsopbygning Kapitel 1: MultiHouse A/S ledelseserklæring Kapitel 2: MultiHouse A/S beskrivelse af de generelle it-kontroller for driften af hostingaktiviteter. Kapitel 3: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af de generelle it-kontroller, deres udformning og funktionalitet. Kapitel 4: Revisors beskrivelse af kontrolmål, sikkerhedstiltag, test og resultater heraf. /2

3 K APITEL 1: MultiHouse A/S ledelseserklæring Beskrivelsen af MultiHouse generelle it-kontroller i kapitel 2 er udarbejdet til brug for kunder, der har anvendt eller påtænker at anvende MultiHouse hostingaktiviteter, og deres revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt, ved vurdering af risiciene for væsentlig fejlinformation i deres regnskaber. MultiHouse bekræfter hermed, at (A) Den medfølgende beskrivelse, kapitel 2, giver en retvisende beskrivelse af MultiHouse hostingaktiviteters generelle itkontroller i hele perioden fra 1. januar december Kriterierne for dette udsagn er, at den medfølgende beskrivelse: (i) redegør for, hvordan kontrollerne var udformet og implementeret, herunder redegør for: de typer af ydelser, der er leveret, når det er relevant de processer i både it- og manuelle systemer, der er anvendt til styring af de generelle it-kontroller relevante kontrolmål og kontroller udformet til at nå disse mål kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af Multi- House, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for de generelle it-kontroller (ii) indeholder relevante oplysninger om ændringer i MultiHouse generelle it-kontroller foretaget i perioden fra 1. januar december (iii) ikke udelader eller forvansker oplysninger, der er relevante for omfanget af de beskrevne kontroller under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt ved kontroller, som den enkelte kunde måtte anse som vigtig efter deres særlige forhold. (B) de kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra 1. januar december Kriterierne for dette udsagn er, at: (i) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret (ii) de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrer opnåelsen af de anførte kontrolmål, og (iii) kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra 1. januar december (C) den medfølgende beskrivelse og de tilhørende kriterier for opnåelse af kontrolmål og kontroller, kapitel 2, er udarbejdet med baggrund i overholdelse af MultiHouse standardaftale, grundlaget for hostingaktiviteter og ydelser omkring de generelle it-kontroller. Kriterierne for dette grundlag var: (i) Service Level Agreement vrs. 006 for Hosted Desktop (ii) Service Level Agreement vrs. 009 for Serverhousing (iii) Service Level Agreement vrs. 014 for Serverleje (iv) Service Level Agreement vrs. 002 for Remote Backup Standard (v) Service Level Agreement vrs. 013 for Dedikeret Server Hosting Åbyhøj, den 20. februar 2015 Mikkel Walde, Adm. direktør Kenneth Jørgensen, Information Security Officer MultiHouse A/S, Søren Frichs Vej 68, DK-8230 Åbyhøj, Tel , CVR: /3

4 K APITEL 2: MultiHouse A/S beskrivelse af de generelle it-kontroller for driften af hostingaktiviteter. Indledning Formålet med nærværende beskrivelse er at levere information til MultiHouse kunder og deres revisorer vedrørende kravene i ISAE 3402, som er den internationale revisorstandard for erklæringsopgaver om kontroller for serviceleverandører, ISAE Beskrivelsen giver herudover information om de kontroller, der er anvendt for driften i MultiHouse hostingaktiviteter i perioden 1. januar 2014 til 31. december Beskrivelse af MultiHouse A/S MultiHouse blev etableret i 1998 og beskæftiger i dag 15 medarbejdere. MultiHouse leverer hostingydelser i et moderne og professionelt hostingcenter. Hostingydelser er altid skræddersyet til den enkeltes kundens behov. Der tilbydes ydelser fra Web- og mail drift til komplekse løsninger af forretningskritisk IT for virksomheder, der kræver drift 24/7 året rundt. MultiHouse har næsten 20 års erfaring med IT-drift for mindre og mellemstore virksomheder. Med udgangspunkt i virksomhedens forretningsmæssige og teknologiske behov skræddersys den rette IT drift løsning, uanset om kunden ønsker onpremise, private cloud eller en Hybrid cloud løsning med integration til offentlig cloud f.eks. Office 365. MultiHouse har til hensigt at sikre den højest mulige driftsstabilitet og sikkerhed i forbindelse med hele IT-infrastrukturen både på kort og lang sigt. Med løsninger fra MultiHouse fokuseres der på en proaktiv og reaktiv styring af IT-miljøet, til gavn for de ansatte, virksomhed og virksomhedens kunder med det formål, at virksomheder, der har valgt MultiHouse som IT- Partner, kan koncentrere sig om deres kerneforretning. Vi beskæftiger os udelukkende med IT drift/hosting for virksomheder og organisationer. Vores kundereferencer er opbygget igennem mange år med langvarige kundeforløb. MultiHouse er AAA-rated der sikrer, at virksomheden har en IT leverandør der har den fornødne robuste økonomi. Hver kundeløsning skræddersyes til den enkelte kundes behov. Til hver løsning sammensættes netop den bedste serversetup ved valg mellem Virtuel- og Fysiske servere og evt. lokal server hos kunden til spejling af data. Virksomheden får optimal sikring af servere og data, idet MultiHouse Datacenter har elektronisk adgangskontrol, videoovervågning, temperaturalarmer, røg/brandsensorer, klimastyring, UPS og eget generatoranlæg, som producerer strøm. Datacenteret er modulært opbygget således, at der løbende kan tilføjes ekstra servere, CPU samt storage kapacitet til lige netop virksomhedens behov. Forretningsstrategi/ it-sikkerhedsstrategi Det er MultiHouse strategi, at der i forretningen skal være indbygget den nødvendige sikkerhed, således at selskabet ikke påføres uacceptable risici. MultiHouse har tre overordnede strategiske pejlepunkter: MultiHouse hjælper virksomheder til en optimal brug af moderne informationsteknologi MultiHouse arbejder primært med administrative systemer, netværksløsninger og internet/intranetløsninger MultiHouse er en god arbejdsplads for en stabil og veluddannet medarbejderstyrke /4

