Sotea ApS CVR nr.: DK

Størrelse: px
Starte visningen fra side:

Download "Sotea ApS CVR nr.: DK 10085225"

Transkript

1 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden til Sotea ApS CVR nr.: DK REVI-IT A/S

2 Indholdsfortegnelse Afsnit 1: Sotea ApS ledelseserklæring... 3 Afsnit 2: Sotea ApS beskrivelse af kontrolmiljø for hostingydelse... 4 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet..23 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf...25 REVI-IT A/S Side 2 af 46

3 Afsnit 1: Sotea ApS ledelseserklæring Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt Sotea ApS hostingydelser, og disses revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt, ved vurdering af risiciene for væsentlig fejlinformation i kundernes regnskaber. bekræfter, Sotea ApS bekræfter, at: (a) (b) Den medfølgende beskrivelse, i afsnit 2, giver en retvisende beskrivelse af Sotea ApS hostingydelse til kunder i hele perioden fra 1. august 2014 til 31. januar Kriterierne for dette udsagn var, at den medfølgende beskrivelse: (i) redegør for, hvordan systemet var udformet og implementeret, herunder redegør for: de typer af ydelser, der er leveret, når det er relevant de processer i både it- og manuelle systemer, der er anvendt til at igangsætte, registrere, behandle og om nødvendigt korrigere transaktionerne samt overføre disse til de rapporter, der er udarbejdet til kunder relevante kontrolmål og kontroller, udformet til at nå disse mål kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af brugervirksomheder, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen og rapporteringen af kunders transaktioner (ii) indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden fra 1. august 2014 til 31. januar 2015 (iii) ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne system under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt ved systemet, som den enkelte kunde måtte anse vigtigt efter deres særlige forhold de kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra 1. august 2014 til 31. januar Kriterierne for dette udsagn var, at: (i) (ii) (iii) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål, og kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra 1. august 2014 til 31. januar Silkeborg den 31. marts 2015 Med venlig hilsen Sotea ApS Jess Munch Teilmann Direktør REVI-IT A/S Side 3 af 46

4 Afsnit 2: Sotea ApS beskrivelse af kontrolmiljø for hostingydelse 0. Forord og introduktion SOTEA har det totale ansvar for drift af IT systemer for både danske og udenlandske virksomheder, og vores sikkerhed er derfor vedvarende i fokus. SOTEA sikkerhedspolitik beskriver de krav vi stiller til vores driftsmiljø, herunder de fysiske forhold, organisationen og diverse procedurer. Nærværende beskriver SOTEA s generelle forhold, og ikke specifikt på vores enkelte kunder. 1. Virksomheden og vores ydelser 1.1. Virksomheden: SOTEA blev etableret i 2000, af Bo Jensen og Jess Munch Teilmann. I 2005 begyndte vi at hoste IT og hosting er nu blevet vores kerneforretning I 2009 byggede vi vores eget datacenter. Vi levere i dag hosting til vores kunder, gennem et overskueligt og enkelt koncept, bestående af IT Hosting, kompromisløs support og løbende optimering I 2012 lancerede vi den såkaldte dynamiske aftale, der er unik på markedet. Vi analyserer løbende den enkelte kundes adfærd, forbrug og optimere aftalen, så vores kunder ikke betaler for noget, de ikke bruger Vi udvikler forsat vores produkt, men én ting ændre sig aldrig: At SOTEA altid vil levere løsninger der er brugbare, overskuelige og udviklet på brugernes præmisser Ydelser: Vores primære ydelser, som er omfattet af nærværende erklæring er: IT Hosting: Med en hosting aftale hos SOTEA betaler kunden et fast månedligt abonnement. Vores hosting aftale er fuldt dynamisk, og kan ændres efter behov, med måneds varsel. Der er altid adgang til sidste nye version af softwaren, som en del af aftalen. Derudover sørger SOTEA for at servere er sikkerhedsopdateret, samt varetager den løbende drift, også som en fast del af aftalen Kompromisløs Support: Alle vores aftaler er inklusive Kompromisløs Support, hvor alle slutbrugere må ringe/maile direkte til vores support uden at det koster ekstra. Lige fra printproblemer, over nulstilling af password, til oprettelse af SQL-databaser. Selv support af tredje parts programmer håndterer vores supportere, og hvis nødvendigt kontakter vi leverandøren for kunden, og får løst problemerne hurtigt Løbende Optimering: SOTEA giver dig et komplet overblik over din aftale hvert kvartal, sammen med din faktura. Hvor kunden kan se hvad der betales for. 2. Organisation og ansvar Direktionen: Direktionen har det overordnede ansvar for IT sikkerheden i SOTEA, og gennemgår denne 1 gange om året, i november måned. Ledergruppe: SOTEA s ledelse har det strategiske ansvar for SOTEA s vækst og videre udvikling, samt ansvaret for den daglige ledelse. Presales: Presales har ansvaret for at flytte nye kunder ind i vores hosting miljø. De har ansvaret fra kontrakten er underskrevet, og til kunden er i produktion. Referere til vores Adm. Direktør. Aftersales: Når kunden er implementeret, og gået i produktion, overtages kunden af aftersales, som er vores support funktion. Alle sager registreres i vores ticket system, og håndteres af vores firstlevel support, og eskaleres til secondlevel support/driftsafdelingen, hvis firstlevel support ikke kan løse opgaven. Derudover bidrager supporten i presales ved implementering af nye kunder, alt efter behov. Referer til vores Adm. Direktør. REVI-IT A/S Side 4 af 46

5 Drift: Har det overordnede ansvar for overvågning og drift af vores hosting miljø/datacenter, Driftsafdelingen fungerer også som secondlevel og thirdlevel support, samt bistår med implementering af nye kunder. Referere til vores Tekniske Chef. Sikkerhedsgruppe: Der er nedsat en sikkerhedsgruppe. Dette udvalg har ansvaret for at udarbejde SOTEA s IT sikkerhed, i forhold til dokumentation og implementering af procedurer. 3. Generelt om vores kontrolmål og implementering Vi har defineret vores kvalitetsstyringssystem ud fra vores overordnede målsætning om, at levere stabil, overskuelig, og sikker it-drift til vores kunder. For at kunne gøre det, er det nødvendigt, at vi har indført politikker og procedurer, der sikrer, at vores leverancer er ensartet og gennemsigtig. Vores it-sikkerhedspolitik er udarbejdet med reference til ovenstående, og er gældende for alle medarbejdere og for alle leverancer nævnt under afsnit 1.2. Ydelser. Vores metodik for implementering af kontroller er defineret med reference til ISO 27002:2005 (Regelsæt for styring af informationssikkerhed). 4. Risikovurdering og håndtering 4.1. It-risikoanalyse (bevis) Vi har procedurer for løbende risikovurdering af vores forretning og specielt vores IT Hosting Kompromisløs Support Løbende Optimering. Dermed kan vi sikre, at de risici, som er forbundet med de services og ydelser, vi stiller til rådighed, er minimeret til et acceptabelt niveau Der holdes et årligt review møde, hvor der foretages en risikovurdering jf. nedenstående punkt 4.2. Håndtering af sikkerhedsrisici. Efter dette møde foreligger der et skriftligt referat, som indeholder eventuelle ændringer i risikovurderingen, samt en handlingsplan for yderligere aktivitet. Derudover holdes der ½ årlige møde i sikkerhedsgruppen, hvor aktuelle og nye risici drøftes Procedure for risikohåndtering Vi har udarbejdet faste procedurer for behandling af risici, hvor der årligt afholdes en generel risikovurdering. Derudover er der en procedure for risikohåndtering/håndtering af sikkerhedshændelser, hvor risici kommunikeres til vores Tekniske Chef, eller Adm. Direktør, der indledningsvis tager stilling til risikoens omfang, og vurdere om der skal reageres øjeblikkelig, eller om det noteres til behandling på kommende ½ årlige møde i sikkerhedsgruppen. 5. Sikkerhedspolitik 5.1. Målsætning/formål TILGÆNGELIGHED - Opnå høj driftssikkerhed med høje oppetidsprocenter og minimeret risiko for større nedbrud og datatab INTEGRITET - Opnå korrekt funktion af systemerne med minimeret risiko for manipulation af og fejl i såvel data som systemer FORTROLIGHED - Opnå fortrolig behandling, transmission og opbevaring af data AUTENTICITET - Opnå en gensidig sikkerhed omkring de involverede parter UAFVISELIGHED - Opnå en sikkerhed for gensidig og dokumenterbar kontakt. 5.2 Omfang En informationssikkerhedspolitik, der godkendes af ledelsen En driftshåndbog, der uddyber informationssikkerhedspolitikken Sikkerhedsinstrukser og procedurer, som formuleres af respektive ejere ud fra krav og retningslinjer i driftshåndbogen REVI-IT A/S Side 5 af 46

