Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2

Størrelse: px
Starte visningen fra side:

Download "Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2"

Transkript

1 Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 Februar 2015

2 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S beskrivelse af generelle it-kontroller for driftsydelser 5 3. Revisors erklæring om beskrivelse af kontroller, deres udformning og funktionalitet 8 4. Kontrolmål, kontroller, test og resultat heraf 10 2

3 1. Ledelsens erklæring Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt Athena IT-Group A/S driftsydelser, og deres revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt, ved vurdering af risiciene for væsentlig fejlinformation i kundernes regnskaber. Athena IT-Group A/S bekræfter, at: (a) den medfølgende beskrivelse, afsnit 2, giver en retvisende beskrivelse af Athena IT-Group A/S driftsydelser, der har behandlet kunders transaktioner i hele perioden fra 1. januar 2014 til 31. december Kriterierne for dette udsagn var, at den medfølgende beskrivelse: (i) redegør for, hvordan systemet var udformet og implementeret, herunder redegør den for: de typer af ydelser, der er leveret, når det er relevant de processer i både it- og manuelle systemer, der er anvendt til at igangsætte, registrere, behandle og om nødvendigt korrigere transaktionerne samt overføre disse til de rapporter, der er udarbejdet til kunder relevante kontrolmål og kontroller, udformet til at nå disse mål kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af brugervirksomheder, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen og rapporteringen af kunders transaktioner (ii) indeholder relevante oplysninger om ændringer i serviceleverandørens system, foretaget i perioden fra 1. januar 2014 til 31. december 2014 (iii) ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne system under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt ved systemet, som den enkelte kunde måtte anse for vigtigt efter dennes særlige forhold. (b) de kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra 1. januar 2014 til 31. december Kriterierne for dette udsagn var, at: (i) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret (ii) de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål, og 3

4 (iii) kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra 1. januar 2014 til 31. december Odense, den 24. februar 2015 Athena IT-Group A/S Jens Erik Thorndahl CEO Poul Sindberg CFO 4

5 2. Athena IT-Group A/S beskrivelse af generelle it-kontroller for driftsydelser Indledning kort om Athena IT-Group A/S Athena IT-Group A/S (Athena), der blev stiftet i 1995, tilbyder totale løsninger inden for it-outsourcing og itdrift med fokus på mindre og mellemstore virksomheder og offentlige organisationer. Virksomheden er beliggende i henholdsvis Odense, Vojens og Taastrup og har i alt 35 ansatte. I 2007 blev virksomheden børsnoteret på NASDAQ OMX First North. Athena tager det fulde ansvar for kundens it-drift, herunder support, licenser, overvågning og backup. Athena sætter en ære i at overholde deadlines, har en udpræget kvalitetsbevidsthed og holder samtidig fokus på en høj grad af fleksibilitet i løsningerne. For Athenas kunder betyder det effektivisering, besparelser og konkurrencemæssige fordele leveret til den aftalte tid. Athenas driftsløsninger er karakteriseret ved høj oppetid, stabilitet og stor kundetilfredshed, og via højtuddannet personale med solid erfaring og forretningsforståelse indgår rådgivning, strategisk planlægning og stærk ansvarsfølelse som helt naturlige, implicitte ydelser i alle vores indgåede aftaler. Det primære datacenter er placeret i Nationalbankens tidligere pengedepot under jorden i Odense, som giver helt optimale og sikre fysiske forhold til it-drift. Med fokus på kundens behov leverer vi de samlede ydelser, der dækker driften af kundens it-systemer, herunder følgende produkter: Managed hosting leveret som dedikerede og virtuelle servere It-outsourcing Co-location IBM TSM-baseret fjernbackup. I forhold til nærværende erklæring er grundydelsen i de forskellige produkter identisk og omfatter internetforbindelse, adgangskontroller, strøm, køling, overvågning, sikkerhed og backup. I forbindelse med udfærdigelsen af nærværende erklæring er der hentet inspiration fra indholdet i ISO Internetforbindelse For internetforbindelser, stillet til rådighed i forbindelse med hostede ydelser, gør følgende sig gældende: Athena benytter sig af separat fremførte fiberforbindelser til internet, fremført i samarbejde med to af de største udbydere på det danske marked. Athenas interne opsætning understøtter failover ved fejl på fysisk forbindelse eller hos udbyder. Ud over internetforbindelser, stillet til rådighed af Athena, kan kunder selv fremføre samt stille forbindelse til rådighed for deres specifikke hostede løsning. Type og implementering afhænger her af den enkelte opsætning. Adgangskontroller Athenas hosting-center er, som nævnt, indrettet i Nationalbankens tidligere pengedepot i Odense. Der er etableret elektronisk adgangskontrol, foruden at oprindelig skalsikring er bibeholdt. 5

6 Køling Hosting-centeret er udstyret med et redundant glykolbaseret køleanlæg. Temperatur og luftfugtighed monitoreres 24/7/365. Sikkerhed Hosting-centeret er placeret i Nationalbankens tidligere pengedepot under jorden, indkapslet i beton og sikret mod tyveri, vand og brand. I tilfælde af brand aktiveres et Argonite-brandslukningsanlæg, som kvæler branden uden beskadigelse af data, udstyr eller inventar. Backup Athena benytter IBM s TSM-baserede backupsystem. Data opbevares i det særligt sikrede miljø dubleret på fysisk adskilte lokationer og beskyttet mod både tyveri, brand, strømafbrydelser og oversvømmelse. Kontrolmiljø Med udgangspunkt i virksomhedens overordnede strategiplan er virksomhedens sikkerhedspolitik og informationssikkerhedspolitik defineret. Det er ledelsen, der har defineret politikkerne, og det er ledelsen, som tilsikrer, at de efterleves. Organisationsdiagram Athena Direktionen JET,PS IT-Udvikling BJ Marketing MSP Salg KK Teknik BRT Økonomi PS Salg Jylland Kundeservice JJ TeknikTeams BRT Administration Jylland Salg Fyn Team Support Team Drift Administration Fyn Salg Sjælland Team Infratruktur Team Netværk Administration Sjælland Det overordnede ansvar ligger hos virksomhedens CEO, der er den øverst ansvarlige for det tekniske område. Den tekniske chef implementerer indholdet af politikkerne på de forskellige tekniske niveauer og tilsikrer, at der løbende sker en evaluering af hele det tekniske miljø for til stadighed at kunne opfylde virksomhedens interne krav og målsætninger. Sideløbende hermed foretages der en evaluering af det tekniske personale med henblik på at opgradere dets tekniske kvalifikationer, således at Athena fortsat kan tilbyde kunderne den allernyeste og bedste teknologi. 6

7 Den tekniske chef har det overordnede ansvar for implementering af nye teknologiske tiltag, ligesom det er hans ansvarsområde at udfærdige uddannelsesplaner for den enkelte medarbejder. Risikostyring Der foretages løbende en evaluering af de til enhver tid ønskede sikkerhedsniveauer, som det er defineret i informationssikkerhedspolitikken og i sikkerhedspolitikken, set i forhold til den risiko, der er på de enkelte områder. Det er ledelsen, herunder den tekniske chef, der foretager den løbende evaluering og implementerer ændringer, såfremt det er hensigtsmæssigt. Information og kommunikation Hele informationsflowet i virksomheden er bygget op i et sagsstyringssystem, der dokumenterer og følger en sags forløb fra vugge til grav. Den tekniske chef har derved hele tiden det samlede overblik over igangværende sager, anvendte ressourcer, tidsfrister mv. Medarbejderne følger virksomhedens retningslinjer for håndtering af følsomme data samt udfærdiget sikkerhedspolitik. Den direkte kundekontakt er afgørende for et konstruktivt samarbejde, hvilket betyder, at Athena ud over den løbende kontakt tilbyder ydelser, der til stadighed dokumenterer, at de aftalte ydelser er udført uden bemærkninger. Øvrig relevant information, relateret til virksomheden, udsendes via nyhedsbrev. Kontrolaktiviteter Til understøttelse af Athenas interne forretningsgange er der iværksat en række kontrolaktiviteter, der sikrer, at virksomheden efterlever den kvalitetsnorm, som er sat op. Til løsninger, hostet af Athena, specificeres logisk adgang i de enkelte indgåede kontrakter. Såfremt der er behov for ændringer i forhold til specifikationer i de oprindelige kontrakter, udformes firewallformularer, som godkendes af den enkelte kunde. Alle kunders løsninger er logisk adskilt fra hinanden, såvel netværks- som datamæssigt. Kundeadskillelse kan kun afviges ved samtykke fra alle implicerede parter. Såfremt kundens egen løsning består af flere enheder, uden specificeret behov for logisk adgang data- eller netværksmæssigt på tværs, vil enhederne ikke kunne opnå adgang imellem hinanden. Til logisk adskillelse af netværksmæssig adgang benyttes VLAN. Dataadskillelse opnås via anvendelse af den funktionalitet, som Storage-systemet og virtualiseringssoftware stiller til rådighed. Hostede løsninger, indeholdende backupydelse, benytter Athenas TSM-opsætning. Ved løsninger, indeholdende backupydelser, reagerer Athena på eventuelle fejl i backup. Fysisk adgang til virksomhedens driftscenter kontrolleres nøje. Kun personer med ærinde og autorisation får adgang til driftsområdet. Adgange til driftsområder såvel som kontorområder kameraovervåges 24 timer i døgnet. Driften i centeret, herunder netværket, overvåges aktivt 24/7/365. Ved driftsforstyrrelser vil teknisk personale blive tilkaldt, og forstyrrelsen vil blive afhjulpet omgående. Desuden monitorerer Athena kapacitet samt ressourceforbrug på såvel delte som kundespecifikke elementer, for i videst muligt omfang at kunne skalere inden fejl opstår. Såfremt der foretages ændringer til systemer samt systemopsætninger, sker dette altid ud fra kontraktmæssig aftale med denne pågældende kunde eller ud fra en teknisk/driftsmæssig vurdering. Ændringer dokumenteres i Athenas opgavesystem. Athena bærer kun ansvar for kontrol af ydelser/løsninger, specificeret i kontrakt. Athena kan dog bistå med monitorering af kundens/tredjepartens ydelse/løsning. I disse tilfælde vil information tilgå kunden/tredjeparten direkte, og disse har selv ansvar for at reagere ud fra de modtagne informationer. 7

8 3. Revisors erklæring om beskrivelse af kontroller, deres udformning og funktionalitet Til ledelsen i Athena IT-Group A/S samt kunder af Athena IT-Group A/S driftsydelser i perioden 1. januar 2014 til 31. december 2014 og disses revisorer. Omfang Vi har fået som opgave at afgive erklæring om Athena IT-Group A/S beskrivelse, afsnit 2, af udformningen og funktionen af generelle it-kontroller i relation til Athena IT-Group A/S driftsydelser, der knytter sig til de kontrolmål, som er anført i beskrivelsen for perioden 1. januar 2014 til 31. december Athena IT-Group A/S ansvar Athena IT-Group A/S er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udsagn, herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret; for leveringen af de ydelser, beskrivelsen omfatter; for at anføre kontrolmålene samt for udformningen af implementeringen og effektivt fungerende kontroller for at nå de anførte kontrolmål. Vores ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om Athena IT-Group A/S beskrivelse samt om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er retvisende, og at kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt. En erklæringsopgave med sikkerhed, hvor der afgives erklæring om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør, omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet. Det er vores og Athena IT-Group A/S opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør Athena IT-Group A/S beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og disses revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtige efter dennes særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, CVR-nr Strandvejen 44, 2900 Hellerup T: , F: ,

9 Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet. Det er vores opfattelse, (a) at beskrivelsen af Athena IT-Group A/S driftsydelser, således som den var udformet og implementeret i hele perioden 1. januar 2014 til 31. december 2014, i alle væsentlige henseender er retvisende (b) at kontrollerne, der knytter sig til de kontrolmål, som er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden 1. januar 2014 til 31. december 2014 (c) at de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået, i alle væsentlige henseender har fungeret effektivt i hele perioden 1. januar 2014 til 31. december Beskrivelse af test af kontroller De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultater af disse tests fremgår af afsnit 4. Tiltænkte brugere og formål Denne erklæring og beskrivelsen af test af kontroller i afsnit 4 er udelukkende tiltænkt kunder, der har anvendt Athena IT-Group A/S driftsydelser, og disses revisorer, som har en tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om kunders egne kontroller, når de vurderer risiciene for væsentlige fejlinformationer i deres regnskaber. Aarhus, den 24 februar 2015 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab Jesper Parsberg Madsen statsautoriseret revisor 9

10 4. Kontrolmål, kontroller, test og resultat heraf Kontrolmål: Informationssikkerhedspolitik Ledelsen har udarbejdet en informationssikkerhedspolitik, som udstikker en klar målsætning for it-sikkerhed, herunder valg af referenceramme samt tildeling af ressourcer. Informationssikkerhedspolitikken vedligeholdes under hensyntagen til en aktuel risikovurdering. Skriftlig politik for informationssikkerhed Sikkerhedspolitikken, som er godkendt af ledelsen, er dokumenteret og vedligeholdes ved gennemgang mindst én gang årligt. Sikkerhedspolitikken er gjort tilgængelig for medarbejdere via intranettet. Vi har foretaget inspektion af, at ledelsen har godkendt sikkerhedspolitikken, samt at den som minimum er revurderet en gang årligt. Endvidere har vi foretaget inspektion af, at politikken forefindes let tilgængelig for medarbejderne. Kontrolmål: Organisering af informationssikkerhed Det organisatoriske ansvar for informationssikkerhed er passende dokumenteret og implementeret, ligesom håndtering af eksterne parter sikrer en tilstrækkelig behandling af sikkerhed i aftaler. Ledelsens forpligtelse vedrørende informationssikkerhed Det organisatoriske ansvar for informationssikkerhed er dokumenteret og implementeret. Endvidere er der fastlagt regler for fortrolighedsaftaler og rapportering af informationssikkerhedshændelser samt udarbejdet en fortegnelse over aktiver. Vi har overordnet drøftet styring af informationssikkerheden med ledelsen. Vi har påset, at det organisatoriske ansvar for informationssikkerhed er dokumenteret og implementeret. Vi har endvidere foretaget inspektion af, at fortrolighedsaftaler, rapportering af informationssikkerhedshændelser samt fortegnelse over aktiver er udarbejdet. Eksterne parter Der er foretaget identifikation af risici i relation til eksterne parter, herunder håndtering af sikkerhed i aftaler med tredjemand og sikkerhedsforhold i relation til kunder. Der er fortaget gennemgang af ydelser fra serviceleverandører. Forhold undersøges og løses rettidigt. Vi har ved inspektion påset, at der er etableret betryggende procedurer for samarbejde med eksterne leverandører. Vi har desuden ved stikprøvevis inspektion påset, at samarbejdet med eksterne parter er baseret på godkendte kontrakter. 10

11 Kontrolmål: Fysisk sikkerhed Driftsafviklingen foregår fra lokaler, som er beskyttet mod skader, der er resultatet af hændelser som fx brand, vandskade, strømafbrydelse, tyveri eller hærværk. Fysisk sikkerhedsafgrænsning Adgang til sikrede områder (for såvel nye som eksisterende medarbejdere) er begrænset (fx ved anvendelse af adgangskort) til autoriserede medarbejdere og forudsætter dokumenteret ledelsesmæssig godkendelse. For nuværende består sikrede adgangsområder af nedenstående tre zoner, og kriterierne er som beskrevet. Afvigelser fra de pr. zone beskrevne kriterier kræver godkendelse af den administrerende direktør. Zone 1: kontorområder. Alle ansatte i Athena IT-Group A/S (Athena) kan opnå godkendelse. Zone 2: hosting- og produktionsområder. Kræver ansættelsesforhold i den tekniske del af Athena. Zone 3: ekstern båndlokation. Kræver ansættelse i den tekniske del af Athena samt backuprelaterede arbejdsopgaver. Personer uden godkendelse til sikrede zone 2-områder skal registreres og ledsages af medarbejder med behørig godkendelse. Vi har påset, at der er etableret zoneopdeling vedrørende fysisk adgang til forskellige områder. Vi har observeret under besøg i datacentre, at adgang til sikre områder er begrænset ved anvendelse af afgangssystem og kun er tildelt de medarbejdere, der har tilladelse til indgang til den pågældende zone. gennemgået procedurer for fysisk sikkerhed vedrørende sikrede områder, for at vurdere om adgang til disse områder forudsætter dokumenteret ledelsesmæssig godkendelse, samt om personer uden godkendelse til sikrede områder skal registreres og ledsages af medarbejder med behørig godkendelse. gennemgået medarbejdere med adgang til sikrede områder og påset, at relevant dokumenteret ledelsesmæssig godkendelse foreligger. Sikring af kontorer, lokaler og faciliteter Der er etableret adgangskontrolsystem til alle serverrum samt kontorområder, som sikrer, at alene ledelsesgodkendte medarbejdere har adgang. Jævnfør punktet Fysisk sikkerhedsafgrænsning revideres adgange i forbindelse med ændring i ansættelsesforhold eller opgaver vedrørende adgangsrettigheder dog mindst én gang årligt. Vi har foretaget inspektion af alle serverrum og påset, at alle adgangsveje er sikret med kortlæser. Vi har foretaget stikprøvevis kontrol af, at årlig gennemgang foretages. 11

12 Kontrolmål: Fysisk sikkerhed Driftsafviklingen foregår fra lokaler, som er beskyttet mod skader, der er resultatet af hændelser som fx brand, vandskade, strømafbrydelse, tyveri eller hærværk. Placering og beskyttelse af udstyr Datacentre er beskyttet mod fx brand, vand og varme. Der er endvidere installeret udstyr til overvågning af indeklima, herunder luftfugtighed. Vi har inspiceret driftsfaciliteterne og har påset, at brandbekæmpelsessystemer, monitorering af indeklima og køling i datacentre forefindes. gennemgået dokumentation for vedligeholdelse af udstyr til bekræftelse af, at dette løbende vedligeholdes. Understøttende forsyninger (forsyningssikkerhed) Datacentre er beskyttet mod strømafbrydelse ved anvendelse af redundant UPS (Uninterruptible Power Supply)-opsætning samt dieselbaseret nødstrømsanlæg. Der køres live test månedligt med fuld last på henholdsvis UPS- og dieselgenerator. Brandslukningsudstyr testes af leverandøren under de gældende serviceaftaler. Vi har under besøg i datacentre observeret, at der foretages monitorering af UPS og nødstrømsanlæg. gennemgået dokumentation for vedligeholdelse til bekræftelse af, at UPS eller nødstrømsanlæg løbende vedligeholdes og testes. Sikring af kabler Alle netværkskabler er placeret i serverrum. Vi har observeret, at kabler til elektricitetsforsyning og datakommunikation er sikret mod skader og uautoriserede indgreb. 12

13 Kontrolmål: Styring af kommunikation og drift Der er etableret: passende forretningsgange og kontroller vedrørende drift, herunder overvågning samt registrering af og opfølgning på relevante hændelser tilstrækkelige procedurer for sikkerhedskopiering og beredskabsplaner passende funktionsadskillelse i og omkring it-funktionerne, herunder mellem udvikling, drift samt brugerfunktioner passende forretningsgange og kontroller vedrørende datakommunikationen, som på en hensigtsmæssig måde sikrer mod risiko for tab af autenticitet, integritet, tilgængelighed samt fortrolighed. Dokumenterede driftsprocedurer Der forefindes drifts- og implementeringsprocedurer på alle væsentlige produktområder. Ansvaret for vedligeholdelse af disse ligger i de enkelte produktområder. Vi har forespurgt ledelsen om, hvorvidt alle relevante driftsprocedurer er dokumenteret. I forbindelse med revision af de enkelte driftsområder er det ved stikprøvevis inspektion kontrolleret, at der foreligger dokumenterede procedurer, samt at der er overensstemmelse mellem dokumentationen og de handlinger, som faktisk Funktionsadskillelse Ledelsen har implementeret politikker og procedurer til sikring af tilfredsstillende funktionsadskillelse i den tekniske afdeling. Disse politikker og procedurer omfatter krav til, at: adgange er tildelt ud fra arbejdsbetingede behov Athenas administrative platform er adskilt netværksmæssigt såvel som brugermæssigt fra den tekniske platform udelukkende personale, ansat i den tekniske del, har adgang til den tekniske platform netværksmæssigt såvel som brugermæssigt. Vi har gennemgået brugere med administrative rettigheder til verificering af, at adgange er begrundet i et arbejdsbetinget behov. kontrolleret, at det tekniske net er adskilt fra det administrative, samt at kun relevante personer har adgang til det tekniske net. Foranstaltninger mod virus og lignende skadelig kode Der er på både den tekniske og den administrative platform etableret antivirusprogrammer, som bliver opdateret regelmæssigt. gennemgået teknisk opsætning til bekræftelse af, at der er installeret antivirusprogrammer, samt at disse er opdateret. 13

14 Kontrolmål: Styring af kommunikation og drift Der er etableret: passende forretningsgange og kontroller vedrørende drift, herunder overvågning samt registrering af og opfølgning på relevante hændelser tilstrækkelige procedurer for sikkerhedskopiering og beredskabsplaner passende funktionsadskillelse i og omkring it-funktionerne, herunder mellem udvikling, drift samt brugerfunktioner passende forretningsgange og kontroller vedrørende datakommunikationen, som på en hensigtsmæssig måde sikrer mod risiko for tab af autenticitet, integritet, tilgængelighed samt fortrolighed. Sikkerhedskopiering af informationer Der bliver foretaget sikkerhedskopiering af data med passende mellemrum. Periodisk sker der test af, at data kan genskabes fra sikkerhedskopier. Som backupsystem internt samt til hostede løsninger benyttes Athenas fjernbackupprodukt efter samme SLA som eksterne kunder. For hostede ydelser vil frekvens og versioner være beskrevet i den enkelte kontrakt med udgangspunkt i en minimumssikring, der går tre uger tilbage. udføres, gennemgået backupprocedurer samt påset, at de er tilstrækkelige og formelt dokumenterede. gennemgået backup-log for bekræftelse af, at backup er gennemført succesfuldt, alternativt at der foretages afhjælpning i tilfælde af mislykkede backupper. Desuden har vi stikprøvevis kontrolleret, at restore-test er udført. Overvågning af systemanvendelse og auditlogning Der er implementeret logning på alle kritiske systemer. Log fra kritiske systemer opsamles og gennemgås i tilfælde af mistanke om uautoriserede hændelser og aktiviteter. Aktivitet samt brugere med privilegerede rettigheder (fx superbrugere) bliver overvåget i alle af Athena udviklede systemer, som benyttes til opgavestyring vedrørende ændringsstyring samt vedligehold af abonnementer. Afvigende forhold undersøges og løses rettidigt. Særligt risikofyldte operativsystemer og netværkstransaktioner eller -aktivitet samt brugere med privilegerede rettigheder bliver overvåget. Afvigende forhold undersøges og løses rettidigt. Vi har gennemgået systemopsætningen på servere og væsentlige netværksenheder samt ved stikprøvevis inspektion påset, at parametre for logning er opsat, således at handlinger, udført af brugere med udvidede rettigheder, bliver logget. Vi har endvidere stikprøvevis kontrolleret, at der foretages tilstrækkelig opfølgning på log fra kritiske systemer. 14

15 Kontrolmål: Styring af kommunikation og drift Der er etableret: passende forretningsgange og kontroller vedrørende drift, herunder overvågning samt registrering af og opfølgning på relevante hændelser tilstrækkelige procedurer for sikkerhedskopiering og beredskabsplaner passende funktionsadskillelse i og omkring it-funktionerne, herunder mellem udvikling, drift samt brugerfunktioner passende forretningsgange og kontroller vedrørende datakommunikationen, som på en hensigtsmæssig måde sikrer mod risiko for tab af autenticitet, integritet, tilgængelighed samt fortrolighed. Fejllogning Systemer er konfigureret til at opdage fejl i automatiske transaktionsprocesser (batch eller realtime), baseret på foruddefinerede kriterier, og til at blokere for viderebehandling. Systemgenererede fejlrapporter vedrørende fejl i automatiske transaktionsprocesser bliver undersøgt, og registrerede fejl bliver udbedret rettidigt. Relevant vagtpersonale bliver informeret 24/7/365. kontrolleret konfigurationen af de kritiske systemer og påset, at driftsrelaterede fejl på serverne opdages. Vi har endvidere kontrolleret, at de relevante teknikere informeres via alarmer. 15

16 Kontrolmål: Adgangsstyring Der er etableret: passende forretningsgange og kontroller for tildeling af, opfølgning på samt vedligeholdelse af adgangsrettigheder til systemer og data logiske og fysiske adgangskontroller, som begrænser risikoen for uautoriseret adgang til systemer eller data fornødne logiske adgangskontroller, der underbygger den organisatoriske funktionsadskillelse. Brugerregistrering og administration af privilegier Alle adgange for nye og eksisterende brugere vedrørende operativsystemer, netværk, databaser og datafiler gennemgås for at sikre overensstemmelse med virksomhedens politikker. Endvidere sikring af, at rettigheder er tildelt ud fra et arbejdsbetinget behov, er godkendt og oprettet korrekt i systemer. Vi har gennemgået procedurerne for brugeradministration samt kontrolleret, at kontrolaktiviteter er tilstrækkeligt dækkende. påset, at oprettelse af brugere og tildeling af adgang dokumenteres og godkendes i overensstemmelse med forretningsgangene. Administration af brugeradgangskoder (password) Adgange til operativsystemer, netværk, databaser og datafiler er beskyttet med password. På Microsoftplatform er passwordpolitikken minimum syv karakterer, og krav til passwordkompleksitet er aktiveret. Desuden er der implementeret restriktioner for både fysisk og logisk netværksadgang. udføres i forbindelse med passwordkontroller, og påset, at det sikres, at der anvendes passende autentifikation af brugere på alle adgangsveje. Vi har ved inspektion kontrolleret, at der anvendes en passende passwordkvalitet i Athenas driftsmiljø ved stikprøvevise test af, at adgang til virksomhedens systemer sker ved brug af brugernavn og password. Evaluering af brugeradgangsrettigheder Ledelsen foretager periodisk gennemgang af brugerrettigheder til sikring af, at disse er i overensstemmelse med brugernes arbejdsbetingede behov. Uoverensstemmelser undersøges og udbedres rettidigt. kontrolleret, at der foretages periodiske gennemgange til bekræftelse af, at disse har fundet sted. Desuden har vi ved stikprøvevis inspektion påset, at identificerede afvigelser afhjælpes. 16

17 Kontrolmål: Adgangsstyring Der er etableret: passende forretningsgange og kontroller for tildeling af, opfølgning på samt vedligeholdelse af adgangsrettigheder til systemer og data logiske og fysiske adgangskontroller, som begrænser risikoen for uautoriseret adgang til systemer eller data fornødne logiske adgangskontroller, der underbygger den organisatoriske funktionsadskillelse. Inddragelse af adgangsrettigheder Brugerrettigheder til operativsystemer, netværk, databaser og datafiler vedrørende fratrådte medarbejdere bliver deaktiveret rettidigt. Inddragelse af adgangsrettigheder påbegyndes med nærmeste leders godkendelse. udføres, for at inddragelse af adgangsrettigheder sker efter betryggende forretningsgange, og for at der foretages opfølgning i henhold til forretningsgangene for de tildelte adgangsrettigheder. Vi har endvidere ved stikprøvevis inspektion kontrolleret, at de beskrevne forretningsgange er overholdt for nedlagte brugere på systemer, samt at inaktive brugerkonti deaktiveres ved fratrædelse. Politik for anvendelse af netværkstjenester, herunder autentifikation af brugere med ekstern forbindelse Datakommunikationen er tilrettelagt på en hensigtsmæssig måde og er tilstrækkeligt sikret mod risiko for tab af autenticitet, integritet, tilgængelighed samt fortrolighed. Der er endvidere foretaget en opdeling af netværk, som følger Athenas funktionsopdeling, såvel som opdeling i forhold til hver enkelt kunde. Til dele af den tekniske platform udbydes VPN fra faste ip-adresser samt token. Til den administrative platform benyttes token-system. De nævnte platforme er adskilt ved implementering af adskillige VLANs. udføres, og påset, at der anvendes en passende autentificeringsproces for driftsmiljøet. kontrolleret, at brugere identificeres og verificeres, inden adgang gives, samt at fjernadgangen er beskyttet af VPN og opnås ved at anvende faste ip-adresser og tokens. Vi har ved inspektion konstateret, at netværket er segmenteret i adskilte net ved hjælp af VLANs for at reducere risikoen for uautoriseret adgang. 17

18 Kontrolmål: Adgangsstyring Der er etableret: passende forretningsgange og kontroller for tildeling af, opfølgning på samt vedligeholdelse af adgangsrettigheder til systemer og data logiske og fysiske adgangskontroller, som begrænser risikoen for uautoriseret adgang til systemer eller data fornødne logiske adgangskontroller, der underbygger den organisatoriske funktionsadskillelse. Styring af netværksforbindelser Der udføres regelmæssigt gennemgang af firewallregelsæt samt tests/overvågning af den trafik, der tillades gennem firewallen til sikring af netværksforbindelser. udføres for at styre netværksforbindelser. Vi har ved inspektion konstateret, at der er foretaget periodiske tests af netværkstrafikken, samt kontrolleret, at der er taget stilling til konstaterede svagheder. gennemgået firewallkonfigurationen og påset, at reglerne i firewallen er sat hensigtsmæssigt op. Begrænset adgang til informationer Alle adgangsønsker for nye og eksisterende brugere vedrørende applikationer, databaser og datafiler bliver gennemgået for at sikre overensstemmelse med virksomhedens politikker til sikring af, at rettigheder er tildelt ud fra et arbejdsbetinget behov, er godkendt samt bliver korrekt oprettet i systemer. udføres for at begrænse adgangen til informationer. Vi har gennemgået procedurerne for brugeradministration samt kontrolleret, at kontrolaktiviteter er tilstrækkeligt dækkende. kontrolleret, at tildeling af adgang til data og systemer udføres ud fra et arbejdsbetinget behov og er godkendt i overensstemmelse med forretningsgangene. 18

19 Kontrolmål: Anskaffelse, udvikling og vedligeholdelse af styresystemer Der er etableret passende forretningsgange og kontroller for implementering og vedligeholdelse af styresystemer. Styring af software på driftssystemer Der er etableret separate it-miljøer for udvikling, test og produktion. udføres, herunder om eksistensen af et versionsstyringsværktøj. gennemgået ændringer i perioden til verifikation af, at ændringer er testet i testmiljøet forinden idriftsættelsen og dokumenteret. Ændringsstyring Ændringer til operative systemer og netværk bliver testet af kvalificeret personale inden flytning til produktion. Test af ændringer til operativsystemer og netværk godkendes før flytning til produktion. Nødændringer til operativsystemer og netværk uden om den normale forretningsgang bliver testet og godkendt efterfølgende. Kunderelaterede ændringer registreres i opgavesystemet. Interne ændringer (infrastruktur, interne platforme) registreres i opgavesystemet eller i enkelte områders dokumentation. Samme formular anvendes til både kunderelaterede og interne ændringer. udføres, gennemgået ændringsstyringsprocedurernes tilstrækkelighed samt påset, at der er etableret et passende ændringshåndteringssystem, der er understøttet af en teknisk infrastruktur. gennemgået ændringsønsker for følgende: Registrering af ændringsanmodninger i det dertil etablerede system. Dokumenteret test af ændringer, herunder godkendelse. Godkendelse skal være opnået før implementering. Mundtlig ledelsesmæssig godkendelse anses for tilstrækkelig ved nødændringer, men denne skal dokumenteres efterfølgende. Dokumenteret plan for tilbagerulning, hvor relevant. 19

20 Kontrolmål: Katastrofeplan Athena IT-Group A/S er i stand til at fortsætte servicering af kunder i en katastrofesituation. Opbygning/Struktur af Athenas katastrofeberedskab Den samlede katastrofeplan er med udgangspunkt i en risikoanalyse opbygget af en overordnet katastrofestyringsprocedure samt operationelle katastrofeplaner for de konkrete katastrofeområder. Den operationelle katastrofeplan indeholder beskrivelse af katastrofeorganisationen, inklusive de ledelsesmæssige funktionsbeskrivelser, kontaktinformationer, varslingslister samt instrukser for de nødvendige indsatsgrupper. For de enkelte platforme er udarbejdet detaljerede indsatsgruppeinstrukser for reetablering i forhold til nøddrift. Test af katastrofeberedskab Der sker årlig test af katastrofeberedskabet ved såvel skrivebordstest som faktiske testscenarier. Vi har gennemgået udleveret materiale vedrørende katastrofeberedskab samt påset, at den organisatoriske og operationelle itkatastrofeplan indeholder ledelsesmæssige funktionsbeskrivelser, kontaktinformationer, varslingslister samt instrukser. kontrolleret, at beredskabsplaner testes ved skrivebordstest eller via realistiske testscenarier, i det omfang det er muligt. 20

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser April 2013 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S

Læs mere

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser www.pwc.dk Athena IT-Group Erklæring fra uafhængig revisor vedrørende generelle itkontroller for Athena IT-Group A/S' driftsydelser Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S' beskrivelse

Læs mere

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser Marts 2014 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter www.pwc.dk Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Januar 2016 Indhold 1. Ledelsens udtalelse 3 2.

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

A/S it-drift og hostingaktiviteter

A/S it-drift og hostingaktiviteter www.pwc.dk Januar 2015 Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle itkontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Indhold 1. Ledelsens erklæring 3 2. Outforce

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

www.pwc.dk EG Data Inform A/S ISAE 3402-erklæring, type 2, fra uafhængig i relation til EG Data Informs driftsydelser Januar 2016

www.pwc.dk EG Data Inform A/S ISAE 3402-erklæring, type 2, fra uafhængig i relation til EG Data Informs driftsydelser Januar 2016 www.pwc.dk EG Data Inform A/S ISAE 3402-erklæring, type 2, fra uafhængig revisor vedrørende generelle itkontroller i relation til EG Data Informs driftsydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

Rackhosting ApS. ISAE 3402-erklæring fra uafhængig

Rackhosting ApS. ISAE 3402-erklæring fra uafhængig r Rackhosting ApS Oktober 2014 ISAE 3402-erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til driften af kunders itmilj øer for perioden 1. juni 2013 til 31. maj 2014 med

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Sotea ApS CVR-nr. 10 08 52 25

Sotea ApS CVR-nr. 10 08 52 25 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj

Læs mere

pwc EG Data Inform A/S

pwc EG Data Inform A/S i EG Data Inform A/S ISAE 3402-erklæring, type 2, fra uafhængig revisor vedrørende generelle it-kontroller i relation til EG Data Informs driftsydelser Januar 2015 pwc PricewaterhouseCoopers Statsautoriseret

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

Zentura IT A/S CVR-nr. 32 89 08 06

Zentura IT A/S CVR-nr. 32 89 08 06 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål

Læs mere

ISAE 3402 TYPE 2 ERKLÆRING

ISAE 3402 TYPE 2 ERKLÆRING JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013 Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

any.cloud A/S CVR nr.: DK 31161509

any.cloud A/S CVR nr.: DK 31161509 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-12-2013 til 30-11-2014 any.cloud A/S CVR nr.:

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING APRIL 2014 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

TEKNISK DESIGN OG PROCESBESKRIVELSE

TEKNISK DESIGN OG PROCESBESKRIVELSE TEKNISK DESIGN OG PROCESBESKRIVELSE Vi passer på dine data, som var det guld - bogstaveligt talt! Athenas datacenter er placeret i Nationalbankens tidligere pengedepot i Odense - i en 1.300 m 2 armeret

Læs mere

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium 18. juni 2015 BILAG 1 Kommissorium for revisionsudvalget i TDC A/S 1. Status og kommissorium Revisionsudvalget er et udvalg under bestyrelsen, der er nedsat i overensstemmelse med 15.1 i forretningsordenen

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2013 August 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 15. august 2014 Formål Vi har i perioden

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2014 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Kommissorium for revisionsudvalget i TDC A/S

Kommissorium for revisionsudvalget i TDC A/S 2. februar 2012 Kommissorium for revisionsudvalget i TDC A/S 1. Status og kommissorium Revisionsudvalget er et udvalg under bestyrelsen, der er nedsat i overensstemmelse med 15.1 i forretningsordenen for

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S plus revision skat rådgivning Front-data Danmark A/S ISAE 3402 type 2 erklæring Februar 2013 Revisionserklæring af de generelle it-kontroller for driften af Front-data Danmarks hosting-aktiviteter. Kalvebod

Læs mere

FRONT-DATA DANMARK A/S

FRONT-DATA DANMARK A/S MARTS 2014 FRONT-DATA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-data Danmarks hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

www.pwc.dk Ballerup Kommune Beretning om tiltrædelse som revisor

www.pwc.dk Ballerup Kommune Beretning om tiltrædelse som revisor www.pwc.dk Ballerup Kommune Beretning om tiltrædelse som revisor Pr. 1. januar 2015 Indholdsfortegnelse 1. Tiltrædelse som revisor 3 1.1. Indledning 3 1.2. Opgaver og ansvar 3 1.2.1. Ledelsen 3 1.2.2.

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2012 August 2013 Ib Østergaard Rasmussen Faxe Kommune Frederiksgade 9 4690 Haslev 13. august 2013 Formål Vi har i juli/august måned 2013 foretaget revision

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING JUNI 2015 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009 It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar

Læs mere

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-12-2014 til 30-11-2015 ISAE 3402-II any.cloud

Læs mere

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31.

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31. Zitcom A/S ISAE 3402 Type 2 Uafhængig revisors erklæring angående generelle it-kontroller relateret til drifts- og hosting-ydelser for 1. januar 2014 til 31. december 2014 Indholdsfortegnelse Ledelsens

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

INFORMATIONS- SIKKERHEDS- POLITIK

INFORMATIONS- SIKKERHEDS- POLITIK INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Greve Kommune. Revision af generelle it-kontroller

Greve Kommune. Revision af generelle it-kontroller Deloitte Statsautoriseret Revisionsaktieselskab CVR-nr. 4 1 37 14 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING FEBRUAR 2015 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

TEKNISK DOKUMENTATION Teknisk kapacitet

TEKNISK DOKUMENTATION Teknisk kapacitet TEKNISK DOKUMENTATION Teknisk kapacitet Indholdsfortegnelse Datacenter... 3 Netværk og Internet... 3 Support... 3 Sikkerhedspolitik & Kvalitetssikring... 4 Sikkerhedspolitik... 4 Kvalitetssikring... 5

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Sotea A/S 19. april 2016 version 1.0 1

Sotea A/S 19. april 2016 version 1.0 1 version 1.0 1 1.... 3 2.... 3 3.... 4 4.... 5 5.... 5 6.... 6 7.... 6 version 1.0 2 1. Nærværende Service Level Agreement dokumenterer det aftalte serviceniveau, og beskriver kundens garanti i forbindelse

Læs mere

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

Maj 2015. Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret Maj 2015 Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret 2014 Ib Østergaard Rasmussen Faxe Kommune Center for IT & Digitalisering Industrivej 2 4683 Rønnede 18. maj

Læs mere

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær.

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær. Hosting Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær. Mange virksomheder bruger i dag alt for mange ressourcer på at vedligeholde egne servere og IT-løsninger. Men faktisk er hosting

Læs mere

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

Produktspecifikationer Private Cloud Version 2.6

Produktspecifikationer Private Cloud Version 2.6 Side 1 af 8 1. INTRODUKTION TIL PRIVATE CLOUD... 3 2. TEKNISK OPBYGNING... 3 2.1. LØSNINGEN... 3 2.2. SPECIFIKATIONER... 4 2.3. NETVÆRK... 4 2.4. SAN-INFRASTRUKTUR... 5 2.5. VSPHERE... 5 3. TILLÆGSYDELSER...

Læs mere

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Business Data A/S Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Version 3.0.1 (senest redigeret 20. november 2014) Indhold 1. Generelt... 2 2. Definitioner...

Læs mere

Hvor meget fylder IT i danske bestyrelser. 7. september 2012 Torben Nielsen

Hvor meget fylder IT i danske bestyrelser. 7. september 2012 Torben Nielsen Hvor meget fylder IT i danske bestyrelser Torben Nielsen Baggrund 25 år i finansielle sektor 15 år i Danmarks Nationalbank Bestyrelsesposter i sektorselskaber (VP-securities, NETS, BKS) Professionelt bestyrelsesmedlem

Læs mere

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87 Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system

Læs mere

Infoblad. ISO/TS 16949 - Automotive

Infoblad. ISO/TS 16949 - Automotive Side 1 af 5 ISO/TS 16949 - Automotive Standarden ISO/TS 16949 indeholder særlige krav gældende for bilindustrien og for relevante reservedelsvirksomheder. Standardens struktur er opbygget som strukturen

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Revisionsudvalg. Kommissorium. Skjern Bank

Revisionsudvalg. Kommissorium. Skjern Bank Revisionsudvalg Kommissorium i Skjern Bank 1 Indledning 1.1 Udvalgets arbejde, ansvar og kompetencer fastlægges i nærværende kommissorium. 1.2 Dette kommissorium gennemgås, ajourføres og godkendes årligt

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så blev den nye version af ISO 9001 implementeret. Det skete den 23. september 2015 og herefter har virksomhederne 36 måneder til at implementere de nye krav i standarden. At

Læs mere

It-beredskabspolitik for Ishøj Kommune

It-beredskabspolitik for Ishøj Kommune It-beredskabspolitik for Ishøj Kommune Version Dato Udarbejdet af Ændringer Godkendt af ledelsen 0.1 - Neupart Første udkast - 0.2 - Neupart 2.2 Beredskabs - organisation fastsat. 2.3 Tilgængelighedskrav

Læs mere