5 MultiHouse arbejder med it-sikkerhed på et forretningsstrategisk niveau og arbejder derfor løbende med at sikre et højt service- og kvalitetsniveau. Ledelsen prioriterer gennem selskabets sikkerhedspolitik, at it-sikkerhed skal være og er en vigtig del af selskabets virksomhedskultur. MultiHouse har omkring it-sikkerhedsstrategien valgt at tage udgangspunkt i ISO27002:2014, og har således brugt ISOmetodikken til at implementere de relevante sikringsforanstaltninger inden for følgende områder: Informationssikkerhedspolitikker Organisering af informationssikkerhed Medarbejdersikkerhed Styring af aktiver Adgangsstyring Fysisk sikring og miljøsikring Driftssikkerhed Kommunikationssikkerhed Leverandørforhold Styring af informationssikkerhedsbrud Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring De implementerede sikringsforanstaltninger hos MultiHouse fremgår af bilag 1 til denne beskrivelse. MultiHouse A/S organisation og organisering af it-sikkerheden Overordnet ansvarlig er CEO der har uddelegeret ansvaret for it-sikkerheden til Information Security Officer. Ved brug af eksterne samarbejdspartnere udarbejdes samarbejdsaftale inden arbejde påbegyndes. Organisationsdiagram Risikostyring Det er MultiHouse politik, at de risici, der følger af selskabets aktiviteter, skal afdækkes eller begrænses til et sådant niveau, at selskabet vil kunne opretholde en normal drift. MultiHouse gennemfører risikostyring og interne kontroller på flere områder og niveauer. Der gennemføres en årlig risiko- og trusselvurdering. MultiHouse har indarbejdet faste procedurer for risikovurdering af forretningen og specielt hostingcentret. Vi sikrer dermed, at de risici, som er forbundet med de services og ydelser, vi stiller til rådighed, er minimeret til et acceptabelt niveau. Risikovurdering foretages periodisk, samt når vi ændrer i eksisterende systemer eller implementerer nye systemer, som vi vurderer relevante i forbindelse med at revurdere vores generelle risikovurdering. /5

6 Ansvaret for risikovurderingen ligger hos direktør Mikkel Walde og skal efterfølgende forankres og godkendes hos virksomhedens ledelse. Som led i ovenstående it-sikkerhedsstrategi arbejder MultiHouse med den danske/internationale standard for it-sikkerhed - ISO27002:2014 som primær referenceramme for it-sikkerheden. Arbejdsprocessen omkring it-sikkerhed er en kontinuerlig og dynamisk proces, som sikrer, at MultiHouse til hver en tid er i overensstemmelse med sine kunders krav og behov. Håndtering af it-sikkerhed Information Security Officer hos MultiHouse har det daglige ansvar for it-sikkerhed, og derved sikres det, at de overordnede krav og rammer for it-sikkerhed er overholdt. Gennem den centrale it-sikkerhedspolitik har ledelsen beskrevet MultiHouse struktur for it-sikkerhed. It-sikkerhedspolitikken skal som minimum revideres én gang årligt. MultiHouse kvalitetsstyringssystem er defineret ud fra den overordnede målsætning om at levere stabil og sikker it-drift til kunderne. For at kunne gøre det, er det nødvendigt, at vi har indført politikker og procedurer, der sikrer, at vores leverancer er ensartede og gennemsigtige. MultiHouse it-sikkerhedspolitik er udarbejdet med reference til ovenstående og er gældende for alle medarbejdere og for alle leverancer. Ved fejl eller sikkerhedsbrist i vores driftsmiljø udbedres fejlen/sikkerhedshullet omgående. Alle servere og netværksenheder er dokumenteret i MultiHouse dokumentationssystem. Her logges alle ændringer af vores system. Konfigurationsfiler til netværksenheder (firewall, routere, switche og lignende) ligger gemt i vores dokumentationssystem. Sikkerhedspolitikken sætter de grundlæggende politikker for MultiHouse infrastruktur og omhandler ikke forhold vedrørende specifikke produkter, ydelser eller brugere. Sikkerhedspolitikken er udarbejdet, så MultiHouse har ét fælles regelsæt. Dermed opnår vi et stabilt driftsmiljø og et højt sikkerhedsniveau. Vi foretager løbende forbedringer af både politikker, procedurer og den operationelle drift. HR, medarbejdere og uddannelse MultiHouse er Certificeret Microsoft Partner med sølv kompetence på Hosting og Infrastruktur (Midmarket Solutions). Alle udførende konsulenter har kompetencer inden for de områder, de beskæftiger sig med. Det dokumenteres ved hjælp af relevante certificeringer fra teknologiudbyderne. MultiHouse er som nævnt certificeret Microsoft partner, og kravene for at opretholde denne status er høje. MultiHouse skal leve op til en række krav fra Microsoft, herunder specifikke krav om at et bestemt antal konsulenter har bestået bestemte produktcertificeringer, som løbende skal fornyes. MultiHouse sikrer via løbende produkttræning og kursusdeltagelse at opretholde denne høje certificerings status. Fysisk sikkerhed - Datacenter Bygges på standardløsning fra markedets bedste producenter, såsom HP. Alle elementer i hostingcenteret er ejet af MultiHouse selv. Således er vi fuldstændig i kontrol og uden påvirkning fra andres løsninger, og er alene afhængige af Internet-forbindelser fra TDC for at være i drift. - Adgangsforhold Alle adgange ind i bygningen er beskyttet af et chipkort, og alle adgange logges i minimum 5 år. - Strømsikring Der er etableret transientbeskyttet strømtavler i datacentret, som beskytter mod udefrakommende overbelastninger, fx lynnedslag. Selve strømforsyningen er sikret ved APC UPS nødstrømsenheder, hvorfra driften konstant afvikles /6

