A/S it-drift og hostingaktiviteter

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Starte visningen fra side:

Download "A/S it-drift og hostingaktiviteter"

Transkript

1 Januar 2015 Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle itkontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

2 Indhold 1. Ledelsens erklæring 3 2. Outforce A/S beskrivelse af generelle it-kontroller for driftsydelser i Danmark 4 3. Revisors erklæring om beskrivelse af kontroller, deres udformning og funktionalitet 8 4. Kontrolmål, kontrolaktiviteter, test og resultat heraf 10 2

3 1. Ledelsens erklæring 3

4 2. Outforce A/S beskrivelse af generelle it-kontroller for driftsydelser i Danmark Indledning kort om Outforce A/S Outforce A/S (Outforce) leverer, rådgiver, designer, servicerer, implementerer og drifter it-løsninger for en række forskellige virksomheder. Virksomheden udspringer af den verdensomspændende USTC-koncern i Middelfart. Vi har hovedsæde i Middelfart samt kontor i Odense. Virksomheden udspringer af den verdensomspændende USTC-koncern i Middelfart. Vi beskæftiger pt. 31 medarbejdere. Indtil 2003 var vi intern IT-afdeling for koncernens mange selskaber inden for bl.a. rederi, shipping og bunker-olie. I 2003 blev Outforce udskilt som et særskilt selskab, og i 2007 flyttede vi til et nyt hovedkontor med vores eget moderne data-center, som drifter ca. 400 fysiske servere og mere en 1000 virtuelle servere. I marts 2014 åbnede datacenter 2 på samme matrikel i Middelfart. Vi har stadig datacenter i Kolding og backup liggende i Århus. Outforce rådgiver, designer, servicerer, implementerer og drifter IT-løsninger. FORRETNINGSMÆSSIGT IDÉGRUNDLAG Outforce vil være totalleverandør inden for IT infrastruktur og hostingydelser. Vi tilbyder kun løsninger baseret på standardsoftware og benytter strategiske samarbejdspartnere til udvikling og tilpasning af programmer. Outforce skal drive en sund kommerciel forretning baseret på godt købmandskab. Vi skal være snu, men aldrig gå over stregen. Outforce rådgiver, designer, servicerer, implementerer og drifter it-løsninger med fokus på følgende: Vi er leverandør af dedikerede hostede IT løsninger med 24x7 drift Vi er leverandør af it-infrastruktur projekter Vi er kvalitetsbevidste leverer altid efter best practice Vi leverer til aftalt tid Vi er lette at indgå aftaler med Beskrivelse af ydelser Outforces primære ydelser er følgende: Levering af dedikerede hosted services Levering af hosted backup Hosted desktop og Citrix Microsoft Exchange First level brugersupport inkl. support af MAC Anskaffelse, ændringsstyring og vedligeholdelse af hosted hardware Programændring til og med MS Windows operativ system 4

5 Outforce har i øjeblikket 2 datacentre, der ligger med ca. 24 km. Adskillelse. Herfra fortages overvågning og drift af ca servere. Outforces support team kører i 2. holdskift, så de er fysisk bemandet fra kl Alle medarbejdere kan supportere på dansk og engelsk, enkelte kan også på tysk og spansk. Outforce leverer first level brugersupport til mere end brugere. Beskrivelsen omfatter drift og overvågning pr. 1. januar december 2014 og er udelukkende til brug for de virksomheder, der anvender Outforces it-drift og hosting-aktiviteter, og disse virksomheders revisorer og må ikke anvendes til andre formål. Kontrolmiljø Outforce A/S ledes i dag af Managing Director Enrico Augustinus som referer til USTC koncernen. Outforce A/S har i øjeblikket ansat 31 medarbejdere. Support teamet har i øjeblikket 12 ansatte. Den primære funktion for denne afdeling er at levere brugersupport til de hostede løsninger, herunder også support af PC er og MAC, samt afhjælpe alm. spørgsmål fra kunder. Hosting teamet har i øjeblikket 6 ansatte. Den primære funktion for denne afdeling er at sikre stabil drift, maksimal oppetid og håndtere planlagte service vinduer på infrastrukturen i datacenter. Teamet håndterer også overvågning af servere, netværk, storage samt WAN forbindelse, herunder VPN og layer 2 forbindelser til kunder. Sidst men ikke mindst håndteres licens rapportering af hosting teamet. Konsulent teamet har i øjeblikket 5 ansatte. Den primære funktion for denne afdeling er installation og tilpasning af Windows OS, samt installation af Exchange og Citrix. Teamet er ansvarlig for implementeringen af nye kunder, herunder styring af tidsplan. Teamet har også eksterne opgaver hos onsite kunder uden for datacenter. Herudover er der en salgschef og en sekretær. (se nedenstående organisationsdiagram). I Outforce A/S foretages den interne administrative sikkerhedsfunktion af Technical manager og Service Delivery manager. Ansvaret for den tekniske sikkerhed er placeret i linjeorganisationen. Funktionen sikrer implementering og ajourføring af sikkerheds- og kvalitetsprocedurer, forestår den primær kontakt til revisorer/auditorer, sikrer udførelse af egenkontroller, sikrer løbede vedligeholdelse af risiko vurderingen, samt sikrer at der findes en beredskabsplan og at denne bliver løbende ajourført. Det påhviler den enkelte medarbejder til stadighed at følge den faglige udvikling inden for sit område samt holde sit uddannelsesniveau ajour. Medarbejderen er berettiget og forpligtet til relevant videreuddannelse, som aftales med nærmeste overordnede. Outforce afholder alle omkostninger til denne uddannelse. To gange årligt følges i MUS-samtaler op på uddannelse - for enkelte medarbejdere er der lavet en plan for et år ad gangen. Dette står i referatet fra MUS-samtalerne, hvor andre personlige forhold også er beskrevet. Outforces generelle politikker og forretningsgange er beskrevet i dokumentet Generelle forretningsgange og driftsrutiner. Ansvaret for sikkerhedspolitik, beredskabsplaner, driftsrutiner og beskrivelse af forretningsgang ligger hos ledelsen. Det er ledelsen, der kommunikere eksternt med f.eks. pressen. Ansvaret for formidling af forretningsgang og interne rutiner ligger hos ledelsen. Ved opdatering/rettelser er det ledelsens ansvar at formidle disse. 5

6 Risikostyring Ledelse har det overordnede ansvar for Outforces sikkerhedsarbejde. Outforce A/S benytter løbende eksterne partnere som HP, IBM og Arrow ECS, således at vi sikrer, at vores installation er udført og vedligeholdt efter best pratice i forhold til teknik og sikkerhed. Det er op til kunden at gøre krav på specifikke sikkerhedsrutiner eller tekniske installationer, såfremt best pratice i forhold til teknik og sikkerhed, jf. Outforces standard ikke lever op til dette. På site 1 benytter vi iris-scanner som fysisk godkendelse for at komme ind i vores hosting-center. Vores hostingcenter er også beskyttet af eget alarmanlæg, som er direkte koblet op til Dankontrol. For at komme til vores hostingcenter skal man ligeledes passere husets alarmsystem og være i besiddelse af en chip. Information og kommunikation Det er den enkelte teamleders ansvar at kommunikere internt hos Outforce A/S. Det er ledelsen, der er ansvarlig for kommunikationen ud til kunder og presse. Rapportering udarbejdes af de enkelte enheder og godkendes af ledelsen, inden den sendes til kunden. Overvågning 6

7 Ledelse har ansvaret for at overvåge sikkerhedsbrister samt opfølgninger på disse. Det er endvidere ledelsen, der igangsætter udbedring af eventuelle sikkerhedsbrister. Det er medarbejderens ansvar at rapportere sikkerhedsbrister eller mistanke herom til ledelsen omgående. Kontrolaktiviteter Outforces informationspolitik er tilgængelig for medarbejderne på intranettet. Bygningen er beskyttet af videoovervågning samt adgangskontrol på døre. Der er installeret iris-scanner til datacenter. Desuden er der kodebeskyttelse for af komme ind til scanneren. Alle brugere bliver logget i AD. Disse logs bliver gennemgået ved begrundet mistanke, dog minimum fire gang pr. år. Outforce anvender kun standardsystemer. Katastrofeplan, der tilgængelig på intranettet. Desuden findes en kopi på site 2. Detaljerne fremgår af kontrolmål og kontrolaktiviteter, i følge skema med oplistning og test heraf. 7

8 3. Revisors erklæring om beskrivelse af kontroller, deres udformning og funktionalitet Til ledelsen i Outforce A/S samt kunder af Outforces A/S it-drift og hosting-aktiviteter i perioden 1. februar 2014 til 31. januar 2015 og disses revisorer Omfang Vi har fået som opgave at afgive erklæring om Outforces A/S beskrivelse, afsnit 2, af it-kontroller i tilknytning til Outforce A/S it drift og hosting-aktiviteter i perioden 1. februar 2014 til 31. januar 2015, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Outforce A/S ansvar Outforce A/S er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udsagn, herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret; for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmålene samt for udformningen, implementeringen og effektivt fungerende kontroller for at nå de anførte kontrolmål. Vores ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om Outforce A/S beskrivelse samt om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt. En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som Outforce A/S har specificeret og beskrevet. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør Outforce A/S beskrivelse er udarbejdet for at opfylde de almindelige behov hos Outforce A/S kunder af Outforce A/S it-drift og hosting-aktiviteter og disses revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved generelle it-kontroller, som kunderne måtte anse for vigtige efter deres særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos Outforce A/S kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i ledelseserklæring. Det er vores opfattelse, (a) at beskrivelsen af de generelle it-kontroller, således som det var udformet og implementeret i perioden 1. februar 2014 til 31. januar 2015, i alle væsentlige henseender er retvisende, og 8

9 (b) at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i perioden 1. februar 2014 til 31. januar 2015, og (c) at de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i perioden 1. februar 2014 til 31. januar Beskrivelse af test af kontroller De specifikke kontroller, der blev testet, samt arten og resultater af disse test fremgår af afsnit 4. Tiltænkte brugere og formål Denne erklæring og beskrivelsen af test af kontroller i afsnit 4 er udelukkende tiltænkt kunder, der har anvendt Outforces it-drift og hosting-aktiviteter i perioden 1. februar 2014 til 31. januar 2015, og deres revisorer, som har en tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om kunders egne kontroller, når de vurderer risiciene for væsentlige fejlinformationer i deres regnskaber. Aarhus, den 2. februar 2015 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab Jesper Parsberg Madsen statsautoriseret revisor 9

10 4. Kontrolmål, kontrolaktiviteter, test og resultat heraf Kontrolmål: Informationssikkerhedspolitik Ledelsen har udarbejdet en informationssikkerhedspolitik, som udstikker en klar målsætning for it-sikkerhed, herunder valg af referenceramme samt tildeling af ressourcer. Informationssikkerhedspolitikken vedligeholdes under hensyntagen til en aktuel risikovurdering. Kontrolmål/Kontrol PwC-test Resultat af test Kontrolmål A.1: Informationssikkerhedspolitik Skriftlig politik for informationssikkerhed Outforce A/S har udarbejdet en sikkerhedspolitik. Denne er til rådighed for medarbejdere på intranettet. Den revideres mindst én gang årlig. Den er godkendt af ledelsen Vi har påset, at ledelsen har godkendt sikkerhedspolitikken, samt at den som minimum er revurderet én gang årligt. Endvidere har vi påset, at den forefindes let tilgængelig for medarbejderne. Kontrolmål: Organisering af informationssikkerhed Det organisatoriske ansvar for informationssikkerhed er passende dokumenteret og implementeret, ligesom håndtering af eksterne parter sikrer en tilstrækkelig behandling af sikkerhed i aftaler. Kontrolmål/Kontrol PwC-test Resultat af test Kontrolmål B.1: Organisering af informationssikkerhed Ledelsens forpligtelse i forbindelse med informationssikkerhed Den enkelte afdelingsleder er ansvarlig for, at nye medarbejdere gøres bekendt med retningslinjerne som en del af introduktionen til virksomheden. I takt med at der sker opdatering af retningslinjerne, vil der blive givet besked herom via mail og USTC-nettet, hvor man også kan finde den ajourførte og gældende version af sikkerhedspolitikken. Eksterne parter Outforce A/S beder samarbejdspartnere og eksterne leverandører om at sende revisorerklæring vedrørende de aftalte serviceydelser eller underskriver en kontrakt, der beskriver fortrolighed og sikkerhedsforanstaltninger. Outforce A/S sikrer, at eksterne partnere er bekendt med Outforce A/S sikkerhedspolitik. Vi har overrodnet drøftet styring af informationssikkerhed med ledelsen. Vi har påset, at det organisatoriske ansvar for informationssikkerhed er dokumenteret og implementeret. Endvidere har vi foretaget inspektion af, at rapportering om informationssikkerhedshændelser samt fortegnelse over aktiver er udarbejdet. Vi har påset, at der er etableret betryggende procedurer for samarbejde med eksterne leverandører. Vi har desuden stikprøvevis kontrolleret, at samarbejdet med eksterne parter er baseret på godkendte kontrakter og vi har påset, at der er modtaget revisorerklæring fra backupleverandører for den relevante periode. 10

11 Kontrolmål: Fysisk sikkerhed Driftsafviklingen foregår fra lokaler, som er beskyttet mod skader, forårsaget af fysiske forhold som f.eks. brand, vandskade, strømafbrydelse, tyveri eller hærværk. Kontrolmål/Kontrol PwC-test Resultat af test Fysisk sikkerhedsafgrænsning Alle medarbejdere hos Outforce A/S har adgang til lokalerne ved hjælp af alarmsystemer. Kontorerne låses automatisk kl og åbnes kl Uden for åbningstiden skal medarbejdere bruge kode og brik for at få adgang til bygningen Datacentre er adgangsreguleret ved hjælp af kode på døren til værkstedet og iris-scanner til datacenter. Adgang til datacenter bliver tildelt efter arbejdsmæssigt behov. Datacenteret er videoovervåget. Outforce A/S kan herved dokumentere handlinger i datacenteret. Gæster bliver ledsaget af en medarbejder med adgang til datacenter. Sikring af kontorer, lokaler og faciliteter Datacentre er adgangsreguleret ved hjælp af kode på døren til værkstedet og iris-scanner til datacenter. Bygningen er videoovervåget og besøges uden for arbejdstid af et vagtselskab minimum fire gange pr. døgn. Placering og beskyttelse af udstyr I datacentre er installeret Inergen-anlæg, temperaturmåling og videoovervågning. Inergen-anlæg testes én gang om året ifølge gældende lovgivning, og testen udføres af RMG-Inspektion A/S, og der foreligger en godkendt erklæring. Ledelsen og driftsvagten modtager alarmer både på sms og mail ved eventuelle hændelser. Understøttende forsyninger (forsyningssikkerhed) Datacentre er beskyttet mod strømafbrydelse ved anvendelse af UPS. Dieselgenerator overtager strømforsyning efter beskrevet tidsplan. Dette testes hver måned. Brændstofniveau aflæses løbende. Kontrolmål C.1: Fysisk sikkerhed Vi har observeret, under besøg i Outforce A/S datacentre, at adgang til sikre områder er begrænset ved anvendelse af adgangssystem. Vi har ved stikprøvevis inspektion gennemgået procedurer for fysisk sikkerhed vedrørende sikrede områder for at vurdere, om adgang til disse områder forudsætter dokumenteret ledelsesmæssig godkendelse, samt om personer uden godkendelse til sikrede områder skal registreres og ledsages af medarbejder med behørig godkendelse. Vi har forespurgt ledelsen om anvendte procedurer. Vi har gennemført inspektion af alle serverrum og påset, at alle adgangsveje er sikret med kortlæser. Vi har ved inspektion gennemgået driftsfaciliteterne og har påset, at der er etableret fornødne kontroller i form af: Brandbekæmpelsessystemer Fugtsikring UPS og generatorforsyning Fysisk adgangskontrolsystem Overvågning af indeklima. Vi har ved stikprøvevis inspektion gennemgået dokumentation for vedligeholdelse af udstyr til bekræftelse af, at dette løbende vedligeholdes. Vi har observeret, under besøg i datacentre, at der foretages monitorering af UPS eller nødstrømsanlæg. Vi har ved stikprøvevis inspektion gennemgået dokumentation for vedligeholdelse til bekræftelse af, at UPS eller nødstrømsanlæg løbende vedligeholdes og testes. 11

12 Kontrolmål: Fysisk sikkerhed Driftsafviklingen foregår fra lokaler, som er beskyttet mod skader, forårsaget af fysiske forhold som f.eks. brand, vandskade, strømafbrydelse, tyveri eller hærværk. Kontrolmål/Kontrol PwC-test Kontrolmål C.1: Fysisk sikkerhed Resultat af test Sikring af kabler Kabler og elforsyning ligger i kabelbakker. Krydsfelt og tilhørende netværksenheder forefindes alle i datacentre. Vi har observeret ved inspektion, at kabler til elektricitetsforsyning og datakommunikation er sikret mod skader og uautoriserede indgreb. Kontrolmål: Styring af kommunikation og drift Der er etableret: passende forretningsgange og kontroller vedrørende drift, herunder monitorering, registrering og opfølgning på relevante hændelser tilstrækkelige procedurer for sikkerhedskopiering og beredskabsplaner passende funktionsadskillelse i og omkring it-funktionerne, herunder mellem udvikling, drift samt brugerfunktioner passende forretningsgange og kontroller vedrørende datakommunikationen, der på en hensigtsmæssig måde sikrer mod risiko for tab af autenticitet, integritet, tilgængelighed samt fortrolighed. Kontrolmål/Kontrol PwC-test Resultat af test Kontrolmål D.1: Styring af kommunikation og drift Dokumenterede driftsprocedurer Outforce A/S har beskrevet driftsprocedurerne for driftsmiljøet. Der gennemføres et dagligt tjek af serverrum. Efterfølgende bliver der bliver udarbejdet en daglig rapport, der bliver godkendt af ledelsen hver dag. Outforce A/S har tre forskellige typer medarbejdere; support, drift og konsulent (storage, firewall og adgangskontrol ligger hos drift). Adgang til fællesdrev er tildelt i forhold til funktion. Til hver stilling findes en stillingsbetegnelse. Outforce A/S har ingen udviklings- eller applikationsvedligehold. Funktionsadskillelse Ledelsen har implementeret politikker og procedurer til sikring af tilfredsstillende funktionsadskillelse i it-afdelingen. Disse politikker og procedurer omfatter krav til, at ansvar for udvikling og opdateringer til produktionsmiljøet er adskilte at it-afdelingen har ikke adgang til applikationer og transaktioner at udviklings- og driftsaktiviteter er adskilt. Vi har forespurgt ledelsen om, hvorvidt alle relevante driftsprocedurer er dokumenteret. I forbindelse med revision af de enkelte driftsområder er det ved inspektion kontrolleret, at der foreligger dokumenterede procedurer, samt at der er overensstemmelse mellem dokumentationen og de handlinger, som faktisk udføres. Vi har endvidere påset ved inspektion, at der foretages tilstrækkelig overvågning og opfølgning herpå. Vi har gennemgået brugere med administrative rettigheder til verificering af, at adgange er begrundet i et arbejdsbetinget behov og ikke kompromitterer funktionsadskillelse mellem udviklingsog produktionsmiljøer. 12

13 Kontrolmål: Styring af kommunikation og drift Der er etableret: passende forretningsgange og kontroller vedrørende drift, herunder monitorering, registrering og opfølgning på relevante hændelser tilstrækkelige procedurer for sikkerhedskopiering og beredskabsplaner passende funktionsadskillelse i og omkring it-funktionerne, herunder mellem udvikling, drift samt brugerfunktioner passende forretningsgange og kontroller vedrørende datakommunikationen, der på en hensigtsmæssig måde sikrer mod risiko for tab af autenticitet, integritet, tilgængelighed samt fortrolighed. Kontrolmål/Kontrol PwC-test Resultat af test Kontrolmål D.1: Styring af kommunikation og drift Foranstaltninger mod virus og lignende skadelig kode Der er installeret antivirusprogrammer, som bliver opdateret regelmæssigt. Outforce A/S benytter anerkendt værktøj til antivirus med automatisk versionskontrol. Sikkerhedskopiering af informationer Backup og validering fortages til Frontsafe A/S En kunde udvælges i rækkefølge pr. kvartal for test af restore-proceduren. Der benyttes VEAM til backup/restore af virtuelle servere. VEAM benyttes som disaster recovery-backup, der kun skal sørge for at bringe systemdrev i drift, hvorefter data på andre drev genetableres med TSM. VEAM benyttes til hurtig backup og reetablering og bruges løbende i driften efter aftale med kunden. Dermed testes det løbende, om backup er valid. Vi har ved stikprøvevis inspektion gennemgået teknisk opsætning til bekræftelse af, at der er installeret antivirusprogrammer, samt at disse er opdateret. der udføres, gennemgået backupprocedurer samt påset, at de er tilstrækkelige og formelt dokumenteret. Vi har gennemgået aftalen med Frontsafe A/S samt påset, at proceduren for backup er i overensstemmelse med de i kontrakten beskrevne oppetidsmål. Vi har ved stikprøvevis inspektion gennemgået log vedrørende backup til bekræftelse af, at backupper er gennemført fejlfrit, alternativt at der foretages afhjælpning i tilfælde af mislykkede backupper. 13

14 Kontrolmål: Styring af kommunikation og drift Der er etableret: passende forretningsgange og kontroller vedrørende drift, herunder monitorering, registrering og opfølgning på relevante hændelser tilstrækkelige procedurer for sikkerhedskopiering og beredskabsplaner passende funktionsadskillelse i og omkring it-funktionerne, herunder mellem udvikling, drift samt brugerfunktioner passende forretningsgange og kontroller vedrørende datakommunikationen, der på en hensigtsmæssig måde sikrer mod risiko for tab af autenticitet, integritet, tilgængelighed samt fortrolighed. Kontrolmål/Kontrol PwC-test Resultat af test Kontrolmål D.1: Styring af kommunikation og drift Monitorering af systemanvendelse og auditlogning Der er implementeret logning ved adgang på kritiske systemer. Disse logge bliver gennemgået i tilfælde af mistanke om misbrug eller fejl. Outforce A/S har ikke ansvaret for opsætning og drift af databaserne. Alle brugeres rettigheder bliver kontrolleret mindst én gang om året eller ved til- /afgang af medarbejdere. Alt hardware er overvåget. Der afsendes rapport i tilfælde af fejl. Endvidere er der sat infotavle op, der giver overblik over installationen. Overvågningssystem sender sms og mail i tilfælde af fejl. Administrator- og operatørlog Outforce A/S logger transaktioner og handlinger, der er gennemført af brugere og administratorer via domain controllers (AD) audit log. Brugerkontis rettigheder på AD gennemgås halvårligt. Logs fra AD og andre væsentlige systemer bliver gennemgået løbende og ved begrundet mistanke om uautoriserede handlinger. der udføres, gennemgået systemopsætningen på servere og væsentlige netværksenheder samt påset, at parametre for logning er opsat, således at handlinger, udført af brugere med udvidede rettigheder, bliver logget. Vi har ved stikprøvevis inspektion påset, at der er etableret overvågning og alarmering for nedsat tilgængelighed samt for forsøg på brud på den etablerede sikringsforanstaltning Vi har endvidere ved stikprøvevis inspektion kontrolleret, at der foretages tilstrækkelig opfølgning på logs fra kritiske systemer. 14

15 Kontrolmål: Adgangsstyring Der er etableret: passende forretningsgange og kontroller for tildeling af, opfølgning på samt vedligeholdelse af adgangsrettigheder til systemer og data logiske og fysiske adgangskontroller, som begrænser risikoen for uautoriseret adgang til systemer eller data fornødne logiske adgangskontroller, der underbygger den organisatoriske funktionsadskillelse. Kontrolmål/Kontrol PwC-test Resultat af test Kontrolmål E.1: Adgangsstyring Brugerregistrering og administration af privilegier Oprettelse og nedlæggelse af brugere er ledelsesgruppens (LG) ansvar. Brugerne oprettes i forhold til arbejdsrelaterede behov. Proceduren er godkendt af ledelsen. Alle brugeres rettigheder bliver kontrolleret mindst én gang om året eller ved til-/afgang af medarbejdere. Adgang til kundernes systemer er kundens ansvar. Derfor har Outforce A/S ikke beskrevet dette. Brugere oprettes i grupper. Det er disse grupper, der har rettighederne til, hvad den enkelte medarbejder har adgang til. Det er LG, der beslutter, hvilke grupper en medarbejder skal være medlem af. LG vurderer løbende, om Outforce A/S medarbejdere har de rigtige rettigheder. Samtlige brugere i Outforce A/S AD og disses rettigheder bliver gennemgået minimum fire gange årligt. Administration af brugeradgangskoder (password) Der er implementeret programmerede kontroller, der sikrer, at password har den fornødne kvalitet, jf. sikkerhedspolitikkens bestemmelser. Password skal bestå af minimum otte karakterer, og karaktererne skal være en blanding af tal og bogstaver. Password er gyldigt i maks. 60 dage og bør ikke genbruges. Evaluering af brugeradgangsrettigheder Outforce A/S foretager periodisk review af brugerrettigheder til sikring af, at disse er i overensstemmelse med brugernes arbejdsbetingede behov. Uoverensstemmelser undersøges og rettes rettidigt. Vi har gennemgået procedurerne for brugeradministration samt kontrolleret, at kontrolaktiviteter er tilstrækkeligt dækkende. Vi har ved stikprøvevis inspektion påset, at det er LG, der godkender tildeling af adgang til systemerne, samt stikprøvevis kontrolleret, at forretningsgangene er overholdt for oprettede brugere på Outforce A/S systemer. Vi har foretaget stikprøvevis kontrol af, at årlige gennemgange foretages. der udføres i forbindelse med passwordkontroller, og påset, at det sikres, at der anvendes passende autentifikation af brugere på alle adgangsveje. Vi har ved inspektion kontrolleret, at der anvendes en passende passwordkvalitet i Outforce A/S driftsmiljø ved stikprøvevise test af, at adgang til virksomhedens systemer sker ved brug af brugernavn og password. Vi har ved stikprøvevis inspektion kontrolleret, at der foretages periodiske gennemgange til bekræftelse af, at disse har fundet sted, samt påset, at identificerede afvigelser afhjælpes. Vi har endvidere stikprøvevis kontrolleret, at forretningsgangene er overholdt for oprettede brugere i Outforce A/S systemer. 15

16 Kontrolmål: Adgangsstyring Der er etableret: passende forretningsgange og kontroller for tildeling af, opfølgning på samt vedligeholdelse af adgangsrettigheder til systemer og data logiske og fysiske adgangskontroller, som begrænser risikoen for uautoriseret adgang til systemer eller data fornødne logiske adgangskontroller, der underbygger den organisatoriske funktionsadskillelse. Kontrolmål/Kontrol PwC-test Resultat af test Kontrolmål E.1: Adgangsstyring Inddragelse af adgangsrettigheder Brugerrettigheder til operativsystemer, netværk, databaser og datafiler vedrørende fratrådte medarbejdere bliver deaktiveret ved disses medarbejderes fratrædelse. Ledelsen godkender inddragelse af rettigheder og nedlæggelse af brugere. Politik for anvendelse af netværkstjenester, herunder autentifikation af brugere med ekstern forbindelse Al trafik til og fra internettet styres via en firewall. Opsætning af denne er elektronisk dokumenteret. Adgang fra fx. hjemmearbejdsplads sker ved hjælp af VPN. Kunder har deres egen DMZ-zone. Ekstern adgang fra hjemmearbejdsplads eller eksterne samarbejdspartnere valideres ved hjælp af SSL-VPN. Styring af netværksforbindelser Netværksforbindelser testes sammen med kunden, såfremt kunden ønsker dette. Outforce A/S gennemgår firewallopsætning for at sikre unødig penetration. Som udgangspunkt er der lukket for trafik udefra. Ønsker kunder dette ændret, sker dette efter skriftlig anmodning. Begrænset adgang til informationer Kun personer med behov for adgang til kundespecifikke systemer har adgang. Alle adgangsønsker for nye og eksisterende brugere vedrørende applikationer, databaser og datafiler bliver gennemgået for at sikre overensstemmelse med Outforce A/S politikker, til sikring af at rettigheder tildeles ud fra et arbejdsbetinget behov, er godkendt samt bliver korrekt oprettet i systemer. der udføres, for at inddragelse af adgangsrettigheder sker efter betryggende forretningsgange, og at der foretages opfølgning i henhold til forretningsgangene på de tildelte adgangsrettigheder. Vi har endvidere ved stikprøvevis inspektion kontrolleret, at de beskrevne forretningsgange er overholdt for nedlagte brugere på systemer, samt at inaktive brugerkonti deaktiveres ved fratrædelse. der udføres, og påset, at der anvendes en passende autentificeringsproces for driftsmiljøet. Vi har ved stikprøvevis inspektion kontrolleret, at brugere identificeres og verificeres, inden adgang gives, samt at fjernadgangen er beskyttet af VPN. Vi har ved inspektion konstateret, at netværket er segmenteret i mindre net ved hjælp af VLAN og DMZ for at reducere risikoen for uautoriseret adgang. der udføres, for at styre netværksforbindelser. Vi har ved inspektion konstateret, at der er foretaget periodiske penetrationstest, samt kontrolleret, at der er taget stilling til konstaterede svagheder. Vi har ved stikprøvevis inspektion gennemgået firewallkonfiguration og påset, at reglerne i firewallen er sat hensigtsmæssigt op. der udføres, for at begrænse adgangen til informationer. Vi har gennemgået procedurerne for brugeradministration samt kontrolleret, at kontrolaktiviteter er tilstrækkeligt dækkende. Vi har ved stikprøvevis inspektion kontrolleret, at tildeling af adgang til data og systemer udføres ud fra et arbejdsrelateret behov og er godkendt i overensstemmelse med forretningsgangene. 16

17 Kontrolmål: Anskaffelse, udvikling og vedligeholdelse af styresystemer Der er etableret passende forretningsgange og kontroller for implementering og vedligeholdelse af styresystemer Kontrolmål/Kontrol PwC-test Resultat af test Kontrolmål F.1: Anskaffelse, udvikling og vedligeholdelse af styresystemer Styring af software på driftssystemer Outforce A/S har separate udviklings-, test- og produktionsmiljøer. Outforce A/S udvikler ikke software. It-miljøet for kundernes systemer er adskilt fra det interne it-miljø. Outforce A/S benytter patch management til at styre fx OS-opgraderingen. Patchning af kundeservere aftales og accepteres i samarbejde med den enkelte kunde. Patchning udføres i aftalt servicevindue. Proceduren omfatter kun OS, da kunden selv har ansvar for applikationerne. Ændringsstyring Outforce A/S bruger change management til at styre ændringer. Ændringer af daglige arbejdsopgaver er beskrevet i standard change, som er forhåndsgodkendt. Ingen ændringer i produktion implementeres, før change er godkendt af kunden og ledelsen samt testet, og fall back-plan er udformet. Nødændringer uden om den normale forretningsgang testes og godkendes efterfølgende. Ingen ændring må udføres uden godkendelse. der udføres, for at adskillelse mellem enkelte miljøer opretholdes. Desuden har vi forespurgt ledelsen om de procedurer/kontrolaktiviteter, der udføres for at opretholde kritiske systemer opdateret og gennemgået opdateringsprocedurernes tilstrækkelighed, hvad angår Outforce A/S egne væsentlige systemer samt kundernes systemer i henhold til kontraktlige aftaler. Vi har ved stikprøvevis inspektion gennemgået ændringer i perioden, og har påset, at ændringer er dokumenteret. Vi har endvidere stikprøvevis efterprøvet kontrollerne, herunder at: der er tilstrækkelig kommunikation med leverandørerne med henblik på at modtage nødvendige informationer om kritiske og vigtige opdateringer, samt at der foretages de fornødne risikovurderinger af de enkelte opdateringer. de kritiske systemer er blevet opdateret hensigtsmæssigt. der udføres, og gennemgået change managementprocedurernes tilstrækkelighed samt påset, at der er etableret et passende ændringshåndteringssystem, der er understøttet af en teknisk infrastruktur. Vi har ved stikprøvevis inspektion gennemgået ændringsønsker for følgende: Registrering af ændringsanmodninger i det dertil etablerede system. Dokumenteret test af ændringer, herunder godkendelse. Godkendelse skal være opnået før implementering. Mundtlig ledelsesmæssig godkendelse anses for tilstrækkelig ved nødændringer, men skal dokumenteres efterfølgende. Dokumenteret plan for tilbagerulning, hvor relevant. 17

18 Kontrolmål: Katastrofeplan Outforce A/S er i stand til at fortsætte servicering af kunder i en katastrofesituation. Kontrolmål/Kontrol PwC-test Resultat af test Kontrolmål G.1: Katastrofeplan Opbygning/Struktur af katastrofeberedskab Outforce A/S har udarbejdet en katastrofeplan. Denne beskriver sandsynligheder samt de nødvendige tiltag. Planen er godkendt af ledelsen og revideres årligt. Test af katastrofeberedskab Der sker årlig test af katastrofeberedskabet ved såvel skrivebordstest som faktiske testscenarier. Såfremt testen afslører uhensigtsmæssigheder, opdateres planen umiddelbart herefter. Vi har gennemgået udleveret materiale vedrørende katastrofeberedskab samt påset, at den organisatoriske og operationelle it-katastrofeplan indeholder ledelsesmæssige funktionsbeskrivelser, kontaktinformationer, varslingslister samt instrukser. 18

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter www.pwc.dk Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Januar 2016 Indhold 1. Ledelsens udtalelse 3 2.

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk Sonlinc A/S ISAE 3000-erklæring fra uafhængig revisor vedrørende udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing for perioden

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 Februar 2015 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group

Læs mere

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser April 2013 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S

Læs mere

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser www.pwc.dk Athena IT-Group Erklæring fra uafhængig revisor vedrørende generelle itkontroller for Athena IT-Group A/S' driftsydelser Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S' beskrivelse

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Rackhosting ApS. ISAE 3402-erklæring fra uafhængig

Rackhosting ApS. ISAE 3402-erklæring fra uafhængig r Rackhosting ApS Oktober 2014 ISAE 3402-erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til driften af kunders itmilj øer for perioden 1. juni 2013 til 31. maj 2014 med

Læs mere

www.pwc.dk EG Data Inform A/S ISAE 3402-erklæring, type 2, fra uafhængig i relation til EG Data Informs driftsydelser Januar 2016

www.pwc.dk EG Data Inform A/S ISAE 3402-erklæring, type 2, fra uafhængig i relation til EG Data Informs driftsydelser Januar 2016 www.pwc.dk EG Data Inform A/S ISAE 3402-erklæring, type 2, fra uafhængig revisor vedrørende generelle itkontroller i relation til EG Data Informs driftsydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

pwc EG Data Inform A/S

pwc EG Data Inform A/S i EG Data Inform A/S ISAE 3402-erklæring, type 2, fra uafhængig revisor vedrørende generelle it-kontroller i relation til EG Data Informs driftsydelser Januar 2015 pwc PricewaterhouseCoopers Statsautoriseret

Læs mere

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser Marts 2014 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Procedure for tilsyn af databehandleraftale

Procedure for tilsyn af databehandleraftale IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af

Læs mere

Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter www.pwc.dk Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Januar 2017 Indhold 1. Ledelsens udtalelse 3 2.

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune. Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens

Læs mere

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013 Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2012 August 2013 Ib Østergaard Rasmussen Faxe Kommune Frederiksgade 9 4690 Haslev 13. august 2013 Formål Vi har i juli/august måned 2013 foretaget revision

Læs mere

Zentura IT A/S CVR-nr. 32 89 08 06

Zentura IT A/S CVR-nr. 32 89 08 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2014 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

DFF-EDB a.m.b.a CVR nr.:

DFF-EDB a.m.b.a CVR nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og implementering i forbindelse med hosting og drift af Citrix-platformen pr. 22. juni 2015 ISAE 3402, type I

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

ISAE 3402 TYPE 2 ERKLÆRING

ISAE 3402 TYPE 2 ERKLÆRING JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge

Læs mere

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål

Læs mere

Lessor Group ISAE3402 type revisor generelle it-kontroller for Lessor Groups hosting- og driftsydelser December 2013

Lessor Group ISAE3402 type revisor generelle it-kontroller for Lessor Groups hosting- og driftsydelser December 2013 www.pwc.dk Lessor Group ISAE3402 type fra revisor generelle it-kontroller for Lessor Groups hosting- og driftsydelser December 2013 Indhold Ledelsens 3 2. Lessor Groups beskrivelse af generelle it-kontroller

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017 Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2013 August 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 15. august 2014 Formål Vi har i perioden

Læs mere

DFF EDB a.m.b.a. CVR-nr.:

DFF EDB a.m.b.a. CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med deres hostingydelse hos Zitcom A/S pr. 23. juni 2017 ISAE 3402-I DFF EDB a.m.b.a.

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Informationssikkerhedspolitik for <organisation>

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

EG A/S. ISAE 3402-erklæring, type 2, fra uafhængig revisor vedrørende generelle it-kontroller i relation til EG's driftsydelser.

EG A/S. ISAE 3402-erklæring, type 2, fra uafhængig revisor vedrørende generelle it-kontroller i relation til EG's driftsydelser. www.pwc.dk EG A/S ISAE 3402-erklæring, type 2, fra uafhængig revisor vedrørende generelle it-kontroller i relation til EG's driftsydelser Januar 2017 Indhold 1. Ledelsens udtalelse... 3 2. EG s beskrivelse

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Bilag 7: Aftale om drift

Bilag 7: Aftale om drift Bilag 7: Aftale om drift Udbud af E-rekrutteringssystem Aftale om drift mellem REGION SYDDANMARK (i det følgende kaldet Kunden ) og Bilag 7 Aftale om drift 3 7.1 Indledning

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Sotea A/S 19. april 2016 version 1.0 1

Sotea A/S 19. april 2016 version 1.0 1 version 1.0 1 1.... 3 2.... 3 3.... 4 4.... 5 5.... 5 6.... 6 7.... 6 version 1.0 2 1. Nærværende Service Level Agreement dokumenterer det aftalte serviceniveau, og beskriver kundens garanti i forbindelse

Læs mere

Bilag X Databehandleraftale

Bilag X Databehandleraftale Bilag X Databehandleraftale 1 Anvendelsesområde og omfang 1.1 KUNDEN er dataansvarlig for de personoplysninger, som MICO behandler på vegne af KUNDEN i henhold til Aftalen. MICO er databehandler. KUNDEN

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

FRONT-DATA DANMARK A/S

FRONT-DATA DANMARK A/S MARTS 2014 FRONT-DATA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-data Danmarks hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Business Data A/S Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Version 3.0.1 (senest redigeret 20. november 2014) Indhold 1. Generelt... 2 2. Definitioner...

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv

Læs mere

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S plus revision skat rådgivning Front-data Danmark A/S ISAE 3402 type 2 erklæring Februar 2013 Revisionserklæring af de generelle it-kontroller for driften af Front-data Danmarks hosting-aktiviteter. Kalvebod

Læs mere

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium 18. juni 2015 BILAG 1 Kommissorium for revisionsudvalget i TDC A/S 1. Status og kommissorium Revisionsudvalget er et udvalg under bestyrelsen, der er nedsat i overensstemmelse med 15.1 i forretningsordenen

Læs mere

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret Maj 2015 Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 18. maj

Læs mere

Revisionskomitéen. Under udførelsen af udvalgets opgaver skal udvalget opretholde et effektivt samarbejde med bestyrelse, ledelse og revisorer.

Revisionskomitéen. Under udførelsen af udvalgets opgaver skal udvalget opretholde et effektivt samarbejde med bestyrelse, ledelse og revisorer. Thrane & Thranes bestyrelse har nedsat en revisionskomite. Revisionskomitéen Revisionskomiteens medlemmer er: Morten Eldrup-Jørgensen (formand og uafhængigt medlem med ekspertise inden for blandt andet

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING FEBRUAR 2015 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

IST DANMARK APS ISAE 3000 ERKLÆRING

IST DANMARK APS ISAE 3000 ERKLÆRING MAJ 2017 IST DANMARK APS ISAE 3000 ERKLÆRING Uafhængig revisors erklæring om IST Danmark ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerheds- foranstaltninger til beskyttelse af personoplysninger.

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Revisionsrapport Revision af generelle it-kontroller 2016

Revisionsrapport Revision af generelle it-kontroller 2016 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk Københavns Kommune Koncernservice

Læs mere

Comendo Remote Backup. Service Level Agreement

Comendo Remote Backup. Service Level Agreement Comendo Remote Backup Service Level Agreement Side 2 af 7 Indholdsfortegnelse Service Level Agreement... 1 Indholdsfortegnelse... 2 Introduktion... 3 Comendo Remote Backup ansvar og forpligtelser... 3

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING APRIL 2014 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

www.pwc.dk Ballerup Kommune Beretning om tiltrædelse som revisor

www.pwc.dk Ballerup Kommune Beretning om tiltrædelse som revisor www.pwc.dk Ballerup Kommune Beretning om tiltrædelse som revisor Pr. 1. januar 2015 Indholdsfortegnelse 1. Tiltrædelse som revisor 3 1.1. Indledning 3 1.2. Opgaver og ansvar 3 1.2.1. Ledelsen 3 1.2.2.

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent, Systemforvaltning for SDN Temadag om SDN og VDX den 9. november 2016 Peder Illum, konsulent, pi@medcom.dk Agenda Vi fik besøg af Rigsrevisionen.. Hvordan forløb det, hvordan var det, og hvad blev resultatet?

Læs mere

Kommissorium for revisionsudvalget i TDC A/S

Kommissorium for revisionsudvalget i TDC A/S 2. februar 2012 Kommissorium for revisionsudvalget i TDC A/S 1. Status og kommissorium Revisionsudvalget er et udvalg under bestyrelsen, der er nedsat i overensstemmelse med 15.1 i forretningsordenen for

Læs mere

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser iodc (In & Outbound Datacenter) Hvidovrevej 80D 2610 Rødovre CVR 35963634 ( IODC ) Version 1.0 1 1. Forudsætninger... 3 2. Ansvar

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne

Læs mere

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik for Horsens Kommune Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING JUNI 2015 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

EU-udbud af WAN infrastruktur

EU-udbud af WAN infrastruktur EU-udbud af WAN infrastruktur Bilag 2 Kundens IT-Miljø Side 1 af 6 Indhold 1.1 Formål... 3 1.2 Driftscentre i Kundens IT-Miljø... 3 1.3 Specifikation af Kundens netværksopbygning... 3 1.4 Arkitektur...

Læs mere

Bilag 2A: IT-status i Ikast-Brande Kommune. Januar 2014

Bilag 2A: IT-status i Ikast-Brande Kommune. Januar 2014 Bilag 2A: Januar 2014 Side 1 af 5 1. Indledning... 3 2. Statusbeskrivelse... 3 3. IT infrastruktur og arkitektur... 4 3.1. Netværk - infrastruktur... 4 3.2. Servere og storage... 4 3.3. Sikkerhed... 4

Læs mere