6 ISAE 3402 erklæring fra REVI-IT Gyldighedsområde Politikken er gældende for alle SOTEA s it relaterede aktiviteter, nævnt under punkt 1.2. Ydelser Data, programmer og informationer 5.4. Organisation og ansvar: Der er nedsat en sikkerhedsgruppe, som har ansvaret for at udarbejde SOTEA s IT sikkerhed, i forhold til dokumentation og implementering af procedurer Beredskabsplanlægning: Skadebegrænsende tiltag Etablering af temporære nødløsninger Genetablering af permanent løsning Se Kapitel 14. Beredskabsstyring 5.6. Sanktioner: Medarbejdere, der bryder de gældende informationssikkerhedsbestemmelser i SOTEA, kan straffes disciplinært. De nærmere regler om dette fastsættes i overensstemmelse med den gældende personalepolitik under afsnittet Misligholdelse. 6. Organisering af informationssikkerhed 6.1. Intern organisering Ledelsens forpligtelse til informationssikkerhed Det er SOTEA s Adm. Direktør der har det overordnede ansvar for sikkerhedspolitikken, og herunder politikker og procedurer, og den Adm. Direktør der godkender opdateringer og tilføjelser hertil. Der foretages årligt review af sikkerhedspolitikken, og herunder politikker og procedurer Koordinering af informationssikkerhed Vi har defineret en sikkerhedspolitik der beskriver hvordan vi overordnet skal håndtere vores forretning og vores leverancer. Denne er tilgængelig på vores intranet, hvor alle medarbejdere løbende kan blive opdateret, samt slå op hvis der skulle opstå tvivl om vores politikker og procedurer Der er nedsat en sikkerhedsgruppe, der sikre at politikker og procedurer ajourføres og bidrager til optimering af det aktuelle sikkerhedsniveau. Dette gøres primært gennem den årlige review af sikkerhedspolitikken Delegering af ansvar for informationssikkerhed Det er den Adm. Direktør og Tekniske Chef der har ansvaret for at få gennemført specifikke politikker og procedurer Det er sikkerhedsgruppen der har ansvaret for udførelse af den årlige review, samt godkendelse af den endelige sikkerhedspolitik Godkendelsesproces for informationsbehandlingsfaciliteter Der er etableret processer for indkøb af hardware og software, og der skelnes mellem om indkøb er Primært (alt indkøb til installation i Datacenter og Backuplokation), sekundært (tynde klienter til kontor/sotea, perifert udstyr til kontor/sotea osv.) og indkøb til videresalg Fortrolighedsaftaler Der er etableret fortrolighed med alle medarbejdere igennem vores ansættelseskontrakter, samt via vores personalepolitik. REVI-IT A/S Side 6 af 46

7 Der er etableret fortrolighed med de primære eksterne partnere, gennem indgåelse af samarbejdsaftale, hvor SOTEA eller leverandøren gør opmærksom på at fortrolighed og tavshedspligt skal overholdes Kontakt med myndigheder Vi har ikke behov for løbende kontakt til myndighederne, i relation til informationssikkerhed. Hvis der skulle blive behov for kontakt til myndigheder, i relation til vores informationssikkerhed, eksempelvis kontakt til politi i forhold til røveri, hærværk, bedrageri eller anden kontakt til myndigheder, er det vores Adm. Direktør der har dette ansvar Kontakt med særlige interessegrupper Vi er som en del af vores drift registreret hos DK-CERT, og har løbende kontakt, minimum 1 gang årligt Uafhængig evaluering af informationssikkerhed Der foretages evaluering af en ekstern it-revisor, i forbindelse med udarbejdelse af den årlige ISAE 3402 erklæring Eksterne parter Identifikation af risici i relation til eksterne parter For hvert primære samarbejde har vi udarbejdet en risikovurdering for vurdering af risici, som samarbejde kan medføre i forhold til vores ydelse til kunderne, herunder sikkerheden hos de enkelte leverandører, dataudveksling, eksterne adgange m.m. Med primære samarbejde, menes samarbejde der vedrører vores installationer, hardware og software i Datacenter Sikkerhedsforhold i relation til kunder Vi har procedurer for implementering af nye kunder, samt tildeling af adgang og rettigheder for brugere/kunder på vores systemer Håndtering af sikkerhed i aftaler med tredjemand SOTEA varetager alle ydelser selv, så vi har ikke parter som er en integreret del af vores leverancer, jf. ydelser nævnt i afsnit 1.2. Ydelser. 7. Styring af informationsrelaterede aktiver 7.1. Ansvar for aktiver Fortegnelse over aktiver Vores netværk og miljø er komplekst med mange systemer og kunder, og for at sikre mod uvedkommende adgang, og for at sikre gennemskuelighed af opbygningen, har vi udformet en række dokumentation, der beskriver det interne netværk, med enheder, navngivning af enheder, logisk opdeling mv Ejerskab af aktiver Vi arbejder i SOTEA med ejerskab over aktiver for at sikre, at ingen enheder, systemer eller data bliver glemt i forhold til sikkerhedsopdateringer, backup, drift og vedligehold Klassifikation af information Retningslinier for klassifikation: Etablering og vedligeholdelse af klassifikation af informations aktiver skal være med til at sikre, at aktiverne til stadighed har det rette og passende beskyttelsesniveau. REVI-IT A/S Side 7 af 46

8 Der er i SOTEA dog tale om en yderst simpel klassifikation, da alle data som udgangspunkt er interne data som ikke skal deles med eksterne interesser Mærkning og håndtering af information Klassificeringen er dokumenteret og ajourføres minimum årligt. Vores kunders data, og vores egne data er klassificeret som klasse 3. Intern. Systemdata for netværk, logs af Administrator brugere, er prioriteret højst, herunder sikret betryggende, som klasse 2. Fortrolig. 8. Medarbejdersikkerhed Alle ansatte, uanset funktion, er i det følgende benævnt medarbejder, og er sammen med SOTEA s ydelser og service, SOTEA s største aktiver. De gældende regler for SOTEA s medarbejdere er angivet i Personalehåndbogen For at bevare og udbygge sikkerheden omkring SOTEA s informationsaktiver er det vigtigt, at der er fokus på informationssikkerhed under alle ansættelsesforløbets 3 faser (før ansættelser, under ansættelse og ved ansættelsens ophør) Inden ansættelse Der skal, i ansættelseskontrakten, tydeligt angives Stillings- og funktionsbeskrivelse, samt eventuelle særlige sikkerhedsmæssige opgaver og ansvar Under ansættelsesinterview skal ansøgeren informeres om hvilke sikkerhedsmæssige krav ansættelsesforholdet indebærer Generelle vilkår for ansættelse, herunder fortrolighed om egne og kunders forhold, er beskrevet i hver medarbejders ansættelseskontrakt Der indhentes ren straffeattest Under ansættelse Det er ledelsens ansvar at alle medarbejdere er bekendt med og efterlever den gældende SOTEA Sikkerhedspolitik, og de fastlagte retningslinier og procedurer SOTEA vil løbende afvikle aktiviteter og uddannelse med det formål at udbrede og forbedre viden og opmærksomhed omkring informationssikkerheden, og øge medarbejdernes evne til at imødegå eventuelle trusler Manglende overholdelse af aftalte og fastlagte regler, og politikker vil blive sanktioneret jf. Personalehåndbogen Ophør eller ændringer i ansættelse a. Ledelsen er ansvarlig for, at medarbejderen er informeret om de gældende regler ved og efter ansættelsesophør. b. Medarbejderen skal aflevere alle SOTEA s aktiver. Den ansattes nærmeste leder har ansvaret for at den ansatte aflevere nedenstående, den sidste arbejdsdag: a. Nøgler b. Adgangskort c. Kreditkort d. Mobiltelefon e. Bærbare pc f. Evt. andet udleveret udstyr c. Det skal sikres at alle medarbejderens adgangsrettigheder inddrages. Det skal afgøres, om det er nødvendigt at slette disse rettigheder, eller om det blot er tilstrækkeligt at spærre disse. De rettigheder, der skal spærres eller slettes, inkludere fysisk adgang, samt adgang til systemer. REVI-IT A/S Side 8 af 46

9 9. Fysisk sikkerhed 9.1. Sikre områder SOTEA har eget datacenter placeret i IT-Huset ved Ferskvandscentret. Alene autoriserede personer får adgang til lokaler via den etablerede procedure. Skal eksterne personer have adgang til lokalet, er det i følgeskab med en af vores autoriserede medarbejdere, medmindre der er indgået særskilt aftale om selvstændig adgang via nøgle og kode. Eksterne service tekniker vil efter aftale blive låst ind af SOTEA, der også sørger for at der bliver aflåst igen. Adgang til datacenter kan kun ske vha. elektronisk kodet nøgle og PIN-kode der er udleveret efter aftale og som kræver underskrift af de enkelte personer. I datacenter er der monteret tyverialarm, i tilfælde af indbrud alarmeres den private vagtcentral, og vagtcentral ringer til SOTEA medarbejder jf. prioriteret liste udleveret til vagtcentral - der sendes vagt så snart alarm går. Der er ligeledes monteret brandslukningsudstyr/energen anlæg, som tilsvarende vores tyverialarm er koblet op på vagtcentral. Der er andre alarmer i form af fejl på UPS, Køleanlæg og temperatur, hvor der ved fejl sendes SMS til den Tekniske Chef og Direktøren, samt mail til hvor der automatisk bliver oprettet en ticket på alarmen, som så håndteres af SOTEA support. Vi anvender til sikring af driftsfaciliteterne køle- og brandanlæg, der periodisk testes og serviceres. Som med tyveri er den private vagtcentral også her tilkoblet og i tilfælde af alarm vil relevante personer hos SOTEA blive notificeret Sikring af udstyr Vores centrale netværksudstyr samt kundernes servere, som har etableret aftale om placering af udstyr hos os, og andet udstyr er, fysisk placeret i aflåst lokale, som har monteret køling og brandslukning mv. Til sikring af forsyning af elektricitet til DC i forbindelse med strømudfald er der monteret UPS og diesel generator. Dette setup er anslået til at kan køre i 6 timer på en fuld tank. En gang i måneden tester vi UPS og generator og en gang årligt udføres der service af ekstern service tekniker. 10. Styring af netværk og drift Operationelle procedurer og ansvarsområder Dokumenterede driftsprocedurer Det er i vores organisation ikke muligt at have 100% overlap på alle opgaver, systemer og kompetencer. Vi sikre, så vidt det er muligt, at alle medarbejdere, nye som gamle, kan arbejde på vores systemer, uden stor operationel og historisk erfaring. Dette via dokumentationer og procesbeskrivelser, af de mest vitale opgaver, systemer og kompetencer. Det vil dog altid være opgaver, systemer og kompetencer, som kræver en vis ekspertise og historisk erfaring, hvor opgave kun kan foretages af enkelte nøglemedarbejdere, eller eksterne kompetencer. Vi forsøger dog at sikre denne personafhængighed, så vidt det er muligt, med dobbeltroller på udvalgte systemer. Dobbeltroller kan både være i forhold til intern medarbejder, og ekstern partner/kompetence Ændringsstyring Vi har defineret en proces for ændringshåndtering for at sikre, at ændringer sker efter aftale med kunder, tilrettelægges hensigtsmæssigt i forhold til interne forhold, håndteres så de er til mindst mulig gene for kunden og vores drift generelt. Ændringer sker alene baseret på en kvalificering af opgaven, kompleksiteten, og vurdering af påvirkning af kunder, og andre systemer. REVI-IT A/S Side 9 af 46

10 Vi har en standard projektmodel, til styring/håndtering af ændringer, som er inddelt i en række faser, der som minimum indeholder en foranalyse/beskrivelse fra kunde, løsning, test og implementering. Der skelnes mellem om det er en minor eller major change, jf. nedenstående definition: Major Change: Opgaver med høj risiko, af en vis størrelse, som er væsentlige ændringer i vores generelle driftssystemer som påvirker flere kunder, kræver godkendelse af vores Tekniske Chef eller Driftschef (eks. ændring, afvikling eller anskaffelse af nyt SAN, VMM, netværk, SOTEA forretningsapplikation m.m.). Minor Change: Opgaver med lav risiko, som er opgaver vi udfører ofte, og som typisk kun vil berøre en enkelt kunde, kan udføres af alle support medarbejdere med respektive rettigheder til at udføre opgaven (eks. installation af program på kundeserver, genstart af kundeserver, ændring af rettighed på kundeserver m.m.). Derudover skelnes mellem følgende opgaver, under ændringsstyring: Ændringsanmodning/Change: Når en kunde beder om at få lavet en ændring på kundens server, kundens firewall, eller få genstartet en server, få installeret et program, eller andet system som dedikeret er kundens, eller kunden ønsker ændring i vores delte ressourcer, SAN, Exchange, Netværk, Filserver m.m. Sikkerhedshændelse/Incident: En sikkerhedshændelse er en hændelse med negativ virkning på vores sikkerhedsniveau. En hændelse medfører ikke nødvendigvis skade i alle tilfælde (f.eks. en branddør i serverrum som står åben). Hændelsen kan ske forsætligt eller uforsætligt. Sikkerhedshændelser skal løbende vurderes, og skal som minimum gennemgås ved de ½ årlige møder i Sikkerhedsgruppen. Internt projekt: Dette er ændringer som ikke involvere kunder, men er rene interne projekter, så som installation af ny hardware i DC, nyt SAN, opgradering af Exchange, indsætte en ny host m.m. Kunde Implementering: Ved implementering af ny kunde, eller eksisterende kunde der skal have flere ydelser, er der defineret projektforløb til gennemførelse af dette. Opgaver af en vis størrelse, som er væsentlige ændringer i vores generelle driftssystemer på tværs af kunder, kræver godkendelse af vores Tekniske Chef eller alternativt vores Adm. Direktør Funktionsadskillelse Vores dokumentationer og processer generelt sikrer, at vi udelukker eller minimere nøglepersonafhængighed. Funktionsadskillelse er en vigtig del af vores organisation og drift, hvorfor vi, via adgangskontroller og rettighedsstyring, sikre, at kun autoriseret personale kan udføre de nødvendige handlinger på systemer og data. Her opdeles medarbejdere i: Administrativ First level support Second level support Third level support Vi har adskilte miljøer til test/udviklingsmiljø og produktion. Miljøerne er adskilte logisk, med et test-/udviklingsmiljø og et produktionsmiljø. Vi har med ovenstående Funktionsadskillelse etableret de nødvendige adgangskontroller for at sikre, at kun autoriseret personale kan tilgå vores produktionsmiljø. Vores test-/udviklingsmiljø er ikke vitalt, og der ligger ikke vitale data, så dette kan alle der har et behov tilgå, og dette uden risiko for at forstyrre vores produktionsmiljø og driften af vores kunder. REVI-IT A/S Side 10 af 46

11 10.2. Styring af serviceydelser fra tredjepart Overvågning og evaluering af serviceydelser fra tredjepart Vi har procedure der sikre at aftalte leverancer fra tredjepart gennemføres jf. aftale, her tænkes specielt på årlige service eftersyn, samt hvis der skal indhentes revisorerklæringer hos tredjepart Styring af ændringer af serviceydelser fra tredjepart Når der sker ændringer til vores ydelser fra vores eksterne samarbejdspartnere, ved fremsendelse af ny partneraftale, eller andre forhold som kan have indflydelse på vores aftale med kunderne, er der procedure for at sikre at vi forholder os aktivt til disse ændringer, og deres konsekvens for vores generelle forretningsbetingelser Systemplanlægning og systemaccept Kapacitetsstyring Det påhviler Driftschefen at overvåge ressourceforbruget indenfor vedkommendes ansvarsområde, og løbende at udarbejde udviklingsprognoser således at de nødvendige og tilstrækkelige ressourcer er til rådighed. Dette primært i forhold til om vores kunders, og egne systemer performer som de skal, samt at der er de nødvendige ressourcer til rådighed Systemaccept Når vi opsætter nye servere, ved eksisterende såvel som nye kunder, foretages en generel test af SO- TEA, hvorefter kunden tester og godkender, hvorefter server sættes i drift. Se i øvrigt afsnit Ved installation af programmer/systemer på kunders servere, er det op til den enkelte kunde samt evt. tredjepart at foretage systemaccept Beskyttelse mod skadevoldende programmer og mobilkode Foranstaltninger mod skadevoldende kode Alle servere i SOTEA driftsmiljø, skal være udstyret med opdateret og aktivt antivirusprogram. Alt elektronisk trafik ( , downloads o.l.) skal scannes for at sikre imod malware. Til sikring imod smitte og angreb fra de ydre net, skal alle net være beskyttet af vedligeholdt og overvåget firewall. Opdatering af firewall er dokumenteret via vores normale change procedure. Herudover er vores kundesystemer sikret mod at de selv kan installere programmer. Dog kan der gives tilladelse til at kunder kan have lokale administratorret, dette skal dog skriftligt aftales, hvor SO- TEA gør opmærksom på risikoen herved, samt ansvarsfraskrivelse fra SOTEA s side Foranstaltning mod mobil kode Browsere skal væres opsat på en sikker måde, og automatisk eksekvering af kode som ActiveX og Java Appletts skal være deaktiveret. Det er, som udgangspunkt, ikke muligt for kunder at installere programmer på deres servere Sikkerhedskopiering (Backup) Vi sikre at kunne genskabe systemer og data på hensigtsmæssig og korrekt vis, og efter de aftaler, vi har med vores kunder. Omfanget af backup er formelt beskrevet i vores aftale med kunderne. Vi har etableret en testplan for verificering af hvorvidt sikkerhedskopieringen fungere samt en test af hvordan systemer og data praktisk kan reetableres. Der føres log over disse tests således at vi kan følge op på om vi kan ændre på procedurer og processer for at højne vores løsning. REVI-IT A/S Side 11 af 46

12 Med mindre andet er aftalt med vores kunder, foretager vi sikkerhedskopiering af hele deres miljø hos os. Vi foretager sikkerhedskopiering af vores egne systemer og data på samme vis, som vores kunders systemer og data. Vi har udarbejdet faste procedurer og beskrivelser for opsætning og vedligehold af backup. Hver nat føres en fuld kopi af data fra SOTEA Datacenter I til SOTEA Backuplokation (co-location) ved hjælp af vores backup-system. Dermed er data fysisk separeret fra vores driftssystemer. En ansvarlig medarbejder sikrer herefter, at sikkerhedskopieringen er sket, foretager det fornødne, hvis jobbet er fejlet, og herefter logger dette Styring af netværkssikkerhed Netværksforanstaltninger SOTEA anvender elektroniske netværk, både kablede og trådløse, dog er det trådløse netværk ikke logisk forbundet med vores driftsnet, og det trådløse netværk er ikke vitalt for vores drift. Vi er yderst afhængige af et velfungerende og sikkert kablede netværk, i forhold til alle vores systemer. Beskyttelse af netværket skal afstemmes efter de resultater vores årlige risikovurdering giver, således at der er den nødvendige og tilstrækkelige sikkerhed ved anvendelsen af nettet. It-sikkerheden omkring systemers og datas ydre rammer, er netværket mod internettet. Vi mener at have sikret data og systemer, både på det interne netværk, såvel som det ydre værn mod uvedkommende adgang, hvilket er af højeste prioritet hos os. Det ydre værn er primært beskyttet af en firewall, som løbende bliver opdateret og vedligeholdt. Ansvaret for netværk og netværkssikkerhed ligger hos vores Driftschef, og der er udarbejdet procedurer, vejledninger og dokumentation til anvendelse i forbindelse med drift og vedligehold af netværk Sikring af netværkstjenester Adgang til vores systemer fra vores kunder, sker enten via en offentlig internet forbindelse, hvor adgang sker via krypteret TSG adgang eller via konfigureret VPN tunnel til kundens lokation/firewall, eller adgang via MPLS/Punkt til punkt forbindelse. Adgang mellem SOTEA Datacenter I og SOTEA Backuplokation sker via SOTEA s egen sorte fiber, hvor der er SOTEA udstyr i begge ender. Alene godkendt netværkstrafik (indgående) kommer gennem vores firewall. Vi er ansvarlige for driften og sikkerheden hos os, dvs. fra og med systemerne hos os og ud til internettet (eller MPLS/Punkt til punkt). Vores kunder er selv ansvarlige for at kunne tilgå internettet fra egen lokation Mediehåndtering Styring af bærbare medier Vi sikre, i bedst muligt omfang, vores medarbejderes bærbare udstyr såsom bærbare pc, PDA, mobiltelefon og lign. Dog er ingen medarbejderes udstyr koblet i domæne, så alt adgang foregår via Fjern Skrivebord/RDP, så der vil aldrig ligge vitale data på deres PC ere, PDA eller mobiltelefoner, udover mail. Vi anbefaler at der etableres et login på vores bærbare udstyr, samt at der installeres antivirus Bortskaffelse af medier Alt databærende udstyr, destrueres inden bortskaffelse for at sikre, at data ikke er tilgængeligt. Der er udarbejdet vejledninger som sikre, at data på medierne ikke kan genskabes. REVI-IT A/S Side 12 af 46

13 Procedure for håndtering af informationer Vi skal sikre, at vores og vores kunders systemer og data beskyttes. Vi håndterer derfor ikke kunders data på håndbårne medier (USB, CD/DVD, flytbare diske) uden forudgående aftale med kunderne. Vores og vores kunders data, på bærbare medier skal være beskyttet betryggende mod brud på informationssikkerheden, eksempelvis ved anvendelse af kryptering. Faren for tab af data ved brug af kryptering, når krypteringsnøgle mistes, skal forebygges ved at data opbevares på andet sikkert medie, eks. hos kunden eller hos SOTEA, og ansvaret for dette er data ejers Sikring af systemdokumentation Vores dokumentation er naturligvis vigtig for os, og på alle måder fortroligt ift. omverdenen. Vores dokumentation ligger i vores SharePoint system, hvor der er påkrævet login med bruger og password, samt tildeling af rettigheder i forhold til hvad bruger/medarbejder må/skal tilgå af dokumentation. Der tages daglig backup af alt dokumentation, og derudover gemmes primær dokumentation i Excelfiler hvert ½ år Informationsudveksling Politikker og procedurer for informationsudvekling Ekstern datakommunikation, sker alene via mails, idet vores kunders adgang og brug af vores servere, ikke betragtes som ekstern datakommunikation. Førstegangskodeord til kundesystemer fremsendes via mails, men disse skal ændres ved første logon. Glemte kodeord, personoplysninger, ændring i rettigheder, bestillinger m.v. håndteres via telefon eller pr. mail, og hvis kunden har bedt om at det er specifikke personer hos kunden der skal godkende dette, skal godkendelse ske inden ændring via telefon eller mail, ellers kan ændring foretages når medarbejder har forventning om at det er den rette person, vi har kontakt til. Print eller kopier af fortrolige og følsomme oplysninger må ikke ligge i printerens eller kopimaskinens udbakke, men skal afhentes med det samme efter igangsætning af print. Faren for at røbe fortrolige eller følsomme oplysninger, enten via telefonsamtaler i det offentlige rum, eller ved at koble mobilt udstyr til offentligt tilgængelige netværk, er store og skal modvirkes ved at være meget opmærksomme på faren, og undlade disse handlinger hvor det er muligt Udvekslingsaftaler Ved faste eller jævnlige udvekling af informationer skal der indgås klare aftaler til sikring af oplysninger. SOTEA har pt. ingen fast udvekling med nogen interessenter Fysiske medier under transport Forsendelse af fysiske medier (bånd, diske, CD, DVD og lignende) skal ske med pålidelig og troværdig transportør (herunder UPS, GLS, Budstikken, Post Danmark m.m.). Fortrolige og følsomme data på medierne skal være sikret på bedst mulig måde, ligesom der skal foreligge en sikret backup til beskyttelse imod tab og bortkomst Elektroniske meddelelser Brug af til kommunikation og til udveksling af data via vedhæftede filer er udbredt og uundværligt. Regler for brug af fremgår af SOTEA Personalepolitik Overvågning Auditlogning (opfølgningslogning) Vi har opsat overvågning og logning af netværkstrafik, og vores driftsafdeling følger dette. Vi foretager ikke proaktiv overvågning af logførte hændelser, men vi følger op såfremt vi mistænker at en hændelse kan relatere til forhold afdækket i log. REVI-IT A/S Side 13 af 46

14 Til styring af overvågning og opfølgning på hændelser, har vi implementeret formelle incident og problem management procedurer til sikring af, at hændelser registreres, prioriteres, styres, eskaleres og at der foretages de nødvendige handlinger Overvågning af systemanvendelse. Vores driftsmedarbejdere foretager den daglige overvågning af vores systemer via automatiserede systemer til måling af grænseværdier. Der sker en alarmering via SMS og/eller mail såfremt kritiske hændelser konstateres, og vi gør sådan fordi vi skal sikre vores kunders data fortroligheden heraf, samt vores kunders oplevelse i forhold til performance og tilgængelighed. Til styring af overvågning og opfølgning på hændelser, har vi implementeret formelle incident og problem management procedurer til sikring af, at hændelser registreres, prioriteres, styres, eskaleres og at der foretages de nødvendige handlinger. Hændelser for login og logout på vores platforme logføres. Væsentlige interne brugerkonti overvåges for login og udvalgte aktiviteter. Udover logning af login har vi udarbejdet en logstrategi for hvilke hændelser og brugeraktiviteter, som logges. Logningsstrategien er udarbejdet med udgangspunkt i en vurdering af systemets eller aktivets betydning for SOTEA og SOTEA s kunder, samt risikoen for at hændelsen indtræffer. Vi foretager ikke proaktiv overvågning af logførte hændelser, men vi følger op såfremt vi mistænker at en hændelse kan relatere til forhold afdækket i log Beskyttelse af logoplysninger Logs må kun kunne tilgås af autoriseret personale. Der skal for hver log være procedurer for håndteringen af loggen, og oplysningerne i denne. Rettelse i logs må ikke foretages Administrator- og operatørlog Logning af administratorer sker i forbindelse med den almindelige logning Fejllogning Vi logger på både succesfulde og fejlede handlinger på udvalgte hændelser Alle servere bliver løbende synkroniseret med tiden på en fælles tids server. 11. Adgangsstyring Forretningsmæssige krav til adgangsstyring Politikker for adgangsstyring Vi har politik for adgangstildeling. Politikken er en del af vores it-sikkerhedspolitik. Tildeling af udvidede adgangsrettigheder må alene ske ud fra en arbejdsmæssig begrundelse, efter at den nødvendige autorisation foreligger, og der skal til stadighed findes en ajourført fortegnelse over de tildelte rettigheder Administration af brugeradgange Brugerregistrering Vores kunders brugere oprettes alene på baggrund af vores kunders ønsker, og oprettes af vores support. Der skal foreligge mail som dokumentation for oprettelse af en bruger for en kunde. Vores egne brugere oprettes alene på baggrund af autorisation fra vores Tekniske Chef eller Adm. Direktør. Ved fratrædelse sikre vores procedurer aflevering af materiel og lukning af medarbejderens konti. REVI-IT A/S Side 14 af 46

15 Adgang til systemer og data fjernes alene på baggrund af skriftlig ønske fra kunde, system- eller dataejer. Alle brugere skal være personhenførbare, dvs. have tydligt mærke med personnavn. Er der tale om servicebrugere, altså konti som alene benyttes systemmæssigt, er muligheden for egentlig logon inaktiveret, så vidt det er muligt. Der er dog tilfælde hvor kunder har oprettet konti til deres tredjeparts leverandører, hvor disse brugere har adgang til kundens server, men hvor brugernavn er en generel betegnelse, eller leverandørens navn, da der kan være flere personer fra leverandøren der bruger samme konto, dette grundet kunden afregnes pr. bruger pr. måned Administration af privilegier Tildeling af privilegier, og rettigheder, er kontrolleret i forbindelse med vores normale brugeradministrations proces Administration af brugeradgangskoder (password) Anvendelse af password er kontrolleret via regler implementeret automatisk ved hjælp af GPO og lignende Evaluering af brugeradgangsrettigheder Vi udfører periodisk efterkontrol af vores brugere og tildelte privileger og rettigheder. Laves ved stikprøver i udtræk fra vores AD, hvor rettigheder på kunder og medarbejdere gennemgås - dette foretages minimum 1 gang årligt Brugeransvar Brug af adgangskoder Vores it-sikkerhedspolitik foreskriver, at vores medarbejderes kodeord er personlige, og det er alene brugeren selv, der må kende kodeordet. Medarbejdere skriver årligt under på, at de har læst og forstået seneste version af vores sikkerhedspolitik. Da vi har en del brugere, såsom service accounts og lign., som ikke kan bruges til at logge på med, og af systemmæssige årsager ikke skifter passwords, har vi et system til opbevaring af disse passwords. Kun autoriseret personale har adgang til systemet. Krav til disse passwords er højere end vores almindelige passwordpolitik Brugerudstyr uden opsyn SOTEA har en politik omkring passende beskyttelse af udstyr uden opsyn, så som computere og mobilt udstyr Politik for ryddeligt skrivebord og blank skærm Ryddeligt skrivebord: i. Papir eller andre flytbare medier, der indeholder følsomme eller forretningskritiske informationer, så som aftaler, kontrakter udskrift af kundedata, eller andet fortroligt materiale, må ikke ligge fremme på skrivebordet, så uvedkommende kan få adgang til dette. ii. Medier, som indeholder følsom data, bør straks fjernes fra printere, og kopimaskiner. Blank skærm: i. Aktive sessioner skal afsluttes, når bruger er færdig. ii. Der skal logges af applikationer og netværkstjenester, når de ikke længere bruges Styring af netværksadgang Autentifikation af brugere med ekstern forbindelse REVI-IT A/S Side 15 af 46

16 Adgang til vores netværk og dermed potentielt til vores og vores kunders systemer og data, skal kun ske for autoriserede personer Identifikation af udstyr i netværk Vi har dokumenteret vitalt udstyr i vores datacenter, så som servere, disksystemer, switche og andet vitalt netværksudstyr Beskyttelse af fjerndiagnose- og konfigurationsporte Fysisk: Alle netværksenheder er installeret i aflåste rum i datacenteret, hvor der kun er adgang for SOTEA personale. Logisk: Adgang til netværksenheder og administration heraf, kan kun ske fra management netværket. Det er et ikke-routningsnetværk, og der er kun adgang til netværket fra vores overvågningsserver Opdeling af netværk Alle netværk har deres eget VLAN og der routes kun mellem de 2 produktionsnetværk. Alle netværk styres direkte, eller indirekte af firewallen Styring af netværksforbindelser Alle indadgående og udadgående forbindelser bliver styret i vores firewall: Største delen af kunderne har side to side vpn til produktionsnetværket, hvor de kan tilgå deres server via RDP. Enkelte kunder kan have adgang til andre services, hvilket er dokumenteret i vores Firewall. Kunder, der ikke har vpn, kan komme på deres server med RDP via en hertil dedikeret gateway server med SSL og bruger godkendelse. Vi har ikke installationer på WAN netværk, som vores infrastruktur er direkte afhængig af, derfor kan alt styres med vores firewall, samt interne autentifikation regler. Ligeledes benytter vi os ikke af multiple domain strukturer hvorved en/- eller tovejs domain trust ville være nødvendig Styring af netværks-routning Se punkt Styring af adgang til driftssystemer Procedure for sikker log-on Alle SOTEA systemer tilgås via Terminal Service, og adgang til SOTEA systemer sker ved at tilknytte rettigheder til den enkelte konto, der entydigt er udpeget af kombinationen bruger-id og password. Adgang tildeles og administreres af SOTEA support Identifikation og autentifikation af brugere Alle brugere oprettes på baggrund af en skriftlig forespørgsel, fra en kunde hvis en kundes bruger, eller fra Tekniske Chef eller Adm. Direktør hvis ny medarbejder. Med angivelse af fulde navn, mailadresse, samt hvilke privilegier og rettigheder brugeren skal have System for administration af adgangskoder Alle brugere på tværs af både kundesystemer og egne systemer, har restriktioner omkring adgangskode. Alle brugere har en adgangskode, og det er systemmæssigt sat op således, at der er begrænsninger ift. udformning af kodeord. Kodeordet skal skiftes regelmæssigt, være komplekst, og brugeradgange inaktiveres automatisk hvis brugeren ikke har skiftet kodeordet inden for det definerede tidsrum. Passwords på domænet er kontrolleret via GPO regler defineret i AD. Systemer, som ikke er en del af AD, som alle er sekundære systemer, er ikke underlagt samme restrektioner, og der er ikke krav om REVI-IT A/S Side 16 af 46

17 skift af password Begrænsning af forbindelsestid Udover skærmlås har vi, for medarbejdere/interne brugere, sat timeout på RDP/Terminal Service efter 1 time Styring af adgang til forretningssystemer og information Begrænset adgang til informationer Vores medarbejdere er opsat med differentieret adgang, og har således alene adgang til de systemer og til de data, som er relevant for deres arbejde. Vores kunders brugeradgang til kundens systemer og data, bestemmes af vores kunder. Alle medarbejdere skal som udgangspunkt kunne tilgå alle data som vedrøre vores dokumentation af systemer, samt dokumentation af kunde aftaler og kunde systemer. Økonomisystem kan tilgås af administrativt personale, og ledelsesdata kan kun tilgås af ledelsen. Derudover er der restriktioner på hvilke vitale systemer respektive medarbejdere kan tilgå, så som SQL databaser, Exchange system, AD, SAN m.m Isolering af følsomme systemer Vi sikre ikke særligt følsomme data, alle data behandles på samme måde i vores systemer, jf. vores itsikkerhedspolitik Mobilt udstyr og fjernarbejdspladser Mobilt udstyr og kommunikation Vi har en politik i SOTEA, hvor det ikke er tilladt at have kunde data eller andre følsomme data på mobilt udstyr, med mindre der foreligger accept fra kunde eller SOTEA ledelse. Mobilt udstyr er ikke i domæne, og alt adgang til SOTEA systemer foregår via RDP adgang. Så der stilles ikke særlige krav til sikring af mobilt udstyr. Vi har åbnet adgang til, at vi og vores kunder kan benytte mobile enheder (smartphones, tablets m.m.) og bærbare PC ere, til synkronisering af mails og kalender. Ud over bruger-id og adgangskode via AD, har vi ikke implementeret andre sikkerhedsforanstaltninger til sikring af disse enheder, og disses brugeradgang Fjernarbejdsplads Adgang til vores netværk og dermed potentielt til systemer og data, sker kun for autoriseret personer. Hjemmearbejdsplads for vores medarbejdere er sikret via krypteret TSG-forbindelse, hvor bruger skal have bruger-id og password for at logge på. 12. Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer Sikkerhedskrav til informationssystem Analyse og specifikation af sikkerhedskrav SOTEA s anskaffelse, udvikling og afvikling af informationsbehandlingssystemer, følger regler og procedurer jf. punkt Ændringsstyring. Informationsbehandlingssystemer omfatter styresystemer, infrastruktur, forretningssystemer (såvel egenudviklede som færdige standard-systemer), brugerudviklede systemer og tjenesteydelser Korrekt informationsbehandling i forretningssystemer Validering af inddata REVI-IT A/S Side 17 af 46

18 Hvis der foretages ændringer til forretningssystemer eller applikationer, skal der i detaljer beskrives hvad der er ændret, samt hvordan ændringer skal håndteres af medarbejdere, i forhold til at sikre validering af ind- og uddata. Der er ikke behov for yderligere kontrol, end den der foregår i den daglige brug af vores systemer Styring af intern informationsbehandling Der er ikke behov for yderligere kontrol, end den der foregår i den daglige brug af vores systemer Meddelelsers integritet Vi sikre kommunikation imellem eksterne systemer, laptops og hjemmearbejdspladser, og vores systemer ved hjælp af VPN-tunneler, MPLS/punkt til punkt og TSG forbindelser Validering af uddata Hvis der foretages ændringer til forretningssystemer eller applikationer, skal der i detaljer beskrives hvad der er ændret, samt hvordan ændringer skal håndteres af medarbejdere, i forhold til at sikre validering af ind- og uddata. Der er ikke behov for yderligere kontrol, end den der foregår i den daglige brug af vores systemer Kryptografi Politik for anvendelse af kryptografi Vi anvender kun standard kryptering, hvor krypteringsnøgler ligger dokumenteret i firewalls og klienter. Vi vurdere der ikke er behov for yderligere dokumentation i forhold til kryptografi Administration af nøgler Vi anvender kun standard kryptering, hvor krypteringsnøgler ligger dokumenteret i firewalls og klienter. Vi vurdere der ikke er behov for yderligere dokumentation i forhold til kryptografi Sikring af systemfiler Styring af software på driftssystem Vi sikre at der alene installeres godkendte og testede opdateringer på vores systemer. Ydermere sikre vi at kritiske opdateringer ikke bliver mere end 6 måneder gamle, før de installeres. Vores politik i forhold til opdatering af software, gælder kun software som er lejet/ejet af SOTEA, og software som SOTEA har det fulde ansvar for, og dermed ikke kundens eget software. Vores driftssystem består af en kompleks konfiguration, og når vi planlægger ændringer heri selv når disse er af mindre karakter, men som kan have en væsentlig påvirkning drøftes det internt på supportmøder. Først herefter foretages ændringen, og hvis det er major change, skal disse godkendes af ledelsen. Ændringen sker i vores fastsatte, eller udmeldte, servicevinduer.vi planlægger samtidig et fallback scenarie hvor det er muligt, og vi beskriver dels ændringen og opdaterer vores dokumentation. Vi anvender samme procedure for ændringer, om de er bestilt af vores kunder eller interne ændringer. Patches og andre opdateringer til systemer og databaser styres ligeledes efter samme procedure Sikkerhed i udviklings- og hjælpeprocesser Procedurer for styring af ændringer Se afsnit Ændringsstyring i vores kontrolbeskrivelse Teknisk gennemgang af forretningssystemer efter ændringer i operativsystemer Se afsnit Ændringsstyring i vores kontrolbeskrivelse. Hvis der opstår problemer med forretningssystemer efter opdatering af OS, som ikke er fundet i en evt. test, vurderes disse i evaluering, og håndteres efterfølgende. Der er ikke ekstraordinære kontroller eller processer i forhold til dette. REVI-IT A/S Side 18 af 46

19 Begrænsning af ændringer af softwarepakker Se afsnit Styring af software på driftssystem i vores kontrolbeskrivelse. Vi installere kun kritiske sikkerhedsopdateringer, der er godkendt af leverandører. Hvis der skal installeres yderligere opdateringer, vil dette være på opfordring fra de enkelte kunder, eller hvis vi internt har opdateringer der kræves installeret Lægkage af informationer Vi sikre lægkage af informationer ved bruger-id og password, samt tildeling af privilegier og rettigheder, samt igennem vores it-sikkerhedspolitik generelt Styring af teknisk sårbarhed Styring af tekniske sårbarheder Den Tekniske Chef eller Driftschefen godkender idriftsættelsen af nye it-systemer og nye versioner og opdateringer af eksisterende it-systemer, samt de afprøvninger, der skal foretages, inden de kan godkendes og sættes i drift. SOTEA bliver oplyst omkring sikkerhedssvagheder igennem medlemskab af DK-CERT, samt igennem anvendelse af WSUS. Derudover bliver medarbejdere aktivt opfordret til, at søge informationer omkring sikkerhedssvagheder på forskellige fora, eller generelt være opmærksomme på hvad man hører og ser gennem vores personalehåndbog. Den Tekniske Chef eller Driftschefen skal sikre, at det løbende vurderes, om der er behov for at installere rettelser til operativsystemer i SOTEA s driftsmiljø. Opdateringer kategoriseret som kritiske af software leverandører, skal installeres inden for 2 måneder fra frigivelses dato. Herunder kun software som SOTEA har det fulde ansvar for, og som er en del af SOTEA ydelse. Den Tekniske Chef eller Driftschefen skal sikre, at det løbende vurderes, om større operativsystemopdateringer og programpakkeopdateringer (service packs) skal installeres i SOTEA driftsmiljø. 13. Styring af sikkerhedshændelser Kritiske sikkerhedshændelser, løses her og nu. Eks. hacker-/virus angreb, eller andet vi vurdere som sikkerhedshændelse Rapportering af informationssikkerhedshændelser og svagheder Rapportering af informationssikkerhedshændelser Vores support system, hvori vi håndtere langt de fleste sager for kunder og interne forhold, er samtidig vores system til håndtering af sikkerhedshændelser. Heri kan vi eskalere forhold således, at opgaver får højere prioritet end andre. Herudover vil sikkerhedshændelser afstedkomme fra hhv. egne observationer, alarmering ud fra log- og overvågningssystemer, telefonisk henvendelse fra kunder, underleverandører eller samarbejdspartnere, blive eskaleret fra vores support til driftsafdelingen med samtidig orientering til ledelsen. Vi har etableret kontakt til hotline hos DK-CERT, hvor vi gensidigt har aftale om orientering ved væsentlige sikkerhedsrelaterede forhold vedrørende internettrafik Rapportering af sikkerhedssvagheder Vores medarbejdere er forpligtet til at anmelde enhver sikkerhedshændelse til nærmeste leder, så der hurtigst muligt kan reageres på hændelser, og nødvendig tiltag kan udføres jf. de etalerede procedurer Styring af informationssikkerhedsbrud og forbedringer Ansvar og procedurer Alle medarbejdere er forpligtet til at holde sig opdateret vha. producenters supporthjemmesider, debatfora, DK-CERT, reagere på alarmer fra vores systemer, leverandører, samarbejdspartnere mv. for at konstatere svagheder REVI-IT A/S Side 19 af 46

20 De skal informeres om, og skal følge de gældende regler og forretningsgange for rapportering af sikkerhedshændelser. Der er formelt udpeget systemansvarlige, og kravene til de systemansvarlige er klart og formelt defineret. Det er den systemansvarliges ansvar at udarbejde og vedligeholde procedurer, som sikre rettidig og korrekt indgriben i forbindelse med sikkerhedsbrud. Systemansvarlige er Teknisk Chef og Adm. Direktør, som har det overordnede ansvar for at procedurer, til håndtering af sikkerhedshændelser, udarbejdes og vedligeholdes løbende. Alle sikkerhedshændelser skal som minimum gennemgås og evalueres ( i forhold til vores generelle risikovurderingsmodel), på de ½ årlige møder i sikkerhedsgruppen, og hvis der er alvorlige trusler skal disse evalueres med det samme At lære af informationssikkerhedsbrud Alle sikkerhedshændelser gennemgås til den årlige risikovurdering, og på baggrund af konklusionen på vores analyse og evaluering, opdatere vi vores it-sikkerhedspolitik, og andre relevante dokumenter Indsamling af beviser Indsamling af beviser, er en del af vores rapportering, og efterfølgende evaluering. 14. Beredskabsstyring Informationssikkerhedsaspekter ved beredskabsstyring Inddragelse af informationssikkerhed i beredskabsstyringsprocessen Kontrollen er indført for at sikre, at der udarbejdes og vedligeholdes en styres proces til beredskabsstyring i SOTEA, som omhandler alle de krav til vores informationssikkerhed der er nødvendig, for at kunne opretholde SOTEA s fortsatte drift Beredskab og risikovurdering Vi har udarbejdet en beredskabsplan som omfatter it-systemer og processer på alle niveauer. Beredskabsplanen er forankret i it-risikoanalysen og vedligeholdes minimum årligt, i forlængelse af udførelsen af vores generelle it-risikoanalyse Udvikling og implementering af beredskabsplaner indeholdende stillingtagen til informationssikkerhed Sikkerhedsgruppen er ansvarlig for at SOTEA s informationssikkerhedspolitik, og at de givne retningslinier og vejledninger efterleves. Desuden skal sikkerhedsgruppen sikre den løbende vedligeholdelse af risikovurderinger, samt udarbejde og vedligeholde beredskabsplaner for alle væsentlige informationsaktiver i SOTEA. Sikkerhedsgruppen varetager også håndteringen af alle lokale sikkerhedshændelser, altså alle hændelser, hvor der er sket brud på informationssikkerheden, samt indberetning og evaluering af disse i overensstemmelse med de regler der er udarbejdet på området. Beredskabsplanen gennemgås, til den årlige it-risikoanalyse jf. afsnit Rammer for beredskabsplanlægning Vi har en ambition om at vi på 5 dage kan retablere primære enheder i vores datacenter. Dette sikre vi ved, at afveje risici, klassificere enheder i vores datacenter, og har procedurer der sikre, at vi i vores beredskabsplanlægning kan foretage udskiftning af vores driftsplatform, så de leverede ydelser vil blive retableret rettidigt Prøvning, vedligeholdelse og vurdering af beredskabsplaner REVI-IT A/S Side 20 af 46

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

any.cloud A/S CVR nr.: DK 31161509

any.cloud A/S CVR nr.: DK 31161509 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-12-2013 til 30-11-2014 any.cloud A/S CVR nr.:

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

SYSTEMHOSTING A/S CVR nr.: 25814606

SYSTEMHOSTING A/S CVR nr.: 25814606 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af hosting-platform i perioden 01-01-2014 til 31-12-2014 SYSTEMHOSTING

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING JUNI 2015 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

ISAE 3402 TYPE 2 ERKLÆRING

ISAE 3402 TYPE 2 ERKLÆRING JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING APRIL 2014 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

IT-Center Syd IT-Ydelseskatalog

IT-Center Syd IT-Ydelseskatalog IT-Ydelseskatalog April 2011 /PEM pem@itcsyd.dk Side 1/14 - Deres ref.: Vores ref.: Indholdsfortegnelse IT-Ydelseskatalog... 1 Indledning... 3 IT organisation... 3 Afdelingstruktur... 3 Adgang/Licenser

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Bestilling af online backup

Bestilling af online backup Bestilling af online backup 1. kundelogin (telefonnummer): 2. Abonnement: Sæt kryds Plads på server Oprettelse Månedligt abonnement 500 MB 499,- 100,- 1 GB 499,- 135,- 2 GB 499,- 170,- 3 GB 499,- 205,-

Læs mere

SLA Service Level Agreement

SLA Service Level Agreement SLA Service Level Agreement Indholdsfortegnelse 1 Service Level Agreement... 1 2 Driftsvindue og oppetid... 1 2.1 Servicevindue... 1 2.1.1 Ekstraordinær service... 1 2.1.2 Patch Management... 1 2.1.3 Åbningstid...

Læs mere

Standard for informationssikkerhed

Standard for informationssikkerhed Dansk standard DS 484 1. udgave Standard for informationssikkerhed Code of practice for information security management 2005-09-20 DS 484:2005 København DS projekt: M205538 ICS: 35.020; 35.040 Første del

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær.

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær. Hosting Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær. Mange virksomheder bruger i dag alt for mange ressourcer på at vedligeholde egne servere og IT-løsninger. Men faktisk er hosting

Læs mere

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser iodc (In & Outbound Datacenter) Hvidovrevej 80D 2610 Rødovre CVR 35963634 ( IODC ) Version 1.0 1 1. Forudsætninger... 3 2. Ansvar

Læs mere

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 Februar 2015 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S plus revision skat rådgivning Front-data Danmark A/S ISAE 3402 type 2 erklæring Februar 2013 Revisionserklæring af de generelle it-kontroller for driften af Front-data Danmarks hosting-aktiviteter. Kalvebod

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Bestilling af remote backup

Bestilling af remote backup Bestilling af remote backup 1. kundelogin (telefonnummer): 2. Abonnement: Sæt kryds Plads på server Oprettelse Månedligt abonnement 1 GB 0,- 56,- 5 GB 0,- 125,- 10 GB 0,- 220,- 15 GB 0,- 275,- 20 GB 0,-

Læs mere

Comendo Remote Backup. Service Level Agreement

Comendo Remote Backup. Service Level Agreement Comendo Remote Backup Service Level Agreement Side 2 af 7 Indholdsfortegnelse Service Level Agreement... 1 Indholdsfortegnelse... 2 Introduktion... 3 Comendo Remote Backup ansvar og forpligtelser... 3

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed Sådan håndterer Danish Crown sin industrielle IT-sikkerhed DAU d. 7 marts 2013 CV Firma : Navn : Afdeling : Titel : Alder : Danish Crown A/S Thomas Page Pedersen Factory IT Afdelingschef 43 år Danish Crown

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for Indholdsfortegnelse Side 1. Indledning 4 1.1 Formål med informationssikkerhedspolitikken 4 1.2 Hovedmålsætninger i informationssikkerhedspolitikken 4

Læs mere

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v.

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v. S E R V I C E L E V E L A G R E E M E N T for Netgroups levering af IT-ydelser m.v. Netgroup A/S Store Kongensgade 40 H 1264 København K CVR-nr.: 26 09 35 03 ( Netgroup ) Version 4.4 1. Forudsætninger...

Læs mere

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen.

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen. Personalehåndbog Personalehåndbogens målsætning Strategi og mål m.m. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen Bestyrelse 1 Organisationsdiagram 6. Vores målsætning Politikker

Læs mere

Dit netværk er vores højeste prioritet!

Dit netværk er vores højeste prioritet! Dit netværk er vores højeste prioritet! Hvor sikker er du på dit netværk? Netværkssikkerhed er ingen selvfølge. Det har mange virksomheder måttet konstatere den seneste tid. Vi har været vidne til gentagne

Læs mere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2012 August 2013 Ib Østergaard Rasmussen Faxe Kommune Frederiksgade 9 4690 Haslev 13. august 2013 Formål Vi har i juli/august måned 2013 foretaget revision

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2014 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

Mariendal IT - Hostingcenter

Mariendal IT - Hostingcenter ariendal IT - Hostingcenter ariendal IT - Hostingcenter ed vores topsikrede og professionelle hostingcenter tilbyder vi flere forskellige hostede løsninger I denne brochure kan du danne dig et overblik

Læs mere

Service Level Agreement

Service Level Agreement Service Level Agreement For DanDomain server og infrastrukturservices Indhold 1. Generelt... 2 2. Definitioner... 3 3. Teknisk support... 4 4. Hotline... 4 5. Ændringsanmodninger... 4 6. Vedligeholdelse

Læs mere

Ydelser Af ydelseskataloget fremgår det, hvilke grundydelser, der skal løses af gymnasiefællesskabet, og hvilke opgaver der skal løses af skolen.

Ydelser Af ydelseskataloget fremgår det, hvilke grundydelser, der skal løses af gymnasiefællesskabet, og hvilke opgaver der skal løses af skolen. Opdateret 29. november 2011 Bilag 3 til samarbejdsaftalen Område: IT-service og support Opgaver Support af administrativ og undervisningsmæssig IT på gymnasierne. Overordnet ansvar for udvikling og implementering

Læs mere

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren)

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) Vilkår for hosting 6. revision 7. maj 2005 CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) CompuSoft A/S, Anderupvej 16, DK 5270 Odense N, Tlf. +45 6318

Læs mere

Service Level Agreement Version 2.0 d. 1. april 2014

Service Level Agreement Version 2.0 d. 1. april 2014 Service Level Agreement Version 2.0 d. 1. april 2014 EDB-Eksperten.dk 1. Præambel... 3 1.1. Definitioner... 3 1.2. Produktomfang... 3 2. Driftsvindue og tider... 3 2.1. Driftsvindue... 3 2.2. Åbningstid...

Læs mere

Bilag 2A: IT-status i Ikast-Brande Kommune. Januar 2014

Bilag 2A: IT-status i Ikast-Brande Kommune. Januar 2014 Bilag 2A: Januar 2014 Side 1 af 5 1. Indledning... 3 2. Statusbeskrivelse... 3 3. IT infrastruktur og arkitektur... 4 3.1. Netværk - infrastruktur... 4 3.2. Servere og storage... 4 3.3. Sikkerhed... 4

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING FEBRUAR 2015 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Basis Abonnement 28 dage @ 2 fps (Billede-Serie) Gyldig fra 01. Maj 2011 Kamera overvågning - Axis Kameraer and NAS tilsluttet gennem Internettet.

Basis Abonnement 28 dage @ 2 fps (Billede-Serie) Gyldig fra 01. Maj 2011 Kamera overvågning - Axis Kameraer and NAS tilsluttet gennem Internettet. Basis Abonnement 28 dage @ 2 fps (Billede-Serie) Gyldig fra 01. Maj 2011 Kamera overvågning - Axis Kameraer and NAS tilsluttet gennem Internettet. Funktion Kapacitet Kamera Ekstra Kamera Live. Max antal

Læs mere

FRONT-DATA DANMARK A/S

FRONT-DATA DANMARK A/S MARTS 2014 FRONT-DATA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-data Danmarks hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser

www.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser www.pwc.dk Athena IT-Group Erklæring fra uafhængig revisor vedrørende generelle itkontroller for Athena IT-Group A/S' driftsydelser Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S' beskrivelse

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Service Level Agreement

Service Level Agreement Service Level Agreement Dette dokument vil gennemgå de serviceforpligtelser, som leverandøren har til kunden i forbindelse med en købsaftale, forudsat der specifikt er henvist til den korrekte versionering

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret.

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret. Bilag 2 Fysisk sikkerhed 1 Hvorfor fysisk sikkerhed Sikkerheden i et hvert edb-system er grundlæggende afhængigt af, at kravene til den fysiske sikkerhed er opfyldt. Disse krav til fysisk sikkerhed skal

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

IT-politik i Trafikselskabet Movia. Version 1.0

IT-politik i Trafikselskabet Movia. Version 1.0 Bestyrelsen den 9. august 2007 Dagsordenens punkt 07 - IT-politik for Movia Bilag 1 IT-politik i Trafikselskabet Movia Version 1.0 Oprettet: 23. januar 2007 CBL / IUa Indholdsfortegnelse Indledning...3

Læs mere

Rackhosting ApS. ISAE 3402-erklæring fra uafhængig

Rackhosting ApS. ISAE 3402-erklæring fra uafhængig r Rackhosting ApS Oktober 2014 ISAE 3402-erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til driften af kunders itmilj øer for perioden 1. juni 2013 til 31. maj 2014 med

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

Service Level Agreement

Service Level Agreement Nærværende dokument klarlægger de serviceforpligtelser, som Leverandøren har over for Kunden, i forbindelse med deres indbyrdes aftaleforhold. Forpligtelserne er gældende såfremt den tilhørende hostingaftale

Læs mere

Brugervejledning. Generering af nøgler til SFTP-løsningen vedrørende. datakommunikation med Nets. Nets A/S - versionsdato 28.

Brugervejledning. Generering af nøgler til SFTP-løsningen vedrørende. datakommunikation med Nets. Nets A/S - versionsdato 28. Nets A/S Lautrupbjerg 10 P.O. 500 DK-2750 Ballerup T +45 44 68 44 68 F +45 44 86 09 30 www.nets.eu CVR-nr. 20016175 Brugervejledning Generering af nøgler til SFTP-løsningen vedrørende datakommunikation

Læs mere

Online Banking Sikkerhedsvejledning PC-baseret version

Online Banking Sikkerhedsvejledning PC-baseret version Sikkerhedsvejledning PC-baseret version Indhold Introduktion til Sikkerhedsvejledningen...3 Sikkerhedsvejledningen...3 Sikker brug af internettet...3 Sikkerhedsløsninger i...3 Hvad er sikkerhed i?...4

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Tv-overvågning (TVO) Kravspecifikation

Tv-overvågning (TVO) Kravspecifikation Tv-overvågning (TVO) Kravspecifikation Certificering af TVO-installatørvirksomheder Indholdsfortegnelse 10 Forord side 2 20 Krav til certificeringsorganet side 2 30 Certificeringens gyldighedsområde side

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere