Front-data Danmark A/S

Størrelse: px
Starte visningen fra side:

Download "Front-data Danmark A/S"

Transkript

1 plus revision skat rådgivning Front-data Danmark A/S ISAE 3402 type 2 erklæring Februar 2013 Revisionserklæring af de generelle it-kontroller for driften af Front-data Danmarks hosting-aktiviteter. Kalvebod Brygge 45, 2., 1560 København V Tlf.: (+45) , Fax: (+45) CVR-nr (Hjemsted: København) RSM plus P/S statsautoriserede revisorer Afdelinger i: Aalborg, Holstebro, Kolding, København, Odense, Skærbæk, Vordingborg og Aarhus RSM plus er et selvstændigt medlem af RSM International, en uafhængig kæde af selvstændige revisions- og konsulentfirmaer med kontorer i mere end 100 lande

2 Erklæringsopbygning Kapitel 1: Kapitel 2: Kapitel 3: Kapitel 4: Front-data Danmark A/S ledelseserklæring Front-data Danmark A/S beskrivelse af de generelle it-kontroller for driften af hostingaktiviteter. Uafhængig revisors erklæring med sikkerhed om beskrivelsen af de generelle itkontroller, deres udformning og funktionalitet. Revisors beskrivelse af kontrolmål, sikkerhedstiltag, test og resultater heraf. Side 2

3 Kapitel 1: Front-data Danmark A/S ledelseserklæring Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt Front-data Danmark s hosting-aktiviteter, og deres revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller som kunderne selv har anvendt, ved vurdering af risiciene for væsentlig fejlinformation i deres regnskaber. Front-data Danmark bekræfter hermed, at (A) Den medfølgende beskrivelse, kapitel 2, giver en retvisende beskrivelse af Front-data Danmark s hosting-aktivitets generelle it-kontroller i hele perioden fra 1. januar 2012 til 31. december Kriterierne for dette udsagn var, at den medfølgende beskrivelse: (i) redegør for, hvordan kontrollerne var udformet og implementeret, herunder redegør for: de typer af ydelser, der er leveret, når det er relevant de processer i både it- og manuelle systemer, der er anvendt til styring af de generelle itkontroller relevante kontrolmål og kontroller udformet til at nå disse mål kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af Front-data Danmark, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for de generelle it-kontroller (ii) indeholder relevante oplysninger om ændringer i Front-data Danmark s generelle it-kontroller foretaget i perioden fra 1. januar 2012 til 31. december (iii) ikke udelader eller forvansker oplysninger, der er relevante for omfanget af de beskrevne kontroller under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte et hvert aspekt ved kontroller, som den enkelte kunde måtte anse vigtig efter deres særlige forhold. (B) de kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra 1. januar 2012 til 31. december Kriterierne for dette udsagn var, at: (i) De risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret Side 3

4 (ii) De identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrer opnåelsen af de anførte kontrolmål, og (iii) Kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra 1. januar 2012 til 31. december (C) den medfølgende beskrivelse og de tilhørende kriterier for opnåelse af kontrolmål og kontroller, kapitel 2, er udarbejdet med baggrund i overholdelse af Front-data Danmarks standardaftale, grundlaget for hosting-aktiviteter og ydelser omkring de generelle it-kontroller. Kriterierne for dette grundlag var, at: (i) Service Level Agreement version juli 2006 (ii) Vilkår for Hostingaftale version juni 2009 (iii) IT-sikkerhedspolitik version 6 Glostrup, den 28. februar 2013 Front-data Danmark A/S Søndervangs Alle 20 DK-8260 Viby J Tel (+45) CVR: Side 4

5 Kapitel 2: Front-data Danmark A/S beskrivelse af de generelle it-kontroller for driften af hosting-aktiviteter. Front-data har eksisteret siden 1990 og er i dag en velkonsolideret virksomhed med omkring 30 kompetente medarbejdere. Virksomheden er AAA-rated af Soliditet som et bevis på, at vi er en økonomisk sund virksomhed. Front-data holder til i udkanten af Århus i et moderne byggeri, som er etableret med et nyt og sikkert hostingcenter. Her er de bedste forudsætninger for at levere høj sikkerhed og stabilitet i den IT-drift, der håndterer for vores kunder. Front-data laver IT outsourcing for et bredt udsnit af virksomheder i Danmark, Norden og på Grønland samt filialer og datterselskaber i resten af verden. Vores mål er at have et tæt forhold til vores kunder, og have en god forståelse for deres IT behov, således vi kan understøtte deres forretning bedst muligt. Front-datas fokus leverance er, at levere en total IT løsning til vores kunder, og agere som var vi kundens egen IT afdeling. Løsningerne bliver skræddersyet til den enkelte kunde, men alle elementer er opbygget udfra udviklede standarder. Dette optimerer mulighederne for høj tilgængelighed og god support. IT Sikkerhed Front-data betragter IT sikkerhed som et vigtigt element i at levere en professionel hosting ydelse. Der ligger et stort ansvar i at håndtere og opbevare fortrolige og forretnings kritiske data. Dette ansvar stiller krav til en høj grad af sikkerhed. Front-datas målsætning indenfor IT-sikkerhed er: - Sikre en god fysisk sikkerhed - Sikre data fortrolighed og integritet - Sikre mulighed for genetablering af data og systemer - Sikre høj tilgængelighed Måden Front-data har valgt at arbejde med IT-sikkerhed, er at vi gennem redundant opbygning af infrastruktur, kombineret med fastlagte retningslinjer, procedurer og kontroller opretholder hostingcentret i en tilstand hvor sikkerhed og tilgængelighed er optimalt. Den redundante opbygning af hosting centret omfatter: - 2 serverrum med separat forsyning og i adskilte brandceller - Forsynings sikkerhed (strøm, netværk) - Køling af serverrum - Redundering af centrale funktioner i netværks og infrastruktur For at sikre forankring af IT-sikkerheden, har vi valgt at arbejde med en IT-sikkerhedspolitik. IT sikkerhedspolitikken er opbygget med ISO:27002 som referenceramme. På IT-sikkerhedsområdet har Front-data implementeret de nødvendige procedurer og kontroller, i forhold til områder indenfor ISO:27002, som er defineret i bilag 1. Side 5

6 Front-data har en årlig revisionsgennemgang af vores overholdelse af den gældende IT-sikkerhedspolitik. Denne kontrol reviderer, at vi løbende er i overensstemmelse med vores IT sikkerhedspolitik. Kontrollen har været gennemført de foregående år, og har udmøntet sig i revisionserklæringer udfra RS3000, RS3411 og de seneste to år udfra den internationale ISAE3402 standard. Omfang af revision Revisionserklæringen dækker Front-datas IT sikkerhedspolitik version 6.0. Organisering af informationssikkerhed IT sikkerhed har ledelsens fokus i Front-data. Ansvaret er forankret hos den tekniske chef med opbakning fra direktion og den øvrige ledergruppe. Dette omfatter: At relevante sikkerhedsinitiativer aktivt støttes At de nødvendige ressourcer afsættes for at kunne overholde IT-sikkerhedspolitikken At deltage aktivt i den tværorganisatoriske implementering af IT-sikkerhedspolitikken Ledelsen vurderer endvidere løbende behov for ekstern rådgivning, ud fra en realistisk bedømmelse af Frontdatas egne erfaringer og kompetencer på IT-sikkerhedsområdet. Medarbejdersikkerhed Alle medarbejdere i Front-data er opmærksomme på at IT sikkerhed er en vigtig komponent i deres daglige arbejde. Medarbejderne skal kende deres ansvar og rolle i forbindelse med IT sikkerhed, for derigennem at minimere risikoen for menneskelige fejl, tyveri, svindel og misbrug af informationsaktiver. IT-sikkerhedsansvaret er fastlagt gennem diverse materiale: Ansættelsesaftale Ansættelsesvilkår Stillings- og jobbeskrivelse IT sikkerhedspolitik Styring af informationsrelaterede aktiver Front-datas kunder har ejerskabet af egne data, og kan få dem udleveret efter ønske. Licensejerskab er specificeret i den indgåede hostingaftale, hvor det er specificeret hvilke licenser kunden er ansvarlig for, samt hvilke Front-data er ansvarlig for. Adgang til data og applikationer er opsat af Front-data udfra kundens krav. Oprettelse, ændringer eller sletninger af brugere udføres kun efter skriftlig henvendelse til Front-data s support, fra personer hos kunden som er bemyndiget til dette. Fysisk sikkerhed Front-datas bygning har åbne yderdøre fra mandag til fredag fra kl. 08:15 til kl. 16:00. Udenfor dette tidsrum er dørene låste, og hvis bygningen ikke er bemandet er alarmsystem og røgsikringssystem tilkoblet. Side 6

7 Alle Front-data medarbejdere er udstyret med et adgangskort med kode, som er nødvendig for betjening af alarmanlæg og adgang til bygningen. Adgangskortet bruges desuden inde i bygningen, i forhold til at bevæge sig mellem de forskellige sikkerhedszoner bygningen er opdelt i. Bygningen består af fire sikkerhedszoner hvor sikkerhedszone 4, som omfatter serverrum, er den mest restriktive. I denne zone er der kun tilladt adgang for personale som har en clearing til at komme i serverrummene. Alt serverudstyr og infrastruktur er placeret i sikre serverrum. Serverrummene er opbygget som selvstændige sikkerhedsceller, som udgør separate brandceller. Disse kan køre uafhængigt af hinanden. Alle servere og infrastruktur er koblet til strøm via et redundant opbygget UPS system med tilstrækkelig kapacitet til minimum 10 minutters drift ved strømudfald. For at undgå driftsforstyrrelser som følge af længerevarende strømafbrydelser, er der installeret diesel drevet nødstrøms generator, som har kapacitet til at drive hostingcentret incl. kontor lokaler. Primære datalinjer er etableret som redundante linjer. Disse linjer er fremført som uafhængige fibre til 2 forskellige TDC centraler. Beskyttelse mod eksterne trusler Front-datas alarmanlæg er opsat så der alarmeres til et eksternt vagtfirma, såfremt uautoriseret adgang tiltvinges eller ved sabotage. Når alarmen går, er der opsat røgsystem, som fylder gangarealerne med røg. Køl Køling er etableret med et antal uafhængige kølesystemer, som er redundante. Der er etableret miljø overvågning, som konsoliderer måling af temperatur, fugtighed, lækage, strømforbrug pr rack, strømforbrug i alt, status på UPS, kølekapacitet, køleforbrug og status på brandslukningsudstyr. Ud over miljø statistikker gives der alarm på hændelser via og SMS. Køleanlægget er designet redundant og med overkapacitet således serverrummet stadig nedkøles såfremt køleenheder skulle blive defekte. Brand Samtlige Front-datas serverrum er beskyttet af inergen brandbekæmpelsesanlæg. Inergen anlægget reagerer på partikelændringer i luften og slukker ilden ved aktivering. Ved aktivering af Inergen anlægget aktiveres også brandalarmen og brandvæsnet alarmeres. Kontroller Redundans i forsyningssikkerheden samt udstyr der anvendes, kontrolleres med faste intervaller i kontrollerede forhold, for at sikre at alt fungerer. Side 7

8 Styring af netværk og drift Front-data har opbygget hostingcentret ved hjælp af annerkendte leverandører og teknologier med fokus på en optimal driftssituation for vores kunder. Dette omfatter bla. følgende områder. - Styring af kapacitet: Løbende kontrol og justering af diskplads, netværks og serverressourcer Sikkerhedskopiering: Netværks sikring: - Antivirus Front-data har sikkerhedskopiering af alle databærende servere. Løsningen bygger på en TSM løsning på et revisionserklæret setup. Der er etableret ekstra sikkerhedskopi på ekstern lokation for disaster recovery. Hosting centrets netværk er opbygget med redundante centrale routere, switche og firewalls. Netværket er segmenteret i VLAN s for at opnå kontrol af data udveksling mellem servere. Kunder tilgår hosting centret gennem lukkede VPN netværk fra deres kontor lokationer. Dette kan være via Internet forbindelser eller gennem lukkede MPLS netværk. Der er mulighed for opkobling fra andre netværk ved brug af 3-fakter login, med en Token eller SMS Passcode og SSL som transportkryptering. Al datatrafik mellem Front-data og kunden er krypteret. Alle servere er beskyttet mod vira på flere niveauer, ved anvendelse af antivirus software. Der foretages realtidsscanning af alt indkommende trafik og alle indkomne filer. Realtidsscanningen foretages på samtlige servere i driftsmiljøet. Virusdefinitioner opdateres en gang i døgnet på alle servere. scanningen foretages på dedikerede mailscannere inden s tilgår Front-data og ved afsendelse af mails. - Sikkerhedshåndtering af servere Front-data håndterer sikkerhedsopdateringer af servere udfra en vurdering af de enkelte sikkerheds patches, i forhold til at der forefindes en effektiv skalsikring bestående af flere lag firewall og en opdeling i VLAN. Ved sikkerhedsopdatering tilstræbes altid mindst mulig driftsforstyrrelse på netværket. - Logning og overvågning Fysisk adgang til bygning og mellem sikkerheds zoner logges. Der udføres maskinel overvågning af servere og netværksudstyr. Såfremt der opstår fejl på udstyret alarmeres driftspersonalet. Overvågning af servere foretages som server, applikations og performance overvågning. Serverrum er overvåget i forhold til temperatur, lækager, brandudvikling samt forsyning af strøm. Side 8

9 Adgangsstyring Alle brugere registreres i de Active directory hvortil de er tilknyttet i Front-datas hosting miljø. Der er tildelt administrative rettigheder til medarbejdere ansat i Front-data teknik. Derudover kan der være 3. Parts applikationsansvarlige, som har udvidede rettigheder på en specifik server. I disse tilfælde, er der indgået en 3. Parts aftale mellem Front-data, kunden og applikations leverandøren. Der er opsat regler for styring af brugernes kodeord. Opbevaring af kodeord til Front-datas interne systemer, herunder kodeord der giver fuld adgang til den enkelte kundes Hostede servere, opbevares på et lukket system, som kun kan tilgås med personligt login. Kun medarbejdere i Team teknik har adgang til disse kodeord. Brugere med administrative rettigheder revideres ved ændringer i personalemæssige forhold. Derudover gennemføres gennemgang af omfanget af administrative brugere med faste intervaller. Styring af sikkerhedshændelser Front-data overvåger sikkerhedshændelser som virus udbrud samt de mest kendte angreb fra Internettet. Hvis en trussel konstateres, vurderes alvorligheden af denne. På baggrund af denne vurdering kan Front-data vælge at lukke for adgangen til Internettet indtil truslen er ophørt eller er under kontrol. Ved konstatering af enhver sikkerhedshændelse, skal den tekniske chef underrettes, og der tages på baggrund af hændelsen stilling til hvilken handling der foretages. Sikkerhedshændelser registreres desuden i Front-datas sags styringssystem. Beredskabsstyring Front-data har til mål at højne tilgængeligheden til systemer gennem redundans, benyttelse af anerkendte hardware fabrikater, og gennem faste vedligeholdelses procedurer. Ved driftsmæssige hændelser arbejder Front-data med en graduering af hændelsens alvor og omfang. Ved alvorlige fejl er der etableret faste procedurer for udbedring af fejl, samt informations strategi i forhold til kunder og omverden. Såfremt en hændelse nødvendiggør reetablering arbejder Front-data med reetablering på flere niveauer. - Reetablering af enkelte servere Der kan opstå fatale fejl på servere f.eks. på baggrund af hardware fejl. For alle servere som Front-data har driftsansvar på, findes der en procedure for reetablering - Reetablering af støre dele af Front-datas infrastruktur. Dette kan omfatte vitale dele af infrastrukturen som f.eks. storagesystem eller netværk. Her arbejder Front-data med procedurer for failover, involvering af producenter samt informations strategi. Procedurerne skal sikre hurtigst mulig løsningstid samt at kunder er godt informeret under forløbet. Side 9

10 - Reetablering efter større katastrofer En større katastrofe kan f.eks. være brand eller sabotage som forårsager at en maskinstue bliver beskadiget voldsomt. Her arbejder Front-data med planer for håndtering af situationen. Disse planer omfatter beredskab, involvering af samarbejdspartnere samt informationsstrategi. Komplementerende kontroller Overstående beskrivelse er baseret på ovennævnte ramme, hvilke betyder, at der ikke tages højde for den enkelte kundes aftale. Front-data er ikke ansvarlig for adgangsrettigheder, herunder tildeling, ændring og nedlæggelse, i forhold til den enkelte kundes bruger og deres adgange til såvel operativsystemet, forretningsapplikationer og data. Kunden er selv forpligtiget til, at sikre de nødvendige kontroller i tilknytning til dette kontrolmål. Procedurer og forretningsgange for ændringshåndtering og vedligeholdelse af systemsoftware er ikke omfattet af denne erklæring. Front-datas ansvar omfatter ikke anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer, som ligger over operativsystemet. I tilfælde hvor der er særskilt aftale omkring patch management af operativsystemet, er kontroller afstemt med kravene fra Front-data virksomhedsbeskrivelse. Kunden skal selv sikre de nødvendige kontroller i tilknytning til dette kontrolmål. Kunderne er ansvarlige for datatransmission til Front-data hosting-aktiviteter, og det er kundernes ansvar, at skabe den nødvendige datatransmission til Front-data. Kunden skal selv sikre de nødvendige kontroller i tilknytning til dette kontrolmål. Beredskabsstyring er konstrueret omkring en overordnet beredskabsplan, som beskriver tilgangsmåde og handlinger ved behov for reetablering af hostingcenter. Der kan udarbejdes specifikke beredskabsplaner på den enkelte kunde efter behov i forhold til risiko ved afbrydelse i forretningsprocesser. Side 10

11 Bilag A Front-data har implementere de nødvendige procedurer og kontroller for nedenstående punkter fra ISO: Risikovurdering og håndtering 4.1. Vurdering af sikkerhedsrisici 4.2. Risikohåndtering 5. Overordnede retningslinjer 5.1. Informationssikkerhedsstrategi 6. Organisering af informationssikkerhed 6.1. Interne organisatoriske forhold 6.2. Eksterne samarbejdspartnere 7. Styring af informationsrelaterede aktiver 7.1. Identifikation af og ansvar for informationsrelaterede aktiver 7.2. Klassifikation af informationer og data 8. Medarbejdersikkerhed 8.1. Sikkerhedsprocedure før ansættelse 8.2. Ansættelsesforholdet 8.3. Ansættelsens ophør 9. Fysisk sikkerhed 9.1. Sikre områder 9.2. Beskyttelse af udstyr 10. Styring af netværk og drift Driftsafviklingsprocedurer Funktionsadskillelse Adskillelse mellem udvikling, test og drift Ekstern serviceleverandør Styring af driftsmiljøet Skadevoldende programmer og mobil kode Sikkerhedskopiering Netværkssikkerhed Databærende medier Informationsudveksling Logning og overvågning 11. Adgangsstyring De forretningsmæssige krav til adgangsstyring Administration af brugeradgang Brugernes ansvar Styring af netværksadgang Styring af systemadgang Styring af adgang til brugersystemer og informationer 13. Styring af sikkerhedshændelser Rapportering af sikkerhedshændelser og svagheder Håndtering af sikkerhedsbrud og forbedringer 14. Beredskabsstyring Beredskabsstyring og informationssikkerhed Side 11

12 Kapitel 3: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af de generelle itkontroller, deres udformning og funktionalitet. Til kunder af hosting-aktiviteter hos Front-data Danmark og deres revisorer Omfang Vi har fået som opgave at afgive erklæring om Front-data Danmarks beskrivelse i kapitel 2 (inkl. bilag 1) - beskrivelse af de generelle it-kontroller, som udføres i forbindelse med driften af Front-data Danmarks hosting-aktiviteter til behandling af kunders transaktioner i perioden 1. januar december 2012, og om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Erklæringen er afgivet efter helhedsmetoden og denne erklæring omfatter derfor også de kontroller og kontrolaktiviteter, som er tilknyttet i forbindelse med den fysiske opbevaring af backupdata på sekundær site hos Front-data Danmarks underleverandør. Komplementerende kontroller Erklæringen omfatter ikke de kontroller og kontrolaktiviteter, som udføres i brugervirksomheden jf. virksomhedsbeskrivelsen kapital 2 under afsnittet - komplementerende kontroller. Front-data Danmarks ansvar Front-data Danmark er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udsagn i kapitel 2 (inkl. bilag 1), herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret; for leveringen af de ydelser beskrivelsen omfatter, for at anføre kontrolmålene samt for udformningen, implementeringen og effektivt fungerende kontroller for at nå de anførte kontrolmål. Revisors ansvar Vores ansvar er, på grundlag af vores handlinger, at udtrykke en konklusion om Front-data Danmarks beskrivelse samt om udformningen og funktionen af kontroller, der knytter sig til kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlig henseende er hensigtsmæssigt udformet og fungerer effektivt. En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelse, udformning og funktionalitet af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af Side 12

13 beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som Front-data Danmark har specificeret og beskrevet i kapitel 2 (inkl. bilag 1). Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos Front-data Danmark Front-data Danmarks beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtig efter deres særlige forhold. Endvidere vil kontroller hos Front-data Danmark, som følge af deres art, muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos serviceleverandører kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er kriterier, der er beskrevet i kapitel 1 i ledelsens erklæring. Det er vores opfattelse, at beskrivelsen af de af Front-data Danmarks generelle it-kontroller til hosting-aktiviteter, således som det var udformet og implementeret i hele perioden fra 1. januar december 2012, i alle væsentlige henseender er retvisende, og at kontrollerne, som knyttet sig til de kontrolmål, der anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra 1. januar december 2012, og at de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden fra 1. januar december Vi skal bemærke, at der for de enkelte kunder kan være specifikke forhold, som gør, at den generelle konklusion ikke er dækkende. Hvis det er aftalt mellem kunden og Front-data Danmark, at der udarbejdes en specifik erklæring vedrørende kundens kontrakt, vil forholdene fremgå heraf. Beskrivelse af test kontroller De specifikke kontroller, der er testet, samt arten, den tidsmæssige placering og resultater af disse test fremgår af kapitel 4. Side 13

14 Tiltænkte brugere og formål Denne erklæring og beskrivelsen af test af kontroller under kapital 4 er udelukkende tiltænkt Front-data Danmarks kunder og deres revisorer, som har en tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om kunders egne kontroller, når de vurderer risiciene for væsentlige fejlinformationer i deres regnskaber. København, den 1. marts 2013 RSM plus P/S statsautoriserede revisorer Kim Larsen Statsautoriseret revisor Jesper Aaskov Pedersen Head of IT Assurance & Advisory Side 14

15 Bilag 4: Revisor beskrivelse af kontrolmål, sikkerhedstiltag, test og resultater heraf Vi har struktureret vores arbejde i overensstemmelse med IASE 3402 Erklæring med sikkerhed om kontroller hos en serviceleverandør. For hvert kontrolmål opremser vi først de aktiviteter, som Frontdata Danmark jf. sin dokumentation har iværksat for at leve op til kontrolmålene, dernæst beskriver vi, hvordan vi har valgt at teste, om det forholder sig som beskrevet og endelig hvad resultatet af vores test har været. Hvad angår periode har vi i vores test forholdt os til, om Front-data Danmark har levet op til kontrolmålene i perioden 1. januar 2012 til 31. december Kontrolmål 4: Risikovurdering og -håndtering Risikovurdering skal identificere og prioritere risici med udgangspunkt i driften af hosting-aktiviteter. Resultatet skal bidrage til at fastlægge og prioritere de nødvendige ledelsesindgreb og sikringsforanstaltninger for at imødegå relevante risici. Gennem en risikovurdering er der sket identificering og prioritering af risici. Udgangspunkt for vurderingen er de i beskrivelsen definerede hosting-aktiviteter. Resultatet bidrager til at fastlægge og prioritere de nødvendige ledelsesindgreb og sikringsforanstaltninger for at imødegå relevante risici. Vi har forespurgt og indhentet det relevante materiale ifm. revisionen af risikohåndteringen. Vi har kontrolleret, at der for hostingaktiviteterne arbejdes med en løbende risikovurdering, som opstår som følge af de forretningsmæssige forhold og dennes udvikling. Vi har kontrolleret, at risikovurderingen er forankret ned igennem de organisatoriske forhold. Vi har kontrolleret, at der sker løbende behandling af virksomhedens risikobillede, og med dertil hørende løbende tilpasning af konsekvenser og sandsynlighed. Kontrolmål 5: IT-sikkerhedspolitik Ledelsen skal udarbejde en informationssikkerhedspolitik, som bl.a. skal indeholde ledelsens sikkerhedsmålsætning, -politik og overordnede handlingsplan. Informationssikkerhedspolitikken vedligeholdes under hensyn til den aktuelle risikovurdering. Det er en skriftlig strategi som bl.a. indeholder ledelsens sikkerhedsmålsætning, -politik og overordnede handlingsplan. IT-sikkerhedspolitikken og de tilhørende støttepolitikker er godkendte af virksomhedens ledelse, og efterfølgende forankres ned gennem Vi har indhentet og revideret Front-data Danmark seneste it-sikkerhedspolitik. Igennem revisionen har vi kontrollet, at der sker løbende vedligeholdelse af it-sikkerhedspolitikken, samtidig har vi ved revisionen kontrolleret, at de underliggende støttepolitikker er implementeret. Side 15

16 virksomhedens organisation. Politikken er tilgængelig for alle relevante medarbejdere. Politikken revurderes efter planlagte intervaller. Vi har kontrolleret, at politikken er godkendt og underskrevet af virksomhedens bestyrelse og direktion, og den er gjort tilgængelig for medarbejderne via Front-data Danmark intranettet. Kontrolmål 6: Organisering af Informationssikkerhed Der skal etableres en styring af it-sikkerheden i virksomheden. Der skal være placeret et organisatorisk ansvar for it-sikkerheden med passende forretningsgange og instrukser. Den it-sikkerhedsansvarliges rolle skal bl.a. sikre overholdelse af sikringsforanstaltninger, herunder løbende ajourføring af den overordnede risikovurdering. Eksterne samarbejdspartnere skal overholde virksomhedens fastlagte rammer for it-sikkerhedsniveau. Der er placeret et organisatorisk ansvar for it-sikkerhed, og det er dokumenteret og implementeret. It-sikkerheden er koordineret på tværs af virksomhedens organisatoriske rammer. Der foreligger passende forretningsgange for medarbejdere omkring angivelse af tavshedserklæring. Gennem inspektion og test har vi sikret, at det organisatoriske ansvar for it-sikkerhed er dokumenteret og implementeret. Vi har kontrolleret, at it-sikkerheden er forandret på tværs af organisation i forhold til hostingaktiviteter. Ved interview har vi kontrolleret, at den itsikkerheds-ansvarlige har kendskab til rollen og de tilhørende ansvarsområder. Gennem forespørgsler og stikprøve på ansættelsesaftale har vi kontrolleret, at medarbejdere i Front-data Danmark er bekendte med deres tavshedspligt. Risici i relation til eksterne parter er identificeret, og sikkerhed i aftaler med tredjemand og sikkerhedsforhold i relation til kunder håndteres. Det er kontrolleret, at der findes formelle samarbejdsaftaler i forbindelse med anvendelse af eksterne samarbejdspartnere. Revisionen har stikprøvevis inspiceret, at samarbejdsaftaler med eksterne leverandører overholder kravene omkring afdækning af relevante sikkerhedsforhold i forhold til den enkelte aftale. Kontrolmål 7: Styring af informationsrelaterede aktiver Der skal være sikring og vedligehold af den nødvendige beskyttelse af virksomhedens informationsaktiver, og alle virksomhedens fysiske og funktionsmæssige informationsrelaterede aktiver skal identificeres, og der skal udpeges en ansvarlig ejer. Virksomheden skal sikre, at informationsaktiver i forhold til hosting-aktiviteterne får et passende beskyttelsesniveau. Alle informationsaktiver er identifi- Vi har gennemgået og kontrolleret virksomhe- Side 16

17 ceret, og der er etableret en ajourført fortegnelse over alle væsentlige aktiver. Der er udpeget en ejer for alle væsentlige aktiver i forbindelse med driften af hosting-aktiviteter. dens centrale it-register for væsentlige itenheder i tilknytning til driften af Front-data Danmarks hosting-aktiviteter. Gennem observation og kontrol har vi kontrolleret relationer over til de centrale knowhow systemer for driften hosting-aktiviteter. Vi har ved observationer og forespørgsler kontrolleret, at Front-data Danmark overholder de væsentligste sikringsforanstaltninger for området i henhold til sikkerhedsstandarden. Informationer og data i relation til hosting-aktiviteten og den efterfølgende drift af hostingcenter er klassificeret på grundlag af forretningsmæssig værdi, følsomhed og behovet for fortrolighed. Vi har kontrolleret, at der er passende opdeling og tilhørende procedurer/forretningsgange ifm. beskyttelse omkring ejerskab mellem applikationer og data samt øvrige enheder i forhold til Front-data Danmarks drift af hosting-aktiviteter. Vi har kontrolleret, at kontrakter og SLA anvendes som et centralt værktøj til at sikre definitionen, adskillelse og afgrænsning mellem Frontdata Danmarks ansvarsområder og overgangen til kundens ansvarsområde ifm. adgang til informationer og data. Derved påhviler det typisk kunden et eget ansvar for at sikre, at der er et passende beskyttelsesniveau på egne informationer og data. Kontrolmål 8: Medarbejdersikkerhed Der skal sikring, således at alle nye medarbejdere er opmærksomme på deres særlige ansvar og rolle i forbindelse med virksomhedens informationssikkerhed for derigennem at minimere risikoen for menneskelige fejl, tyveri, svindel og misbrug af virksomhedens informationsaktiver. Via fastlagte arbejdsprocesser og procedurer er det sikret, at alle nye medarbejdere får oplyst deres særlige ansvar og rolle i forbindelse med ansættelse i Front-data Danmark. Herunder de fastlagte rammer for deres arbejde og den omkringliggende it-sikkerhed. Eventuelle sikkerhedsansvar er fastlagt, og nærmere beskrevet gennem stillingsbeskrivelse og i form af vilkår i ansættelseskontrakten. Medarbejderne er bekendte med deres tavshedspligt via en underskrevet ansættelseskontrakt og via Front-data Danmarks personalepolitik. Vi har kontrolleret, at de af ledelsen udarbejdede forretningsgange og procedurer i forbindelse med ansættelse og ansættelsesophør er overholdt. Gennem stikprøve har vi testet om ovenstående forretningsgange og procedurer er overholdt både i forhold til ansættelse og ansættelsesophør. Ved interview har vi kontrolleret at væsentlige medarbejdere for hosting-aktiviteten er bekendt med deres tavshedspligt. Vi har gennemgået centrale medarbejderes stillingsbeskrivelser, og efterfølgende testet den enkelte medarbejders kendskab til arbejdsmæssige roller og tilhørende sikkerhedsansvar. Revision har påset, at Front-data Danmarks personalepolitik er nemt tilgængelig, og har et afsnit omkring vilkår for fortrolighed, som følge af information opnået ifm. arbejde udført hos Front-data Danmark. Side 17

18 Kontrolmål 9: Fysisk sikkerhed Der skal være beskyttelse af virksomhedens lokaler og informationsaktiver mod uautoriseret fysisk adgang samt fysiske skader og forstyrrelser. Der skal opbygges sikkerhedstiltag, som sikrer, at der undgås tab af, skader på eller kompromittering af virksomhedens informationsaktiver samt forstyrrelser af virksomhedens forretningsaktiviteter. Beskyttelsesforanstaltningerne skal også omfatte destruktion af forældet eller beskadiget udstyr samt nødvendige forsyninger som el, vand og ventilation samt kabelinstallationer. Der er etableret en sikker fysisk afgrænsning, som beskytter de områder, hvorfra hosting-aktiviteter driftes. De sikre områder er beskyttet med adgangskontrol, så kun autoriserede personer kan få adgang. Der er etableret overvågning af områder til af- og pålæsning samt øvrige områder, hvortil offentligheden har adgang. Udstyr som er placeret i datacenter beskyttes mod fysiske trusler såsom brand, vandskade, strømafbrydelse, tyveri eller hærværk. Datacenteret er sikret mod forsyningssvigt som elektricitet, vand, varme og ventilation. Der er installeret udstyr til overvågning af indeklima, såsom luftfugtighed. Kabler til brug for datakommunikation og elforsyning er beskyttet imod uautoriserede indgreb. Udstyret til brug for hostingaktiviteten vedligeholdes efter for- Jf. serviceleverandørers beskrivelse er den fysiske adgangssikkerhed bl.a. gennemgået og kontrolleret med udgangspunkt i de af ledelsen fastsatte krav jf. Front-data Danmarks Hosting Facility beskrivelse version 2.6. Vi har gennemgået og kontrolleret de fysiske adgange til datacenter, som bl.a. sikres via et elektronisk nøglesystem kombineret med et biometrisk genkendelsessystem, som sikrer begrænset adgang til Front-data Danmarks datacenter. Via besøg, interview, observation og kontrol er det kontrolleret, at adgangen til Front-data Danmarks datacenter er i overensstemmelse med ovenstående forretningsgange omkring adgangsbegrænsning. Vi har stikprøvevis gennemgået procedurer for fysisk sikkerhed vedrørende sikrede områder for at vurdere, om adgang til disse områder forudsætter dokumenteret ledelsesmæssig godkendelse, samt at personer uden godkendelse til sikrede områder skal registreres og ledsages af medarbejder med behørig godkendelse. Vi har stikprøvevis gennemgået medarbejdere med adgang til sikre områder og påset, at de er oprettet i henhold til de fastlagte procedurer. Vi har gennemgået og kontrolleret, at Front-data Danmarks datacenter overholder de af ledelsen fastsatte krav jf. Front-data Danmarks Hosting Facility beskrivelse version 2.6. Revisionen har kontrolleret overholdelsen af de nødvendige sikringsforanstaltninger jf. ISO afsnit 9 i forholdene til beskyttelse mod skader, forårsaget af fysiske forhold som f.eks. brand, vandskade, strømafbrydelse, tyveri eller hærværk. Konkret har vi: påset tilstedeværelse af brandbekæmpelsessystemer og køling i datacenter. gennemgået og kontrolleret dokumentation for vedligeholdelse til bekræftelse af, at UPS og dieselgenerator løbende vedligeholdes og testes. Side 18

19 skrifterne for at sikre dets tilgængelighed og pålidelighed. Det udstyr, der benyttes uden for datacenteret, beskyttes efter samme retningslinjer, som gælder for udstyr inden i datacenter, under hensyntagen til de særlige risici ved ekstern anvendelse. Alt udstyr med lagringsmedier kontrolleres for at sikre, at kritiske/følsomme informationer og licensbelagte systemer er fjernet eller overskrevet, når udstyret bortskaffes eller genbruges. observeret under besøg i datacenter, at der foretages monitering af UPS og dieselgenerator. påset tilstedeværelse af udstyr til overvågning af indeklima i datacentre. påset sikring af kabler for datakommunikation og elforsyning. stikprøvevis gennemgået dokumentationen for vedligeholdelse af udstyr til beskyttelse med fysiske trusler sker ved løbende vedligeholdelse. gennemgået og kontrolleret de af ledelsen udarbejdede procedurer til bortskaffelse af udstyr tilknyttet driften af hosting-aktiviteten. I forbindelse med anvendelse af datacenter 2 skal sikkerhedstiltagende være ligestillet med kravene til Front-data Danmarks eget datacenter. Gennem revision har vi testet, at datacenter 2 indeholder og overholder de samme tiltag for Front-data Danmarks eget datacenter. Til grundlag for revisionen har vi bl.a. gennemgået revisionserklæringen for datacenter 2. Overordnede kontrolmål 10: Styring af netværk og drift Kontrolmål: Operationelle procedurer og ansvarsområder At sikre en korrekt og betryggende driftsafvikling af virksomhedens styresystemer. Der er dokumenteret driftsafviklingsprocedure for forretningskritiske systemer og de er tilgængelige for personale med et arbejdsbetinget behov. Ledelsen har implementeret politikker og procedurer til sikring af tilfredsstillende funktionsadskillelse. Vi har: forespurgt ledelsen om alle relevante driftsprocedurer er dokumenteret. i forbindelse med revision af de enkelte driftsområder kontrolleret, at der foreligger dokumenterede procedurer, samt at der er overensstemmelse mellem dokumentationen og de handlinger, som faktisk udføres. foretaget inspektion af brugere med administrative rettigheder, til verificering af at adgange er begrundet i et arbejdsbetinget behov og ikke kompromitterer funktionsadskillelsen. Side 19

20 Overordnede kontrolmål 10: Styring af netværk og drift Kontrolmål: Kapacitetsstyring At minimere risikoen for teknisk betingede nedbrud. En vis grad af langtidsplanlægning er påkrævet for at sikre tilstrækkelig kapacitet. Der skal derfor foretages en løbende kapacitetsfremskrivning baseret på de forretningsmæssige forventninger til vækst og nye aktiviteter og de heraf afledte kapacitetskrav. Der er etableret en styring af driftsmiljøet for at minimere risikoen for teknisk betingede nedbrud. Der foretages en løbende kapacitetsfremskrivning baseret på de forretningsmæssige forventninger til vækst og nye aktiviteter og de heraf afledte kapacitetskrav. Vi har: forespurgt ledelsen om de procedurer/ kontrolaktiviteter, der udføres. stikprøvevist gennemgået, at ressourceforbruget i driftsmiljøet bliver overvåget og tilpasset i forhold til det forventede og nødvendige kapacitetsbehov. Overordnede kontrolmål 10: Styring af netværk og drift Kontrolmål: Skadevoldende programmer At beskytte mod skadevoldende programmer, som eksempelvis virus, orme, trojanske heste og logiske bomber. Der skal træffes foranstaltninger til at forhindre og konstatere angreb af skadevoldende programmer. Der er etableret både forebyggende, opklarende og udbedrende sikrings- og kontrolforanstaltninger, herunder den nødvendige uddannelses- og oplysningsindsats for virksomhedens brugere af informationssystemer mod skadevoldende programmer. Vi har: forespurgt og inspiceret de procedurer/ kontrolaktiviteter, der udføres i tilfælde af virusangreb eller udbrud. forespurgt og inspiceret de aktiviteter, som skal gøre medarbejdere opmærksomme på forholdsregler ved virusangreb eller udbrud. kontrolleret at servere har installeret antivirusprogrammer, inspiceret signaturfiler, der dokumenterer, at de er opdateret. Overordnede kontrolmål 10: Styring af netværk og drift Kontrolmål: Sikkerhedskopiering At sikre den ønskede tilgængelighed til virksomhedens informationsaktiver. Der skal være etableret faste procedurer for sikkerhedskopiering og løbende afprøvning af kopiernes anvendelighed. Front-datas kontroller Test/ revisionshandlinger Resultat af test Der foretages sikkerhedskopiering af alle virksomhedens væsentlige informationsaktiver, herunder eksempelvis parameteropsætninger og anden driftskritisk dokumentati- Vi har: forespurgt ledelsen om de procedurer/ kontrolaktiviteter, der udføres. stikprøvevist gennemgået backupprocedurer, til bekræftelse af at de er formelt doku- Side 20

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

FRONT-DATA DANMARK A/S

FRONT-DATA DANMARK A/S MARTS 2014 FRONT-DATA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-data Danmarks hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

ISAE 3402 TYPE 2 ERKLÆRING

ISAE 3402 TYPE 2 ERKLÆRING JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2014 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING APRIL 2014 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

FRONT-DATA DANMARK A/S

FRONT-DATA DANMARK A/S FEBRUAR 2016 FRONT-DATA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-data Danmarks hostingaktiviteter. RSM plus P/S

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING FEBRUAR 2015 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING JUNI 2015 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013 Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Zentura IT A/S CVR-nr. 32 89 08 06

Zentura IT A/S CVR-nr. 32 89 08 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32

Læs mere

LINK MOBILE A/S ISAE 3402 TYPE 2 ERKLÆRING. Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service.

LINK MOBILE A/S ISAE 3402 TYPE 2 ERKLÆRING. Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. JUNI 2016 LINK MOBILE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. Beierholm Statsautoriseret Revisionspartnerselskab

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter www.pwc.dk Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Januar 2016 Indhold 1. Ledelsens udtalelse 3 2.

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 Februar 2015 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

A/S it-drift og hostingaktiviteter

A/S it-drift og hostingaktiviteter www.pwc.dk Januar 2015 Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle itkontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Indhold 1. Ledelsens erklæring 3 2. Outforce

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

INFORMATIONS- SIKKERHEDS- POLITIK

INFORMATIONS- SIKKERHEDS- POLITIK INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING JANUAR 2016 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser www.pwc.dk Athena IT-Group Erklæring fra uafhængig revisor vedrørende generelle itkontroller for Athena IT-Group A/S' driftsydelser Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S' beskrivelse

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser April 2013 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

Sotea A/S 19. april 2016 version 1.0 1

Sotea A/S 19. april 2016 version 1.0 1 version 1.0 1 1.... 3 2.... 3 3.... 4 4.... 5 5.... 5 6.... 6 7.... 6 version 1.0 2 1. Nærværende Service Level Agreement dokumenterer det aftalte serviceniveau, og beskriver kundens garanti i forbindelse

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING JANUAR 2017

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING JANUAR 2017 JANUAR 2017 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Multihouses hostingaktiviteter. Beierholm Statsautoriseret Revisionspartnerselskab

Læs mere

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde DS 484 Den fællesstatslige standard for informationssikkerhed Sikkerhedsaspekter ved Mobilitet og Distancearbejde * Velkomst og dagens program Hvorfor er vi her Dagens formål og succeskriterier Disponeringen

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

SLA Service Level Agreement

SLA Service Level Agreement SLA Service Level Agreement Indholdsfortegnelse 1 Service Level Agreement... 1 2 Driftsvindue og oppetid... 1 2.1 Servicevindue... 1 2.1.1 Ekstraordinær service... 1 2.1.2 Patch Management... 1 2.1.3 Åbningstid...

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

any.cloud A/S CVR nr.: DK 31161509

any.cloud A/S CVR nr.: DK 31161509 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-12-2013 til 30-11-2014 any.cloud A/S CVR nr.:

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker 5. 1. Retningslinjer for styring af informationssikkerhed 5. 1. 1. Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede

Læs mere

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009 It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v.

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v. S E R V I C E L E V E L A G R E E M E N T for Netgroups levering af IT-ydelser m.v. Netgroup A/S Store Kongensgade 40 H 1264 København K CVR-nr.: 26 09 35 03 ( Netgroup ) Version 4.4 1. Forudsætninger...

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Business Data A/S Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Version 3.0.1 (senest redigeret 20. november 2014) Indhold 1. Generelt... 2 2. Definitioner...

Læs mere

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser iodc (In & Outbound Datacenter) Hvidovrevej 80D 2610 Rødovre CVR 35963634 ( IODC ) Version 1.0 1 1. Forudsætninger... 3 2. Ansvar

Læs mere

A/S SCANNET Service Level Agreement

A/S SCANNET Service Level Agreement A/S SCANNET Service Level Agreement Outsourcing, server og webhosting INDHOLD 1. GENERELT...1 1.1 STANDARDER & DEFINITIONER...1 2. DRIFTSVINDUE & OPPETID...2 2.1 SERVICEVINDUE...2 2.2 EKSTRAORDINÆR SERVICE...2

Læs mere

"SAP" betyder det SAP-selskab, med hvem du indgik kontrakt om tjenesten.

SAP betyder det SAP-selskab, med hvem du indgik kontrakt om tjenesten. Serviceaftaleprogram for Ariba Cloud Services Garanti for Tjenestens tilgængelighed Sikkerhed Diverse 1. Garanti for Tjenestens tilgængelighed a. Anvendelighed. Garantien for tjenestens tilgængelighed

Læs mere

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds

Læs mere

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-12-2014 til 30-11-2015 ISAE 3402-II any.cloud

Læs mere

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren)

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) Vilkår for hosting 6. revision 7. maj 2005 CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) CompuSoft A/S, Anderupvej 16, DK 5270 Odense N, Tlf. +45 6318

Læs mere

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for Indholdsfortegnelse Side 1. Indledning 4 1.1 Formål med informationssikkerhedspolitikken 4 1.2 Hovedmålsætninger i informationssikkerhedspolitikken 4

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Aftalevilkår er gældende fra januar 2016. Telefon: E-mail: Web: 8742 8000 support@nhc.dk Silkeborg 2016 Dokumentversion: Dato: Oprettet af: Ændret af: Seneste ændring: 1.1

Læs mere

VORES DATACENTER, NETVÆRK og

VORES DATACENTER, NETVÆRK og PRÆSENTATION AF : VORES DATACENTER, NETVÆRK og sikringsforanstaltninger Vi driver og vedligeholder vores eget topmoderne datacenter. Centeret er grundstenen i vores forretning, da det aktualiserer muligheden

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31.

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31. Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til drifts- og hosting-ydelser for 1. januar 2014 til 31. december 2014 Indholdsfortegnelse Ledelsens

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2013 August 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 15. august 2014 Formål Vi har i perioden

Læs mere

Service Level Agreement

Service Level Agreement Service Level Agreement Dette dokument vil gennemgå de serviceforpligtelser, som leverandøren har til kunden i forbindelse med en købsaftale, forudsat der specifikt er henvist til den korrekte versionering

Læs mere

POLITIK FOR INFORMATIONSSIKKERHED

POLITIK FOR INFORMATIONSSIKKERHED POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af

Læs mere