7 samtidigt med, at batterikapaciteten konstant lades. Hvis bystrøm forsvinder fra elnettet i mere end 60 sekunder starter vores eget generatoranlæg automatisk op, og fortsætter opladning af batterier på APC UPS ene. Der er diesel til minimum 15 timers drift i hostingcenteret. - Brandsikring Brandsikringen er typen Hi-FOG som affyres omgående i fald der konstateres røg i datacenteret. Brandslukningen alarmerer kontrolcentralen, og vagten tilkaldes automatisk. - Køling Der er etableret redundant LG kølesystem i hostingcenteret. Såfremt det primære kølesystem går ned, vil det sekundære system automatisk tage over. Der er etableret servicevagt fra leverandøren af kølesystemet. Backup Formålet med backup er at sikre, at kundens data i MultiHouse hostingcenter kan genskabes, nøjagtigt og hurtigt, så kunderne undgår unødvendig ventetid. Der tages kryds backup af alle data til andet fysisk serverrum. MultiHouse har ansvaret for backup af virksomhedens servere og data, der foretages dagligt snapshot backup som lagres i mindst 90 dage. Patch management / ændringshåndtering Formålet med patch management er at sikre, at alle relevante opdateringer som patches, fixes og service packs fra leverandører implementeres, for at sikre systemerne mod nedetid og uautoriseret adgang, og at implementeringen sker på en kontrolleret måde. Alle servere med adgang fra internettet og terminalservere med Windows opdateres automatisk om natten, mens alle andre servere opdateres manuelt 1 gang månedligt med opdateringer. MultiHouse har udarbejdet en fall back plan i forbindelse med patch management. Formålet med fall back planen er at sikre, at systemerne kan komme tilbage i normal drift, hvis opdateringen ikke virker efter hensigten. Styring af it-sikkerhedshændelser Sikkerhedshændelser og svagheder i MultiHouse systemer skal rapporteres på en sådan måde, at det er muligt at foretage korrektioner rettidigt. Alle medarbejdere i MultiHouse er bekendt med procedure rapportering af forskellige typer hændelser og svagheder, der kan have indflydelse på sikkerheden af MultiHouse drift. Sikkerhedshændelser og svagheder skal hurtigst muligt rapporteres til ledelsen. Ledelsen har ansvaret for at definere og koordinere en struktureret ledelsesproces, der sikrer en passende reaktion på sikkerhedshændelser. Brugerstyring/ adgangssikkerhed Den logiske sikring skal sikre, at kun autoriserede brugere har adgang til systemerne. - Krav til password - alle brugere oprettet i MultiHouse centrale brugerdatabase skal skifte password hver 90. dag. Password skal være på mindst 7 tal eller bogstaver, og de seneste 24 password kan ikke bruges igen. - Krav pauseskærm - pauseskærm er aktiveret på alle vores brugere, for at beskytte dem mod uautoriseret adgang. /7

8 Beredskabsstyring MultiHouse har en beredskabsplan, som beskriver i hovedtræk, hvordan man skal håndtere en disaster situation. Planen indeholder overordnet en punktopstilling, hvoraf det fremgår, hvilke systemer og i hvilken rækkefølge man skal genetablere driften. Ved alvorlige fejl sendes en mail til mailgruppen Alle konsulenter Mailen indeholder en kort fejlbeskrivelse og en tidshorisont på nedetiden. Som afslutning på fejlretning sendes en ny mail til mailgruppen om, at fejlen er løst og en uddybende fejlbeskrivelse. Ved totalskade på et af serverrummene er der udarbejdet en plan for, hvad der skal ske, herunder indkøb af bladserver og harddiske til MultiHouse SAN. Herefter vil systemerne kunne gendannes fra backupserver. Væsentlige ændringer i forhold til it-sikkerhed Der er for 2014 gennemført beredskabsøvelse. Der er for 2015 implementeret en række yderlige stramninger omkring itsikkerheden i henhold til ISO27002:2014 herunder en række løbende audits og månedlige it-sikkerhedsmøder Kundernes ansvar (komplementerende kontroller hos kunderne) Ovenstående beskrivelse er baseret på ovennævnte ramme, hvilket betyder, at der ikke tages højde for den enkelte kundes aftale. Ansvaret for de forretningssystemer og brugersystemer, som drives via MultiHouse hostingydelser er kundernes eget ansvar. Kunderne har ansvaret for at sikring de nødvendige kontroller i forbindelse med systemudvikling, anskaffelse og ændringshåndtering. MultiHouse er ikke ansvarlig for adgangsrettigheder, herunder tildeling, ændring og nedlæggelse, i forhold til den enkelte kundes brugere og deres adgange til MultiHouse hostingaktiviteter. Kunden er selv forpligtiget til at sikre de nødvendige kontroller i tilknytning til dette kontrolmål. Kunderne er ansvarlige for datatransmission til MultiHouse hostingaktiviteter, og det er kundernes ansvar at skabe den nødvendige datatransmission til MultiHouse datacenter. Kunden skal selv sikre de nødvendige kontroller i tilknytning til dette kontrolmål. MultiHouse beredskabsstyring er konstrueret omkring en overordnet beredskabsplan, som beskriver tilgangsmåde og handlinger ved behov for reetablering af MultiHouse hostingaktiviteter. Der kan udarbejdes specifikke beredskabsplaner for den enkelte kunde efter behov i forhold til risiko ved afbrydelse i forretningsprocesser. /8

9 B ILAG 1: MultiHouse har arbejdet med følgende kontrolmål og sikkerhedsforanstaltninger fra ISO27002: Informationssikkerhedspolitikker 5.1. Retningslinjer for styring af informationssikkerhed 13. Kommunikationssikkerhed Styring af netværkssikkerhed 6. Organisering af informationssikkerhed 6.1. Intern organisering 6.2. Mobilt udstyr og fjernarbejdspladser 15. Leverandørforhold Informationssikkerhed i leverandørforhold Styring af leverandørydelser 7. Medarbejdersikkerhed 7.1. Før ansættelsen 7.2. Under ansættelsen 7.3. Ansættelsesforholdets ophør eller ændringer 8. Styring af aktiver 8.1. Ansvar for aktiver 8.2. Klassifikation af informationer 8.3. Mediehåndtering 16. Styring af informationssikkerhedsbrud Styring af informationssikkerhedsbrud og forbedringer 17. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring Informationssikkerhedskontinuitet Redundans 9. Adgangsstyring 9.1. Forretningsmæssige krav til adgangsstyring 9.2. Administration af brugeradgang 9.3. Brugernes ansvar 11. Fysisk sikring og miljøsikring Sikre områder Udstyr 12. Driftssikkerhed Driftsprocedurer og ansvarsområder Malwarebeskyttelse Backup Logning og overvågning Styring af driftssoftware Sårbarhedsstyring /9

10 K APITEL 3: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af de generelle it-kontroller, deres udformning og funktionalitet. Til kunder af MultiHouse hostingydelser og disses revisorer Omfang Vi har fået som opgave at afgive erklæring om MultiHouse beskrivelse i kapitel 2 (inkl. bilag 1), som er en beskrivelse af de generelle it-kontroller, som udføres i forbindelse med driften af MultiHouse hostingaktiviteter til behandling af kunders transaktioner i perioden 1. januar december 2014, og om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Erklæringen er afgivet efter helhedsmetoden, hvilket betyder, at denne erklæring også omfatter de it-sikkerhedsmæssige kontroller og kontrolaktiviteter, som er tilknyttet i forbindelse med anvendelse af eksterne samarbejdspartnere. Erklæringen dækker ikke kundespecifikke forhold. Desuden dækker erklæringen ikke de komplementerende kontroller og kontrolaktiviteter, som udføres af brugervirksomheden, jf. virksomhedsbeskrivelsen kapitel 2, afsnittet om komplementerende kontroller. MultiHouse ansvar MultiHouse er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udsagn i kapitel 2 (inkl. bilag 1), herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret; for leveringen af de ydelser beskrivelsen omfatter, for at anføre kontrolmålene samt for udformningen, implementeringen og effektivt fungerende kontroller for at nå de anførte kontrolmål. Revisors ansvar Vores ansvar er, på grundlag af vores handlinger, at udtrykke en konklusion om MultiHouse beskrivelse samt om udformningen og funktionen af kontroller, der knytter sig til kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlig henseender er hensigtsmæssigt udformet og fungerer effektivt. En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelse, udformning og funktionalitet af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden i de heri anførte mål samt hensigtsmæssigheden af de kriterier, som MultiHouse har specificeret og beskrevet i kapitel 2 (inkl. bilag 1). Det er RSM plus opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. /10

11 Begrænsninger i kontroller hos MultiHouse MultiHouse beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtig efter deres særlige forhold. Endvidere vil kontroller hos MultiHouse, som følge af deres art, muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos serviceleverandører kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er kriterier, der er beskrevet i kapitel 1 i ledelsens erklæring. Det er vores opfattelse, a) at beskrivelsen af de af MultiHouse generelle it-kontroller til hostingaktiviteter, således som det var udformet og implementeret i hele perioden fra 1. januar december 2014, i alle væsentlige henseender er retvisende, og b) at kontrollerne, som knyttede sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra 1. januar december 2014, og c) at de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden fra 1. januar december Vi skal bemærke, at der for de enkelte kunder kan være specifikke forhold, som gør, at den generelle konklusion ikke er dækkende. Hvis det er aftalt mellem kunden og MultiHouse, at der udarbejdes en specifik erklæring vedrørende kundens kontrakt, vil forholdene fremgå heraf. Beskrivelse af test kontroller De specifikke kontroller, der er testet, samt arten, den tidsmæssige placering og resultater af disse test, fremgår af kapitel 4. Tiltænkte brugere og formål Denne erklæring og beskrivelsen af test af kontroller under kapital 4 er udelukkende tiltænkt MultiHouse kunder og deres revisorer, som har en tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om kunders egne kontroller, når de vurderer risiciene for væsentlige fejlinformationer i deres regnskaber. København, den 25. februar 2015 RSM plus P/S statsautoriserede revisorer Lars Thruesen Partner, registreret revisor Jesper Aaskov Pedersen Head of IT Assurance & Advisory /11

12 KAPITEL 4: Revisors beskrivelse af kontrolmål, sikkerhedstiltag, test og resultater heraf Vi har struktureret vores arbejde i overensstemmelse med IASE 3402 erklæring med sikkerhed om kontroller hos en serviceleverandør. For hvert kontrolmål indleder vi med et kort resumé af kontrolmålet, som det er beskrevet i referencerammen ISO27002:2014. Derefter opremser vi i første kolonne de aktiviteter, som MultiHouse jf. sin dokumentation har iværksat for at leve op til kontrolmålene, i anden kolonne hvordan vi har valgt at teste, om det forholder sig som beskrevet, og i tredje kolonne, hvad resultatet af vores test har været. Hvad angår periode har vi i vores test forholdt os til, om MultiHouse har levet op til kontrolmålene i perioden 1. januar december K ONTROLMÅL: Risikovurdering og håndtering Risikovurdering skal identificere og prioritere risici med udgangspunkt i driften af hostingaktiviteter. Resultatet skal bidrage til at fastlægge og prioritere de nødvendige ledelsesindgreb og sikringsforanstaltninger for at imødegå relevante risici. Gennem en risikovurdering er der sket identificering og prioritering af risici. Udgangspunkt for vurderingen er de i beskrivelsen definerede hostingaktiviteter. Resultatet bidrager til at fastlægge og prioritere de nødvendige ledelsesindgreb og sikringsforanstaltninger for at imødegå relevante risici. Vi har forespurgt og indhentet det relevante materiale ifm. revisionen af risikohåndteringen. Vi har kontrolleret, at der for hostingaktiviteter arbejdes med en løbende risikovurdering, som opstår som følge af de forretningsmæssige forhold og dennes udvikling. Vi har kontrolleret, at risikovurderingen er forankret ned igennem de organisatoriske forhold. Vi har kontrolleret, at der sker løbende behandling af virksomhedens risikobillede, og med dertil hørende løbende tilpasning af konsekvenser og sandsynlighed. /12

13 KONTROLMÅL 5: It-sikkerhedspolitik Ledelsen skal udarbejde en informationssikkerhedspolitik, som bl.a. skal indeholde ledelsens sikkerhedsmålsætning, - politik og overordnede handlingsplan. Informationssikkerhedspolitikken vedligeholdes under hensyn til den aktuelle risikovurdering. Det er en skriftlig strategi, som bl.a. indeholder ledelsens sikkerhedsmålsætning, -politik og overordnede handlingsplan. It-sikkerhedspolitikken og de tilhørende støttepolitikker er godkendte af virksomhedens ledelse, og efterfølgende forankret ned gennem virksomhedens organisation. Politikken er tilgængelig for alle relevante medarbejdere. Politikken revurderes efter planlagte intervaller. Vi har indhentet og revideret MultiHouse seneste itsikkerhedspolitik. Gennem revisionen har vi kontrollet, at der sker løbende vedligeholdelse af it-sikkerheds-politikken. Samtidig har vi ved revisionen kontrolleret, at de underliggende støttepolitikker er implementeret. Vi har kontrolleret, at politikken er godkendt og underskrevet af virksomhedens bestyrelse og direktion, og den er gjort tilgængelig for medarbejderne via MultiHouse intranet. /13

14 KONTROLMÅL 6: Organisering af Informationssikkerhed Der skal etableres en styring af it-sikkerheden i virksomheden. Der skal være placeret et organisatorisk ansvar for itsikkerheden med passende forretningsgange og instrukser. Den it-sikkerhedsansvarliges rolle skal bl.a. sikre overholdelse af sikringsforanstaltninger, herunder løbende ajourføring af den overordnede risikovurdering. Ved anvendelse af mobilt udstyr og/ eller fjernarbejdspladser skal ledelsen fastsætte og implementere passende politikker samt sikkerhedsforanstaltninger. Der er placeret et organisatorisk ansvar for it-sikkerhed, og det er dokumenteret og implementeret. It-sikkerheden er koordineret på tværs af virksomhedens organisatoriske rammer. Der foreligger passende forretningsgange for medarbejdere omkring angivelse af tavshedserklæring. Gennem inspektion og test har vi sikret, at det organisatoriske ansvar for it-sikkerhed er dokumenteret og implementeret. Vi har kontrolleret, at it-sikkerheden er forankret på tværs af organisation i forhold til hostingaktiviteter. Ved interview har vi kontrolleret, at den itsikkerhedsansvarlige har kendskab til rollen og de tilhørende ansvarsområder. Gennem forespørgsler og stikprøve på ansættelsesaftale har vi kontrolleret, at medarbejdere i Multi- House er bekendte med deres tavshedspligt. Risici i relation til eksterne parter er identificeret, og sikkerhed i aftaler med tredjemand og sikkerhedsforhold i relation til kunder håndteres. Det er kontrolleret, at der findes formelle samarbejdsaftaler i forbindelse med anvendelse af eksterne samarbejdspartnere. Revisionen har stikprøvevis inspiceret, at samarbejdsaftaler med eksterne leverandører overholder kravene omkring afdækning af relevante sikkerhedsforhold i forhold til den enkelte aftale. /14

15 KONTROLMÅL 7 : Medarbejdersikkerhed Der skal sikres, at alle nye medarbejdere er opmærksomme på deres særlige ansvar og rolle i forbindelse med virksomhedens informationssikkerhed for derigennem at minimere risikoen for menneskelige fejl, tyveri, svindel og misbrug af virksomhedens informationsaktiver. Via fastlagte arbejdsprocesser og procedurer er det sikret, at alle nye medarbejdere får oplyst deres særlige ansvar og rolle i forbindelse med ansættelse i MultiHouse. Herunder de fastlagte rammer for deres arbejde og den omkringliggende it-sikkerhed. Eventuelle sikkerhedsansvar er fastlagt, og nærmere beskrevet gennem stillingsbeskrivelse og i form af vilkår i ansættelseskontrakten. Medarbejderne er bekendte med deres tavshedspligt via en underskrevet ansættelseskontrakt og via MultiHouse personalepolitik. Vi har kontrolleret, at de af ledelsen udarbejdede forretningsgange og procedurer i forbindelse med ansættelse og ansættelsesophør er overholdt. Gennem stikprøver har vi testet, om ovenstående forretningsgange og procedurer er overholdt både i forhold til ansættelse og ansættelsesophør. Ved interview har vi kontrolleret, at væsentlige medarbejdere for hostingaktiviteter er bekendt med deres tavshedspligt. Vi har gennemgået centrale medarbejderes stillingsbeskrivelser, og efterfølgende testet den enkelte medarbejders kendskab til arbejdsmæssige roller og tilhørende sikkerhedsansvar. Revision har påset, at MultiHouse personalepolitik er nemt tilgængelig, og har et afsnit omkring vilkår for fortrolighed, som følge af information opnået ifm. arbejde udført hos MultiHouse. /15

16 KONTROLMÅL 8 : Styring af aktiver Aktiver i forbindelse med driften af hostingaktiviteterne skal være identificeret og der skal være passende ansvarsområder til beskyttelse heraf. En klassificering af information skal sikre passende beskyttelse af information, der står i forhold til informationens betydning for organisationen. Der skal være fast forretning for håndtering af medier som er tilknyttet hostingaktiviteter for derigennem at forhindre uautoriseret offentliggørelse, ændring, fjernelse eller destruktion af informationer på medier. Alle informationsaktiver er identificeret, og der er etableret en ajourført fortegnelse over alle væsentlige aktiver. Der er udpeget en ejer for alle væsentlige aktiver i forbindelse med driften af hostingaktiviteter. Vi har gennemgået og kontrolleret virksomhedens centrale it-register for væsentlige it-enheder i tilknytning til driften af MultiHouse hostingaktiviteter. Gennem observation og kontrol har vi kontrolleret relationer over til de centrale knowhow systemer for driften af hostingaktiviteter. Vi har ved observationer og forespørgsler kontrolleret, at MultiHouse overholder de væsentligste sikringsforanstaltninger for området i henhold til sikkerhedsstandarden. Informationer og data i relation til hostingaktiviteter og den efterfølgende drift af hostingcenter er klassificeret på grundlag af forretningsmæssig værdi, følsomhed og behovet for fortrolighed. Vi har kontrolleret, at der er passende opdeling og tilhørende procedurer/forretningsgange ifm. beskyttelse omkring ejerskab mellem applikationer og data samt øvrige enheder i forhold til MultiHouse drift af hostingaktiviteter. Vi har kontrolleret, at kontrakter og SLA anvendes som et centralt værktøj til at sikre definitionen, adskillelse og afgrænsning mellem MultiHouse ansvarsområder og overgangen til kundens ansvarsområde ifm. adgang til informationer og data. Derved påhviler det typisk kunden et eget ansvar at sikre, at der er et passende beskyttelsesniveau på egne informationer og data. Der er procedurer for, hvorledes der skal ske destruktion af databærende medier. Vi har: forespurgt ledelsen om hvilke procedurer/ kontrolaktiviteter, der udføres i forhold til flytbare medier. stikprøvevist gennemgået procedurerne for destruktion af databærende medier, til bekræftelse af at de er formelt dokumenterede. /16

17 KONTROLMÅL 9 : Adgangsstyring Adgangen til virksomhedens systemer, informationer og netværk skal styres med udgangspunkt i de forretnings- og lovgivningsbetingede krav. Autoriserede brugeres adgang skal sikres og uautoriseret adgang skal forhindres. Der foreligger dokumenterede og ajourførte retningslinjer for MultiHouse adgangsstyring. Vi har: forespurgt ledelsen, om der er etableret procedurer for adgangsstyring i MultiHouse. stikprøvevist påset, at procedurer for adgangsstyring eksisterer og er implementeret jf. Multi- House retningslinjer. gennem interview af nøglepersoner samt ved stikprøvevis inspektion påset, at adgangsstyring til driftsmiljøet følger MultiHouse retningslinjer, og at autorisationer tildeles i henhold til aftale. Der er en formaliseret forretningsgang for tildeling og afbrydelse af brugeradgang. Tildeling og anvendelse af udvidede adgangsrettigheder er begrænset og overvåges. Vi har forespurgt ledelsen, om der er etableret procedurer for adgangsstyring i MultiHouse. Vi har ved stikprøvevis inspektion påset, at der anvendes passende autorisationssystemer i relation til adgangsstyring i MultiHouse. at den formaliserede forretningsgang for tildeling og afbrydelse i brugeradgang er implementeret i MultiHouse systemer, og at der foretages løbende opfølgning på registrerede brugere. Interne brugernes adgangsrettigheder gennemgås regelmæssigt efter en formaliseret forretningsgang. Vi har ved stikprøvevis inspektion påset, at der eksisterer en formaliseret forretningsgang for opfølgning på kontrol af autorisationer i henhold til retningslinjerne, herunder: at der foretages løbende formel ledelsesmæssig opfølgning på registrerede brugere med udvidede rettigheder hver 3. måned at der foretages løbende formel ledelsesmæssig opfølgning på registrerede brugere med almindelige rettigheder hver 6. måned. Tildeling af adgangskoder styres gennem en formaliseret og kontrolleret proces, som bl.a. sikrer at der sker skift af standard password. Vi har forespurgt ledelsen, om der er etableret procedurer for tildeling af adgangskoder i MultiHouse. Vi har ved stikprøvevis inspektion påset, at der ved tildeling af adgangskode sker en automatisk systemmæssig kontrol af, at password skiftes ved første login. at standard password ved implementering af systemsoftware mv. skiftes. hvor dette ikke er muligt, at procedurer sikrer, at der sker manuelt skift af standard password. /17

18 Adgange til operativsystemer og netværk er beskyttet med password. Der er opsat kvalitetskrav til password, således at der kræves en minimumslængde (6 tegn), ingen krav til kompleksitet og maksimal løbetid (max 90 dage), ligesom password opsætninger medfører, at password ikke kan genbruges (husker de seneste 24 versioner). Endvidere bliver brugeren lukket ude ved gentagne fejlslagne forsøg på login. Vi har forespurgt ledelsen, om der er etableret procedurer, der sikrer kvalitetspassword i MultiHouse. Vi har ved stikprøvevis inspektion påset, at der er etableret passende programmerede kontroller for sikring af kvalitetspassword, der sikrer efterlevelse af politikker for: minimum længde for password minimum levetid for password maksimal levetid for password minimum historik for password lockout efter fejlede login forsøg /18

19 KONTROLMÅL 11: Fysisk sikkerhed Der skal være beskyttelse af virksomhedens lokaler og informationsaktiver mod uautoriseret fysisk adgang samt fysiske skader og forstyrrelser. Der skal opbygges sikkerhedstiltag, som sikrer, at der undgås tab af, skader på eller kompromittering af virksomhedens informationsaktiver samt forstyrrelser af virksomhedens forretningsaktiviteter. Beskyttelsesforanstaltningerne skal også omfatte destruktion af forældet eller beskadiget udstyr samt nødvendige forsyninger som el, vand og ventilation samt kabelinstallationer. Der er etableret en sikker fysisk afgrænsning, som beskytter de områder, hvorfra hostingaktiviteter driftes. De sikre områder er beskyttet med adgangskontrol, så kun autoriserede personer kan få adgang. Der er etableret overvågning af områder til af- og pålæsning samt øvrige områder, hvortil offentligheden har adgang. Udstyr som er placeret i datacenter beskyttes mod fysiske trusler såsom brand, vandskade, strømafbrydelse, tyveri eller hærværk. Datacenteret er sikret mod forsyningssvigt som elektricitet, vand, varme og ventilation. Der er installeret udstyr til overvågning af indeklima, såsom luftfugtighed. Kabler til brug for datakommunikation og elforsyning er beskyttet imod uautoriserede indgreb. Udstyret til brug for hostingaktiviteter vedligeholdes efter forskrifterne for at sikre dets tilgængelighed og pålidelighed. Det udstyr, der benyttes uden for datacenteret, beskyttes efter samme retningslinjer, som gælder for udstyr Jf. serviceleverandørers beskrivelse er den fysiske adgangssikkerhed bl.a. gennemgået og kontrolleret med udgangspunkt i de af ledelsen fastsatte krav. Vi har gennemgået og kontrolleret de fysiske adgange til begge datacentre, som bl.a. sikres via et nøglesystem kombineret med personlig kode, som sikrer begrænset adgang til MultiHouse datacenter. Via besøg, interview og observation er det kontrolleret, at adgangen til begge MultiHouse datacenter er i overensstemmelse med ovenstående forretningsgange omkring adgangsbegrænsning. Vi har stikprøvevis gennemgået procedurer for fysisk sikkerhed vedrørende sikrede områder for at vurdere, om adgang til disse områder forudsætter dokumenteret ledelsesmæssig godkendelse, samt at personer uden godkendelse til sikrede områder skal registreres og ledsages af medarbejder med behørig godkendelse. Vi har stikprøvevis gennemgået medarbejdere med adgang til sikre områder og påset, at de er oprettet i henhold til de fastlagte procedurer. Vi har gennemgået og kontrolleret, at begge Multi- House datacenter overholder de af ledelsen fastsatte krav. Revisionen har kontrolleret overholdelsen af de nødvendige sikringsforanstaltninger jf. ISO afsnit 11 i forholdene til beskyttelse mod skader, forårsaget af fysiske forhold som f.eks. brand, vandskade, strømafbrydelse, tyveri eller hærværk. Konkret har vi: påset tilstedeværelse af brandbekæmpelsessystemer og køling i datacenter. gennemgået og kontrolleret dokumentation for vedligeholdelse til bekræftelse af, at UPS og dieselgenerator løbende vedligeholdes og testes. observeret under besøg i datacenter, at der foretages monitering af UPS og dieselgenerator. påset tilstedeværelse af udstyr til overvågning af indeklima i datacentre. påset sikring af kabler for datakommunikation og elforsyning. /19

20 inden i datacenter, under hensyntagen til de særlige risici ved ekstern anvendelse. Alt udstyr med lagringsmedier kontrolleres for at sikre, at kritiske/følsomme informationer og licensbelagte systemer er fjernet eller overskrevet, når udstyret bortskaffes eller genbruges. stikprøvevis gennemgået dokumentationen for vedligeholdelse af udstyr til beskyttelse med fysiske trusler sker ved løbende vedligeholdelse. gennemgået og kontrolleret de af ledelsen udarbejdede procedurer til bortskaffelse af udstyr tilknyttet driften af hostingaktiviteter. /20

ISAE 3402 TYPE 2 ERKLÆRING

ISAE 3402 TYPE 2 ERKLÆRING JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2014 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING JUNI 2015 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING APRIL 2014 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

FRONT-DATA DANMARK A/S

FRONT-DATA DANMARK A/S MARTS 2014 FRONT-DATA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-data Danmarks hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S plus revision skat rådgivning Front-data Danmark A/S ISAE 3402 type 2 erklæring Februar 2013 Revisionserklæring af de generelle it-kontroller for driften af Front-data Danmarks hosting-aktiviteter. Kalvebod

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 Februar 2015 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

any.cloud A/S CVR nr.: DK 31161509

any.cloud A/S CVR nr.: DK 31161509 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-12-2013 til 30-11-2014 any.cloud A/S CVR nr.:

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser www.pwc.dk Athena IT-Group Erklæring fra uafhængig revisor vedrørende generelle itkontroller for Athena IT-Group A/S' driftsydelser Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S' beskrivelse

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v.

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v. S E R V I C E L E V E L A G R E E M E N T for Netgroups levering af IT-ydelser m.v. Netgroup A/S Store Kongensgade 40 H 1264 København K CVR-nr.: 26 09 35 03 ( Netgroup ) Version 4.4 1. Forudsætninger...

Læs mere

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser iodc (In & Outbound Datacenter) Hvidovrevej 80D 2610 Rødovre CVR 35963634 ( IODC ) Version 1.0 1 1. Forudsætninger... 3 2. Ansvar

Læs mere

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31.

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31. Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til drifts- og hosting-ydelser for 1. januar 2014 til 31. december 2014 Indholdsfortegnelse Ledelsens

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2012 August 2013 Ib Østergaard Rasmussen Faxe Kommune Frederiksgade 9 4690 Haslev 13. august 2013 Formål Vi har i juli/august måned 2013 foretaget revision

Læs mere

Service Level Agreement Version 2.0 d. 1. april 2014

Service Level Agreement Version 2.0 d. 1. april 2014 Service Level Agreement Version 2.0 d. 1. april 2014 EDB-Eksperten.dk 1. Præambel... 3 1.1. Definitioner... 3 1.2. Produktomfang... 3 2. Driftsvindue og tider... 3 2.1. Driftsvindue... 3 2.2. Åbningstid...

Læs mere

Service Level Agreement

Service Level Agreement Service Level Agreement Dette dokument vil gennemgå de serviceforpligtelser, som leverandøren har til kunden i forbindelse med en købsaftale, forudsat der specifikt er henvist til den korrekte versionering

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret Maj 2015 Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 18. maj

Læs mere

Service Level Agreement

Service Level Agreement Nærværende dokument klarlægger de serviceforpligtelser, som Leverandøren har over for Kunden, i forbindelse med deres indbyrdes aftaleforhold. Forpligtelserne er gældende såfremt den tilhørende hostingaftale

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

SYSTEMHOSTING A/S CVR nr.: 25814606

SYSTEMHOSTING A/S CVR nr.: 25814606 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af hosting-platform i perioden 01-01-2014 til 31-12-2014 SYSTEMHOSTING

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Rackhosting ApS. ISAE 3402-erklæring fra uafhængig

Rackhosting ApS. ISAE 3402-erklæring fra uafhængig r Rackhosting ApS Oktober 2014 ISAE 3402-erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til driften af kunders itmilj øer for perioden 1. juni 2013 til 31. maj 2014 med

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

pwc EG Data Inform A/S

pwc EG Data Inform A/S i EG Data Inform A/S ISAE 3402-erklæring, type 2, fra uafhængig revisor vedrørende generelle it-kontroller i relation til EG Data Informs driftsydelser Januar 2015 pwc PricewaterhouseCoopers Statsautoriseret

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Standard for informationssikkerhed

Standard for informationssikkerhed Dansk standard DS 484 1. udgave Standard for informationssikkerhed Code of practice for information security management 2005-09-20 DS 484:2005 København DS projekt: M205538 ICS: 35.020; 35.040 Første del

Læs mere

"SAP" betyder det SAP-selskab, med hvem du indgik kontrakt om tjenesten.

SAP betyder det SAP-selskab, med hvem du indgik kontrakt om tjenesten. Serviceaftaleprogram for Ariba Cloud Services Garanti for Tjenestens tilgængelighed Sikkerhed Diverse 1. Garanti for Tjenestens tilgængelighed a. Anvendelighed. Garantien for tjenestens tilgængelighed

Læs mere

Nr. 1 16. juli 2014. Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum

Nr. 1 16. juli 2014. Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum Nr. 1 16. juli 2014 Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum (Vejledning til bekendtgørelse om outsourcing af væsentlige aktivitetsområder) 1. Indledning 1.1. Kunngerð nr. 1 frá 16.

Læs mere

SLA Service Level Agreement

SLA Service Level Agreement SLA Service Level Agreement Indholdsfortegnelse 1 Service Level Agreement... 1 2 Driftsvindue og oppetid... 1 2.1 Servicevindue... 1 2.1.1 Ekstraordinær service... 1 2.1.2 Patch Management... 1 2.1.3 Åbningstid...

Læs mere

Den risikoansvarlige har udarbejdet denne rapport til bestyrelsen om Fælleskassens risikobehæftede aktiviteter.

Den risikoansvarlige har udarbejdet denne rapport til bestyrelsen om Fælleskassens risikobehæftede aktiviteter. 1. Indledning og resume: Til bestyrelsen i Fælleskassen Den risikoansvarlige har udarbejdet denne rapport til bestyrelsen om Fælleskassens risikobehæftede aktiviteter. Formålet med denne rapportering er

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Regulativ for it-sikkerhed i Københavns Kommune

Regulativ for it-sikkerhed i Københavns Kommune Regulativ for it-sikkerhed i Københavns Kommune 2013 2. I medfør af 5 i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som

Læs mere

It-sikkerhedstekst ST7

It-sikkerhedstekst ST7 It-sikkerhedstekst ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST7 Version 1 Februar

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

A/S ScanNet. ISAE 3402 Type 2

A/S ScanNet. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk A/S ScanNet ISAE 3402 Type

Læs mere

Dit netværk er vores højeste prioritet!

Dit netværk er vores højeste prioritet! Dit netværk er vores højeste prioritet! Hvor sikker er du på dit netværk? Netværkssikkerhed er ingen selvfølge. Det har mange virksomheder måttet konstatere den seneste tid. Vi har været vidne til gentagne

Læs mere

Navit sp/f. Del A Gennemførelse

Navit sp/f. Del A Gennemførelse Den Internationale Kode for Sikker Drift af Skibe og Forebyggelse af Forurening (International Safety Management-koden (ISM-koden)) Med rettelser gældende pr. 1. juli 2010 Del A Gennemførelse 1. Generelt

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

TEKNISK DOKUMENTATION Teknisk kapacitet

TEKNISK DOKUMENTATION Teknisk kapacitet TEKNISK DOKUMENTATION Teknisk kapacitet Indholdsfortegnelse Datacenter... 3 Netværk og Internet... 3 Support... 3 Sikkerhedspolitik & Kvalitetssikring... 4 Sikkerhedspolitik... 4 Kvalitetssikring... 5

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Comendo Remote Backup. Service Level Agreement

Comendo Remote Backup. Service Level Agreement Comendo Remote Backup Service Level Agreement Side 2 af 7 Indholdsfortegnelse Service Level Agreement... 1 Indholdsfortegnelse... 2 Introduktion... 3 Comendo Remote Backup ansvar og forpligtelser... 3

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE.

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. BRUGSVILKÅR FOR HJEMMESIDE Disse brugsvilkår angiver sammen med de øvrige retningslinjer, som der heri henvises til vilkårene for brug

Læs mere

Sotea ApS CVR nr.: DK 10085225

Sotea ApS CVR nr.: DK 10085225 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-08-2014 til 31-01-2015 Sotea ApS CVR nr.: DK 10085225

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for Indholdsfortegnelse Side 1. Indledning 4 1.1 Formål med informationssikkerhedspolitikken 4 1.2 Hovedmålsætninger i informationssikkerhedspolitikken 4

Læs mere

Risikovurdering Gartneriet PKM

Risikovurdering Gartneriet PKM DM091 - Gruppe 1 Risikovurdering Gartneriet PKM Udarbejdet af: Andreas Harder, Morten Knudsen Lars Vendelbo & Kresten Østerby Indledning Gartneriet PKM producerer på årlig basis ca. 20 millioner planter,

Læs mere

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer Sikkerhedsanbefaling Styrkelse af informationssikkerheden i mainframeinstallationer Januar 2015 Indledning Inden for de seneste år har flere mainframeinstallationer været udsat for hackerangreb. I Sverige

Læs mere

Miracle Hosting A/S. ISAE 3402 Type 2

Miracle Hosting A/S. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Miracle Hosting A/S ISAE 3402

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

plus revision skat rådgivning

plus revision skat rådgivning plus revision skat rådgivning Gennemsigtighedsrapport 2012/13 (16. december 2013) I henhold til lov om godkendte revisorer og revisionsvirksomheder (revisorloven) skal revisionsvirksomheder, der afgiver

Læs mere

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP.03.00.DK.1.0

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP.03.00.DK.1.0 SCP.03.00.DK.1.0 Indhold Indhold... 2 1 Formålet med ledelsessystem for informationssikkerhed... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 3 2.1 Certificeringsfrekvens...

Læs mere

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1 Sikkerhedsinstruks for IT-brugere hos Randers Kommune Bilag 1 20. marts 2007 Samtlige IT-brugere af Randers kommunes IT skal kende nærværende retningslinier. Retningslinierne vil blive ajourført af IT-sikkerhedslederen,

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

Danske Forsikringsfunktionærers Landsforening

Danske Forsikringsfunktionærers Landsforening Danske Forsikringsfunktionærers Landsforening CVR-nr. 55 09 94 13 Revisionsprotokollat af 21. februar 2014 (side 40-43) vedrørende årsregnskabet for 2013 Indholdsfortegnelse Side 1. Revision af årsregnskabet

Læs mere

plus revision skat rådgivning

plus revision skat rådgivning plus revision skat rådgivning Gennemsigtighedsrapport 2013/14 (4. december 2014) I henhold til lov om godkendte revisorer og revisionsvirksomheder (revisorloven) skal revisionsvirksomheder, der afgiver

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren)

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) Vilkår for hosting 6. revision 7. maj 2005 CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) CompuSoft A/S, Anderupvej 16, DK 5270 Odense N, Tlf. +45 6318

Læs mere

Wannafind. ISAE 3402 Type 2

Wannafind. ISAE 3402 Type 2 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Wannafind ISAE 3402 Type 2

Læs mere

It-sikkerhed - ledelsens ansvar

It-sikkerhed - ledelsens ansvar Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren

Læs mere

. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten

. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten . spe. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten Nedenstående er opdelt i to afsnit. Første afsnit indeholder bestemmelser, der forventes indarbejdet i Samarbejdsbilaget. Andet

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere