Front-data Danmark A/S

Størrelse: px
Starte visningen fra side:

Download "Front-data Danmark A/S"

Transkript

1 Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København V Tlf.: (+45) , Fax: (+45) CVR-nr (Hjemsted: København) Afdelinger i: Aalborg, Holstebro, Kolding, København, Odense, Skærbæk, Vordingborg og Århus RSM plus er et selvstændigt medlem af RSM International, en uafhængig kæde af selvstændige revisions- og konsulentfirmaer med kontorer i mere end 70 lande

2 Kapitel 1: Front-data Danmarks beskrivelse af de generelle it-kontroller Virksomhedens beskrivelse Front-data har eksisteret siden 1990 og er i dag en velkonsolideret virksomhed med omkring 30 kompetente medarbejdere. Vi er AAA-rated af Soliditet som et bevis på, at vi er en sund virksomhed. Front-data holder til i udkanten af Århus i et moderne byggeri, som er etableret med et nyt og sikkert hostingcenter. Vi har de bedste forudsætninger for at levere høj sikkerhed og stabilitet i den IT-drift, vi håndterer for vores kunder. Vi laver IT outsourcing for et bredt udsnit af virksomheder i Danmark, Norden og på Grønland samt filialer og datterselskaber i resten af verden. Vores mål er at have et tæt forhold til vores kunder, som gør at vi forstår deres IT behov, således vi kan understøtte deres forretning bedst muligt. Vores koncept er at levere en total IT løsning til vores kunder, og agerer som var vi kundens egen IT afdeling. Løsningerne bliver skræddersyet til den enkelte kunde, men alle elementer er opbygget udfra vores udviklede standarder. Dette optimerer mulighederne for høj tilgængelighed og god support. IT Sikkerhed Front-data betragter IT sikkerhed som et vigtigt element i at levere en professionel hosting ydelse. Kunderne ligger ansvaret for håndtering og opbevaring af fortrolige og forretnings kritiske data hos os. Dette ansvar stiller krav til en høj grad af sikkerhed. Front-datas målsætning indenfor IT-sikkerhed er: - Sikre en god fysisk sikkerhed - Sikre data fortrolighed og integritet - Sikre mulighed for genetablering af data og systemer - Sikre høj tilgængelighed Måden Front-data har valgt at arbejde med IT-sikkerhed, er at vi gennem redundant opbygning af infrastruktur, kombineret med fastlagte retningslinjer, procedurer og kontroller opretholder hostingcentret i en tilstand hvor sikkerhed og tilgængelighed er optimalt. Den redundante opbygning af hosting centret omfatter: - 2 serverrum med separat forsyning og i adskilte brandceller - Forsynings sikkerhed (strøm, netværk) - Køling af serverrum - Redundering af centrale funktioner i netværks og infrastruktur Side 2

3 For at sikre forankring af IT-sikkerheden, har vi valgt at arbejde med en IT-sikkerhedspolitik. IT sikkerhedspolitikken har vi opbygget med DS484, som er en dansk Standard inden for informationssikkerhed, som referenceramme. Front-datas IT sikkerhedspolitik er underbygget af en række procedurer og kontroller, som er implementeret hos virksomhedens medarbejdere. Omfang af revision Revisionserklæringen dækker Front-datas IT sikkerhedspolitik version 5.0. Organisering af informationssikkerhed IT sikkerhed har ledelsens fokus i Front-data. Ansvaret er forankret hos den tekniske chef med opbakning fra direktion og den øvrige ledergruppe. Dette omfatter: At relevante sikkerhedsinitiativer aktivt støttes At de nødvendige ressourcer afsættes for at kunne overholde IT-sikkerhedspolitikken At deltage aktivt i den tværorganisatoriske implementering af IT-sikkerhedspolitikken Ledelsen vurderer endvidere løbende behov for ekstern rådgivning ud fra en realistisk bedømmelse af Front-datas egne erfaringer og kompetencer på IT-sikkerhedsområdet. Medarbejdersikkerhed Alle medarbejdere i Front-data er opmærksomme på at IT sikkerhed er en vigtig komponent i deres daglige arbejde. De skal kende deres ansvar og rolle i forbindelse med IT sikkerhed for derigennem at minimere risikoen for menneskelige fejl, tyveri, svindel og misbrug af informationsaktiver. IT-sikkerhedsansvaret er fastlagt gennem diverse materiale: Ansættelsesaftale Ansættelsesvilkår Stillings- og jobbeskrivelse IT sikkerhedspolitik Medarbejdere der anvender Front-datas IT-systemer, har underskrevet en tavshedserklæring i forbindelse med ansættelsen. Styring af informationsrelaterede aktiver Front-datas kunder har ejerskabet af egne data, og kan få dem udleveret efter ønske. Licensejerskab er specificeret i den indgåede hostingaftale, hvor det er specificeret hvilke licenser kunden er ansvarlig for, samt hvilke Front-data er ansvarlig for. Adgang til data og applikationer er opsat af Front-data udfra kundens krav. Side 3

4 Oprettelse, ændringer eller sletninger af brugere udføres kun efter skriftlig henvendelse til Front-data s support, fra personer hos kunden som er bemyndiget til dette. Fysisk sikkerhed Front-datas bygning har åbne yderdøre fra mandag til fredag fra kl. 08:15 til kl. 16:00. Udenfor dette tidsrum er dørene låste, og hvis bygningen ikke er bemandet er alarmsystem og røgsikringssystem tilkoblet. Alle Front-data medarbejdere er udstyret med et adgangskort med kode, som er nødvendig for betjening af alarmanlæg og adgang til bygningen. Adgangskortet bruges desuden inde i bygningen, i forhold til at bevæge sig mellem de forskellige sikkerhedszoner bygningen er opdelt i. Bygningen består af fire sikkerhedszoner hvor sikkerhedszone 4, som omfatter serverrum, er den mest restriktive. I denne zone er der kun tilladt adgang for personale som har en clearing til at komme i serverrummene. Alt serverudstyr og infrastruktur er placeret i sikre serverrum. Serverrummene er opbygget som selvstændige sikkerhedsceller, som udgør separate brandceller. Disse kan køre uafhængigt af hinanden. Alle servere og infrastruktur er koblet til strøm via et redundant opbygget UPS system med tilstrækkelig kapacitet til minimum 10 minutters drift ved strømudfald. For at undgå driftsforstyrrelser som følge af længerevarende strømafbrydelser, er der installeret diesel drevet nødstrøms generator, som har kapacitet til at drive hostingcentret incl. kontor lokaler. Primære datalinjer er etableret som redundante linjer. Disse linjer er fremført som uafhængige fibre til 2 forskellige TDC centraler. Beskyttelse mod eksterne trusler Front-datas alarmoplæg er opsat så der alarmeres til et eksternt vagtfirma, såfremt uautoriseret adgang tiltvinges eller ved sabotage. Når alarmen går, er der opsat røgsystem, som fylder gangarealerne med røg. Køl Køling er etableret med et antal uafhængige kølesystemer, som er redundante. Der er etableret Miljø Overvågning, som konsoliderer måling af temperatur, fugtighed, lækage, strømforbrug pr rack, strømforbrug i alt, status på UPS, kølekapacitet, køleforbrug og status på brandslukningsudstyr. Ud over miljø statistikker gives der alarm på hændelser via og SMS. Side 4

5 Køleanlægget er designet ud fra N+2 princippet, hvilket betyder at serverrummet stadig nedkøles såfremt 2 køleenheder skulle blive defekte. Brand Samtlige Front-datas serverrum er beskyttet af inergen brandbekæmpelsesanlæg. Inergen anlægget reagerer på partikelændringer i luften og slukker ilden ved aktivering. Ved aktivering af Inergen anlægget aktiveres også brandalarmen og brandvæsnet alarmeres. Kontroller Redundans i forsyningssikkerheden samt udstyr der anvendes, kontrolleres med faste intervaller i kontrollerede forhold, for at sikre at alt fungerer. Styring af netværk og drift Front-data har opbygget hostingcentret ved hjælp af annerkendte leverandører og teknologier med fokus på en optimal driftssituation for vores kunder. Dette omfatter bl.a. følgende områder. - Styring af kapacitet Løbende kontrol og justering af diskplads, netværks og serverressourcer - Sikkerhedskopiering Front-data har sikkerhedskopiering af alle databærende servere. Løsningen bygger på en TSM løsning på et revisionserklæret setup. Der er etableret ekstra sikkerhedskopi på ekstern lokation for disaster recovery. - Netværks sikring Hosting centrets netværk er opbygget med redundante centrale routere, switche og firewalls. Netværket er segmenteret i VLAN s for at opnå kontrol af data udveksling mellem servere. Kunder tilgår hosting centret gennem lukkede VPN netværk fra deres kontor lokationer. Dette kan være via Internet forbindelser eller gennem lukkede MPLS netværk. Der er mulighed for opkobling fra andre netværk ved brug af 3-fakter login, med en Token eller SMS Passcode og SSL som transportkryptering. Al datatrafik mellem Front-data og kunden er krypteret. - Antivirus Alle servere er beskyttet mod vira på flere niveauer, ved anvendelse af antivirus software. Der foretages realtidsscanning af alt indkommende trafik og alle indkomne filer. Realtidsscanningen foretages på samtlige servere i driftsmiljøet. Virusdefinitioner opdateres en gang i døgnet på alle servere. scanningen foretages på dedikerede mailscannere inden s tilgår Frontdata og ved afsendelse af mails. Side 5

6 - Sikkerhedshåndtering af servere Front-data håndterer sikkerhedsopdateringer af servere udfra en vurdering af de enkelte sikkerheds patches, i forhold til at der forefindes en effektiv skalsikring bestående af flere lag firewall og en opdeling i VLAN. Ved sikkerhedsopdatering tilstræbes altid mindst mulig driftsforstyrrelse på netværket. - Logning og overvågning o Fysisk adgang til bygning og mellem sikkerheds zoner logges. o Der udføres maskinel overvågning af servere og netværksudstyr. Såfremt der opstår fejl på udstyret alarmeres driftspersonalet. Overvågning af servere foretages som server, applikations og performance overvågning. o Serverrum er overvåget i forhold til temperatur, lækager, brandudvikling samt forsyning af strøm. Adgangsstyring Alle brugere registreres i de Active directory hvortil de er tilknyttet i Front-datas hosting miljø. Der er tildelt administrative rettigheder til medarbejdere ansat i Front-data teknik. Derudover kan der være 3. Parts applikationsansvarlige, som har udvidede rettigheder på en specifik server. I disse tilfælde, er der indgået en 3. Parts aftale mellem Front-data, kunden og applikations leverandøren. Der er opsat regler for styring af brugernes kodeord. Opbevaring af kodeord til Front-datas interne systemer, herunder kodeord der giver fuld adgang til den enkelte kundes Hostede servere, opbevares på et lukket system, som kun kan tilgås med personligt login. Kun medarbejdere i Team teknik har adgang til disse kodeord. Brugere med administrative rettigheder revideres ved ændringer i personalemæssige forhold. Derudover gennemføres gennemgang af omfanget af administrative brugere med faste intervaller. Styring af sikkerhedshændelser Front-data overvåger sikkerhedshændelser som virus udbrud samt de mest kendte angreb fra Internettet. Hvis en trussel konstateres, vurderes alvorligheden af denne. På baggrund af denne vurdering kan Front-data vælge at lukke for adgangen til Internettet indtil truslen er ophørt eller er under kontrol. Ved konstatering af enhver sikkerhedshændelse, skal den tekniske chef underrettes, og der tages på baggrund af hændelsen stilling til hvilken handling der foretages. Sikkerhedshændelser registreres desuden i Front-datas sags styringssystem. Side 6

7 Beredskabsstyring Front-data har til mål at højne tilgængeligheden til systemer gennem redundans, benyttelse af anerkendte hardware fabrikater, og gennem faste vedligeholdelses procedurer. Ved driftsmæssige hændelser arbejder Front-data med en graduering af hændelsens alvor og omfang. Ved alvorlige fejl er der etableret faste procedurer for udbedring af fejl, samt informations strategi i forhold til kunder og omverden. Såfremt en hændelse nødvendiggør reetablering arbejder Front-data med reetablering på flere niveauer. - Reetablering af enkelte servere Der kan opstå fatale fejl på servere f.eks. på baggrund af hardware fejl. For alle servere som Front-data har driftsansvar på, findes der en procedure for reetablering - Reetablering af større dele af Front-datas infrastruktur. Dette kan omfatte vitale dele af infrastrukturen som f.eks. storagesystem eller netværk. Her arbejder Front-data med procedurer for failover, involvering af producenter samt informations strategi. Procedurerne skal sikre hurtigst mulig løsningstid samt at kunder er godt informeret under forløbet. - Reetablering efter større katastrofer En større katastrofe kan f.eks. være brand eller sabotage som forårsager at en maskinstue bliver beskadiget voldsomt. Her arbejder Front-data med planer for håndtering af situationen. Disse planer omfatter beredskab, involvering af samarbejdspartnere samt informationsstrategi. 30/ Side 7

8 Kapitel 2 - uafhængig revisors erklæring med sikkerhed om beskrivelsen af de generelle it-kontroller, deres udformning og funktionalitet. Til brugerne af hostingcenter hos Front-data Danmark og deres revisorer Omfang Vi har fået som opgave at afgive erklæring om Front-data Danmarks beskrivelse i kapitel 1 - beskrivelse af de generelle it-kontroller, er tilrettelagt på en hensigtsmæssig måde og i overensstemmelse med standardaftalerne, som udføres i forbindelse med driften af Front-data Danmarks hostingcenter. Vores revision er baseret på ovennævnte, hvilke betyder, at der ikke tages højde for den enkelte kundes aftale. Brugerne af hostingcenter er ansvarlige for at skabe datatransmission til Front-data Danmark. Vort arbejde omfatter ikke test af de kontroller, som sikrer fortrolighed, integritet og tilgængelighed i forbindelse med datatransporten mellem brugerne og Front-data Danmark. Vort arbejde er udelukkende gennemført ved forespørgsler, observationer og undersøgelser af modtaget materiale. Procedurer og forretningsgange for ændringshåndtering og vedligeholdelse af systemsoftware er opbygget på en vurdering fra Front-data Danmark, baseret på den enkelt hostede platform som helhed. Beredskabsstyring er konstrueret omkring en overordnet beredskabsplan, som beskriver tilgangsmåde og handlinger ved behov for reetablering af hostingcenter. Der kan udarbejdes specifikke beredskabsplaner på den enkelte kunde efter behov i forhold til risiko ved afbrydelse i forretningsprocesser. Revisionen er baseret på stikprøver af de enkelte platforme, som medvirker til at understøtte driften af hostingcenter. Erklæringen dækker perioden 1. januar december 2011, og om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Front-data Danmarks ansvar Front-data Danmark er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udsagn i kapitel 1, herunder fundstædigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret; for leveringen af de ydelser beskrivelsen omfatter, for at anføre kontrolmålene samt for udformningen, implementeringen og effektivt fungerende kontroller for at nå de anførte kontrolmål. Side 8

9 Front data Danmarks revisors ansvar Vores ansvar er, på grundlag af vores handlinger, at udtrykke en konklusion om Front-data Danmarks beskrivelse samt om udformningen og funktionen af kontroller, der knytter sig til kontrolmål, der anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse mede ISAE 3402, Erklæringen med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlig henseende er hensigtsmæssigt udformet og funger effektivt. En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelse, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i kapitel 1. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos serviceleverandør Front-data Danmarks beskrivelse er udarbejdet for at opfylde de almindelige behov hos bred kreds af kunder og deres revisorer om omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtigt efter deres særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller opdage fejl eller udeladelser ved behandlingen eller rapportingen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos serviceleverandør kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er kriterier, der er beskrevet i kapitel 1 under referenceramme for it-sikkerhed. Side 9

10 Det er vores opfattelse, at beskrivelsen af de Front-data Danmarks generelle it-kontroller i tilknytning til hostingcenter, som er udformet og implementeret i hele perioden fra 1. januar december 2011, i alle væsentlige henseender er retvisende, og at kontrollerne, som knyttet sig til de kontrolmål, der anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra 1. januar december 2011, og at de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret i hele perioden fra 1. januar december Beskrivelse af test kontroller De specifikke kontroller, der testet, samt arten, den tidsmæssige placering og resultater af disse test fremgår af kapitel 3. Tiltænkte brugere og formål Denne erklæring og beskrivelsen af test af kontroller under kapital 3 er udelukkende tiltænkt Front-data Danmarks kunder, som har en tilstrækkelig forståelse til at overveje den samme med anden information, herunder information om kunders egen kontroller, når de vurderer risiciene for væsentlige fejlinformationer i deres regnskaber. København, den 4. april 2012 R s Kim Larsen statsautoriseret revisor Side 10

11 Kapitel 3 - test af kontroller, der er udført, og tilknyttede resultater Nedenfor er oplistet de kontrolmål, som er gennemgået som led i vores arbejde, samt de tilknyttede testplan/ arbejdshandlinger samt testresultat. Risikovurdering og -håndtering Front-data Danmark skal igennem en risikovurdering identificere og prioritere risici med udgangspunkt i driften af hostingcenter. Resultatet skal bidrage til at fastlægge og prioritere de nødvendige ledelsesindgreb og sikringsforanstaltninger for at imødegå relevante risici. Vi har kontrolleret, at der for hostingcentrets arbejdes med en løbende risikovurdering, som opstår som følge af de forretningsmæssige forhold og dennes udvikling. Vi har kontrolleret, at risikovurderingen er forankret ned igennem de organisatoriske forhold. Overordnede retningslinjer Det skal være en strategi som bl.a. skal indeholde ledelsens sikkerhedsmålsætning, -politik og overordnede handlingsplan. Vi har kontrolleret, at der sker løbende vedligeholdelse af virksomhedens centrale it-sikkerhedspolitik, samtidig har revisionen afdækket, at de underliggende procedurer og retningslinjer er implementeret i Front-data Danmarks forretningsgange. Organisering af informationssikkerhed Der skal være etableret passende funktionsadskillelse i og omkring it-funktionerne, herunder mellem udvikling, drift samt brugerfunktioner. Vi har kontrolleret, at der opretholdes tilstrækkelig funktionsadskillelse mellem de forskellige arbejdsfunktioner af den drift, der udføres af Front-data Danmark. Side 11

12 Styring af informationsrelaterede aktiver Der skal være identifikation af og ansvar for informationsrelaterede aktiver, som sikrer og vedligeholder den nødvendige beskyttelse af virksomhedens informationsaktiver. Vi har kontrolleret, at der er en passende opdeling og klassifikation i forhold til ejerskab mellem applikationer og data samt øvrige enheder i forhold til driften af hostingcenter. Medarbejdersikkerhed Igennem fastlagte arbejdsprocesser og procedurer skal det sikres, at alle nye medarbejdere får oplyst deres særlige ansvar og rolle i forbindelse med Front-data Danmarks arbejde og forhold til it-sikkerhed. Sikkerhedsansvar skal være fastlagt, og nærmere beskrevet gennem stillingsbeskrivelse og i form af vilkår i ansættelseskontrakten. Vi har kontrolleret, at de af ledelsen udarbejdet forretningsgange og procedurer er overholdt. Fysisk sikkerhed Der skal være etableret fornøden beskyttelse mod skader forårsaget af f.eks. brand, vandskade, strømafbrydelse, tyveri eller hærværk. Vi har gennemgået den fysiske sikkerhed vedrørende systemer, som er placeret hos Front-data Danmark, og vi har påset, at der er etableret fornøden beskyttelse mod bl.a. brand, vandskade, strømafbrydelse, tyveri og hærværk. Vi har kontrolleret, at de fysiske adgange til systemer og data, som er placeret hos Front-data Danmark, sikres via et elektronisk nøglesystem, der bl.a. logger alle adgange til serverrummet. Side 12

13 Styring af netværk og drift Der skal være etableret passende forretningsgange og kontroller vedrørende drift, herunder overvågning, registrering og opfølgning på relevante hændelser. Vi har kontrolleret, at der foreligger tilstrækkelige procedurer for driftsafviklingen af hostingcenter samt stikprøvevis testet, at procedurerne efterleves. Det er endvidere påset, at der foretages passende overvågning af driften. Datakommunikation Datakommunikation skal være tilrettelagt på en hensigtsmæssig måde og samtidig skal opbygningen sikre mod risiko for tab af autenticitet, integritet, uafviselighed/sporbarhed, tilgængelighed samt fortrolighed. Vi har kontrolleret, at strukturen er sikret mod skader og uautoriserede indgreb, samt at der er mulighed for at anvende sikre krypterede protokoller. Datakommunikation til Front-data Danmark er kundens eget ansvar. Sikkerhedskopiering Der foreligger tilstrækkelige procedurer for sikkerhedskopiering. Vi har kontrolleret, at der foreligger passende procedurer for sikkerhedskopiering. Vi har ved gennemgang af systemopsætning stikprøvevis testet, at procedurerne efterleves, samt at der er foretaget dublering for at sikre tilgængeligheden af data. Adgangsstyring Der skal være etableret fornødne logiske adgangskontroller, der underbygger den organisatoriske funktionsadskillelse. Side 13

14 Der skal samtidig være etableret passende forretningsgange og kontroller for tildeling, opfølgning og vedligeholdelse af adgangsrettigheder til systemer og data. Vi har kontrolleret, at tildeling af adgangsrettigheder til systemsoftware sker efter passende forretningsgange, og at der foretages periodisk opfølgning på de tildelte adgangsrettigheder. Vi har ved stikprøve udtræk af systemkonfigurationer kontrolleret, at der er etableret logiske adgangskontroller til servere, således at de enkelte driftsområder er adskilt, samt at driftsfunktioner er begrænset til relevante driftsfunktioner. Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer Området skal være afdækket i forhold til, at sikkerhed indgår som en integreret del af Front-data Danmarks administrations- og tilhørende støttesystemer for til driften af hostingcenter. Vores revision har påvist et passende forhold for sikre overholdelse af rammerne for området. Styring af sikkerhedshændelser Der skal være passende rammer for behandling af sikkerhedshændelser og svagheder, herunder for rapportering. Vi har påset, at der er passende forretningsgange for området, og om de har virket i perioden. Beredskabsstyring Der skal være implementeret beredskabsstyring som en løbende opgave til formål at begrænse konsekvenserne af tab af informationsaktiver forårsaget af katastrofer og sikkerhedsbrister. Side 14

15 Beredskabsstyringen skal indeholde procedurer, der identificerer og reducerer risici, begrænser konsekvenserne ved skadelige hændelser samt sikrer rettidig retablering af kritiske forretningsprocesser. Vores gennemgang af området har sikret, at Front-data Danmark har udarbejdet og behandlet beredskabsstyrring i henhold til kontrolmålene. Området er dog behandlet efter et generelt sikkerhedsniveau og derved ikke sat i forhold til de enkelte kundeaftaler. Side 15

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S plus revision skat rådgivning Front-data Danmark A/S ISAE 3402 type 2 erklæring Februar 2013 Revisionserklæring af de generelle it-kontroller for driften af Front-data Danmarks hosting-aktiviteter. Kalvebod

Læs mere

FRONT-DATA DANMARK A/S

FRONT-DATA DANMARK A/S MARTS 2014 FRONT-DATA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-data Danmarks hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

DFF-EDB a.m.b.a CVR nr.:

DFF-EDB a.m.b.a CVR nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og implementering i forbindelse med hosting og drift af Citrix-platformen pr. 22. juni 2015 ISAE 3402, type I

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

FRONT-DATA DANMARK A/S

FRONT-DATA DANMARK A/S FEBRUAR 2016 FRONT-DATA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-data Danmarks hostingaktiviteter. RSM plus P/S

Læs mere

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013 Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken

Læs mere

DFF EDB a.m.b.a. CVR-nr.:

DFF EDB a.m.b.a. CVR-nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med deres hostingydelse hos Zitcom A/S pr. 23. juni 2017 ISAE 3402-I DFF EDB a.m.b.a.

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

ISAE 3402 TYPE 2 ERKLÆRING

ISAE 3402 TYPE 2 ERKLÆRING JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge

Læs mere

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

FRONT-DATA DANMARK A/S

FRONT-DATA DANMARK A/S FEBRUAR 2017 FRONT-DATA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-Data Danmark A/S hostingaktiviteter. Beierholm

Læs mere

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter www.pwc.dk Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Januar 2016 Indhold 1. Ledelsens udtalelse 3 2.

Læs mere

Zentura IT A/S CVR-nr. 32 89 08 06

Zentura IT A/S CVR-nr. 32 89 08 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune. Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens

Læs mere

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 Februar 2015 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

A/S it-drift og hostingaktiviteter

A/S it-drift og hostingaktiviteter www.pwc.dk Januar 2015 Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle itkontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Indhold 1. Ledelsens erklæring 3 2. Outforce

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser www.pwc.dk Athena IT-Group Erklæring fra uafhængig revisor vedrørende generelle itkontroller for Athena IT-Group A/S' driftsydelser Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S' beskrivelse

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2014 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser April 2013 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING JUNI 2015 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

SLA Service Level Agreement

SLA Service Level Agreement SLA Service Level Agreement Indholdsfortegnelse 1 Service Level Agreement... 1 2 Driftsvindue og oppetid... 1 2.1 Servicevindue... 1 2.1.1 Ekstraordinær service... 1 2.1.2 Patch Management... 1 2.1.3 Åbningstid...

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING APRIL 2014 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

It-beredskabsstrategi for Horsens Kommune

It-beredskabsstrategi for Horsens Kommune It-beredskabsstrategi for Horsens Kommune Senest opdateret oktober 2016 1 Indholdsfortegnelse 1. FORMÅL MED IT-BEREDSKABSSTRATEGIEN... 3 2. STRATEGIENS SAMMENHÆNG TIL DET RESTERENDE BEREDSKAB... 3 3. OMFANG,

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING FEBRUAR 2015 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik for Horsens Kommune Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

VORES DATACENTER, NETVÆRK og

VORES DATACENTER, NETVÆRK og PRÆSENTATION AF : VORES DATACENTER, NETVÆRK og sikringsforanstaltninger Vi driver og vedligeholder vores eget topmoderne datacenter. Centeret er grundstenen i vores forretning, da det aktualiserer muligheden

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

A/S SCANNET Service Level Agreement

A/S SCANNET Service Level Agreement A/S SCANNET Service Level Agreement Outsourcing, server og webhosting INDHOLD 1. GENERELT...1 1.1 STANDARDER & DEFINITIONER...1 2. DRIFTSVINDUE & OPPETID...2 2.1 SERVICEVINDUE...2 2.2 EKSTRAORDINÆR SERVICE...2

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP AGENDA 01 Kort præsentation 02 Behov i forbindelse med de 4 dimensioner 03 Koncept for sikker forbindelser 04 Netværkssikkerhed

Læs mere

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009 It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Vejledning i informationssikkerhedsstyring. Februar 2015

Vejledning i informationssikkerhedsstyring. Februar 2015 Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Business Data A/S Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Version 3.0.1 (senest redigeret 20. november 2014) Indhold 1. Generelt... 2 2. Definitioner...

Læs mere

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren)

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) Vilkår for hosting 6. revision 7. maj 2005 CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) CompuSoft A/S, Anderupvej 16, DK 5270 Odense N, Tlf. +45 6318

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v.

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v. S E R V I C E L E V E L A G R E E M E N T for Netgroups levering af IT-ydelser m.v. Netgroup A/S Store Kongensgade 40 H 1264 København K CVR-nr.: 26 09 35 03 ( Netgroup ) Version 4.4 1. Forudsætninger...

Læs mere

POLITIK FOR INFORMATIONSSIKKERHED

POLITIK FOR INFORMATIONSSIKKERHED POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af

Læs mere

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31.

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31. Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til drifts- og hosting-ydelser for 1. januar 2014 til 31. december 2014 Indholdsfortegnelse Ledelsens

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

INFORMATIONS- SIKKERHEDS- POLITIK

INFORMATIONS- SIKKERHEDS- POLITIK INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen

Læs mere

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

Service Level Agreement

Service Level Agreement Service Level Agreement Dette dokument vil gennemgå de serviceforpligtelser, som leverandøren har til kunden i forbindelse med en købsaftale, forudsat der specifikt er henvist til den korrekte versionering

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret.

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret. Bilag 2 Fysisk sikkerhed 1 Hvorfor fysisk sikkerhed Sikkerheden i et hvert edb-system er grundlæggende afhængigt af, at kravene til den fysiske sikkerhed er opfyldt. Disse krav til fysisk sikkerhed skal

Læs mere

Præsentation af: VORES DATACENTER, NETVÆRK OG SIKKERHEDSFORANSTALTNINGER

Præsentation af: VORES DATACENTER, NETVÆRK OG SIKKERHEDSFORANSTALTNINGER Præsentation af: VORES DATACENTER, NETVÆRK OG SIKKERHEDSFORANSTALTNINGER Vi driver og vedligeholder vores eget topmoderne datacenter. Centeret er grundstenen i vores forretning, da det aktualiserer muligheden

Læs mere

pwc EG Data Inform A/S

pwc EG Data Inform A/S i EG Data Inform A/S ISAE 3402-erklæring, type 2, fra uafhængig revisor vedrørende generelle it-kontroller i relation til EG Data Informs driftsydelser Januar 2015 pwc PricewaterhouseCoopers Statsautoriseret

Læs mere