ISAE 3402-ERKLÆRING PR. 1
|
|
- Thorvald Nissen
- 4 år siden
- Visninger:
Transkript
1 ISAE 3402-ERKLÆRING PR. 1. JULI 2019 OM BESKRI- VELSEN AF DATACENTER-LØSNING OG DE FYSISKE SIK- KERHEDSFORANSTALTNINGER (KONTROLLER) OG DE- RES UDFORMNING FUZION A/S
2 INDHOLD Revisors erklæring 2 Fuzion A/S udtalelse 4 Fuzion A/S beskrivelse 5 Kontrolmål, kontroller, test og resultat af test 9 A.5 - Informationssikkerhedspolitikker 10 A.6 - Organisering af informationssikkerhed 11 A.7 - Medarbejdersikkerhed 12 A.11 - Fysisk sikring og miljøsikring 14 A.17 - Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring 18
3 2 FUZION A/S ISAE 3402-ERKLÆRING REVISORS ERKLÆRING UAFHÆNGIG REVISORS ERKLÆRING MED SIKKERHED OM BESKRIVELSEN AF DATACENTER-LØSNING OG DE FYSISKE SIKKERHEDSFORANSTALTNINGER (KONTROLLER) OG DERES UDFORMNING Til: Ledelsen i Fuzion A/S Fuzion A/S kunder og deres revisorer Omfang Vi har fået som opgave at afgive erklæring om den af Fuzion A/S (serviceleverandøren) udarbejdede beskrivelse på side 5-8 om Datacenter-løsning og de fysiske sikkerhedsforanstaltninger (kontroller), og om udformningen af de kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Vi har ikke udført handlinger vedrørende funktionaliteten af de kontroller, der indgår i beskrivelsen, og udtrykker derfor ingen konklusion herom. Serviceleverandørens ansvar På side 4 i nærværende rapport har serviceleverandøren afgivet en udtalelse om egnetheden af den samlede præsentation af beskrivelsen samt hensigtsmæssigheden af de udformede kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Serviceleverandøren er ansvarlig for udarbejdelsen af beskrivelsen og udtalelsen, herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udtalelsen er præsenteret. Serviceleverandøren er endvidere ansvarlig for leveringen af de ydelser, beskrivelsen omfatter, ligesom serviceleverandøren er ansvarlig for at anføre kontrolmålene og identificere de risici, som truer opnåelsen af kontrolmålene, samt udforme og implementere effektivt fungerende kontroller for at nå de anførte kontrolmål. Revisors uafhængighed og kvalitetsstyring Vi har overholdt kravene til uafhængighed og andre etiske krav i FSR danske revisorers retningslinjer for revisors etiske adfærd (etiske regler for revisorer), der bygger på de grundlæggende principper om integritet, objektivitet, faglig kompetence og fornøden omhu, fortrolighed og professionel adfærd. Vi anvender ISQC 1 og opretholder derfor et omfattende system for kvalitetsstyring, herunder dokumenterede politikker og procedurer for overholdelse af etiske regler, faglige standarder samt gældende krav ifølge lov og øvrig regulering. Revisors ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om serviceleverandørens beskrivelse samt om udformningen af de kontroller, der knytter sig til de kontrolmål, som er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af International Auditing and Assurance Standards Board. Denne standard kræver, at vi planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet. En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen og udformningen af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse samt for kontrollernes udformning. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet på side 4.
4 3 FUZION A/S ISAE 3402-ERKLÆRING Som nævnt ovenfor har vi ikke udført handlinger vedrørende funktionaliteten af de kontroller, der indgår i beskrivelsen, og udtrykker derfor ingen konklusion herom. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion Begrænsninger i kontroller hos en serviceleverandør Serviceleverandørens beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtigt efter deres særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i serviceleverandørens udtalelse på side 4. Det er vores opfattelse: a. at beskrivelsen Datacenter-løsning og de fysiske sikkerhedsforanstaltninger (kontroller), således som disse var udformet og implementeret pr. 1. juli 2019, i alle væsentlige henseender er retvisende, og b. at de fysiske sikkerhedsforanstaltninger (kontrollerne), som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet pr. 1. juli Beskrivelse af test af kontroller De specifikke kontroller, der er blevet testet, og resultater af disse test fremgår på side Tiltænkte brugere og formål Denne erklæring er udelukkende tiltænkt serviceleverandørens kunder og deres revisorer, som har en tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om kundernes egne kontroller, ved opnåelsen af en forståelse af kundernes informationssystemer, der er relevante for regnskabsaflæggelsen. København, den 5. juli 2019 BDO Statsautoriseret revisionsaktieselskab Per Sloth Partner, chef for Risk Assurance Registreret revisor Mikkel Jon Larssen Partner, CISA, CRISC
5 4 FUZION A/S ISAE 3402-ERKLÆRING FUZION A/S UDTALELSE Fuzion A/S har udarbejdet medfølgende beskrivelse af Datacenter-løsning og de fysiske sikkerhedsforanstaltninger (kontroller). Beskrivelsen er udarbejdet til brug for Fuzion A/S kunder, der har anvendt Datacenter-løsningen, og deres revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt, når de opnår en forståelse af kundernes informationssystemer, som er relevante for regnskabsaflæggelsen. Fuzion A/S bekræfter, at den medfølgende beskrivelse på side 5 8 giver en retvisende beskrivelse af Datacenter-løsning og de fysiske sikkerhedsforanstaltninger (kontroller) pr. 1. juli Kriterierne for denne udtalelse var, at den medfølgende beskrivelse: 1. Redegør for, hvordan de fysiske sikkerhedsforanstaltninger i tilknytning til Datacenter-løsning var udformet og implementeret, herunder redegør for: De typer af ydelser, der er leveret. De processer i både informationsteknologiske og manuelle systemer, der er anvendt til styring af de fysiske sikkerhedsforanstaltninger (kontroller). De relevante kontrolmål og kontrolaktiviteter, der er udformet for at nå disse mål. Andre aspekter ved kontrolmiljøet, risikovurderingsprocessen, informationssystemerne, kommunikationen, kontrolaktiviteterne og overvågningskontrollerne, som har været relevante for kundernes Datacenter-løsning. 2. Den medfølgende beskrivelse ikke udelader eller forvansker information, der er relevant for omfanget af beskrivelsen af Datacenter-løsning og de fysiske sikkerhedsforanstaltninger (kontroller) under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer, og derfor ikke kan omfatte ethvert aspekt ved Datacenter-løsningen, som den enkelte kunde måtte anse for vigtigt efter deres særlige forhold. Fuzion A/S bekræfter, at de fysiske sikkerhedsforanstaltninger (kontroller), der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet pr. 1. juli Kriterierne for denne udtalelse var, at: 1. De risici, som truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret. 2. De identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrer opnåelsen af de anførte kontrolmål. Skanderborg, den 5. juli 2019 Fuzion A/S Adm. Direktør Per Henriksen
6 5 FUZION A/S ISAE 3402-ERKLÆRING FUZION A/S BESKRIVELSE BESKRIVELSE AF KONTROLMILJØET I FORBINDELSE MED FUZION A/S CO-LOCATION SERVICES Indledning Formålet med nærværende beskrivelse er at levere information til Fuzion A/S (Fuzion) kunder og deres revisorer med henblik på få afgivet en ISAE 3402-erklæring, som er den internationale revisionsstandard for kontroller hos en serviceleverandør. Beskrivelsen forventes også anvendt af Fuzions kunder, der arbejder med ISO Derfor er beskrivelsen af tekniske og organisatoriske sikkerhedsforanstaltninger formuleret og struktureret efter kontrollerne i ISO Beskrivelsen kan anvendes af kunder til at påvise, at de har passende tekniske og organisatoriske sikkerhedsforanstaltninger for deres behandling af personoplysninger (GDPR). Det er vigtigt i denne sammenhæng at præcisere, at Fuzion per GDPR-definition ikke er databehandler for de personoplysninger, Fuzions kunder måtte drifte på udstyr, der er opstillet i Fuzions datacentre. Beskrivelsen er udarbejdet for at opfylde de typiske behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt, som den enkelte kunde måtte anse for vigtigt efter deres særlige forhold. Denne beskrivelse omfatter de kontrolaspekter, som er relevante for co-location, og som relaterer sig til fysisk sikkerhed, risikostyring og beredskab. Beskrivelse af Fuzion Fuzion er startet i 2001 og servicerer i dag over 100 kunder fra ind- og udland. Fuzions har løbende bygget og udvidet datacenterforretningen. Først med et datacenter i Aarhus og siden med datacenter i Skanderborg og har gennem flere år været en førende udbyder af datacentre i det vestlige Danmark. I 2010 blev Fuzion købt af Nianet, som i forvejen havde en omfattende fiber og datacenterforretning, og Fuzion skiftede navn til Nianet. I 2017 blev Nianet købt af GlobalConnect og i den forbindelse blev det aftalt med Forbruger- og Konkurrencestyrelsen, at de oprindelige Fuzion-datacentre skulle sælges for at sikre fortsat konkurrence på datacenter/co-location markedet i Jylland. Derfor har Fuzion siden 2018 været ejet af en dansk investor og iværksætter med erfaring fra infrastruktur, kundeservice og online tjenester. Fuzion leverer datacenterinfrastruktur til kunder med forretningskritiske it-systemer og er en førende colocation leverandør med sikre og energieffektive datacentre i Skanderborg og Aarhus. Fuzion har små og store kunder, private og offentlige. Fælles for dem er ønsket om et professionelt it-miljø til deres forretning, infrastruktur og applikationer. Mange af kunderne lever af deres it-infrastruktur til for eksempel at levere cloud, hosting, online applikationer og internetløsninger. Fuzions co-location services Fuzion er carrier- og operatørneutral, hvilket betyder, at kunder frit vælger leverandør af datalinjer og internet samt partnere til driftssamarbejde. Fuzions datacentre er designet og bygget efter anerkendte, internationale standarder for sikre datacentre og er løbende moderniseret, udvidet og effektiviseret med nogle af de nyeste løsninger inden for Datacenter Infrastruktur Management til overvågning og proaktive meldesystemer. Fuzions datacentre er designet til co-location, hvilket betyder, at de er de bygget til at servicere et stort antal kunder med stor fleksibilitet og sikker adskillelse af kundernes infrastruktur. Flere af kunderne bruger begge Fuzions to datacentre, da brugen af de to datacentre giver meget høj redundans og samtidigt tilbyder sig med en fornuftig køreafstand mellem de to centre.
7 6 FUZION A/S ISAE 3402-ERKLÆRING Forretningsstrategi/it-sikkerhedsstrategi Fuzion arbejder efter en vision om at gøre markedet for datacentre mere grønt og fleksibelt. Den vision skal nås gennem vækst, hvor Fuzion leverer energieffektive og sikre datacenterløsninger til et stigende antal kunders kritiske infrastruktur for private og public Cloud, IOT, online apps, internet og meget mere nu og i fremtiden. Fuzion har en klar strategi om at opnå vækst ved at levere den ønskede kvalitet til markedet til en fornuftig pris og med en god service og meget høj integritet i forhold til kvalitet i test, drift, vedligehold, dokumentation og kommunikation med kunderne. Fuzions forretning er at levere den nødvendige fysiske sikkerhed og oppetid for den infrastruktur, som Fuzions kunder installerer og drifter i racks, som kunderne har lejet i Fuzions datacentre. Fuzions kerneforretning inden for co-location services er at levere: Høj oppetid på strøm leveret med UPS og generator backup. Effektiv køling af infrastruktur til enhver tid. Sikre adgangsforhold, som giver kunder fleksibel adgang og holder andre ude. Et rent og brugervenligt arbejdsmiljø for it-udstyr og mennesker. God kundeservice med hurtig og fleksibel leverance. Fuzion skal sikre kundernes infrastruktur med et effektivt værn mod sikkerhedsmæssige trusler. Beskyttelsen er vendt imod såvel naturgivne som tekniske og menneskeskabte trusler. Såvel ansatte, gæster, kunder som eksterne personer betragtes som værende mulig årsag til brud på sikkerheden; dvs. at ingen persongruppe er hævet over sikkerhedsbestemmelserne. Fuzions sikkerhedskoncept er organiseret omkring et Årshjul, der omfatter løbende vedligehold, eftersyn og opdatering af risikovurderinger, beredskabsplaner og sikkerhedsdokumentation. Fuzions Organisering Den overordnede ansvarlige for forretningen og sikkerheden er den administrerende direktør (CEO), som arbejder tæt sammen med den teknisk ansvarlige Site Manager. Site Manageren er ansvarlig for den daglige drift. Ansvaret for de specifikke sikkerhedsforanstaltninger fremgår af Fuzions sikkerhedspolitik. Bestyrelse Kasper Gevaldig Adm. direktør Per Henriksen Site Manager Martin Andersen Risikostyring i Fuzion Ansvaret for risikostyringen ligger hos den administrerende direktør og udføres i tæt samarbejde med Site Manageren. Fuzion forbedrer løbende sikkerheden. Der gennemføres årligt en formaliseret risikovurdering for at sikre, at sikkerhedsforanstaltningerne er tilstrækkelige, dokumenterede og godkendt af ledelsen. Fuzion anvender i forbindelse med risikovurderingen blandt andet: Uptime Institutes anbefalinger - for at vurdere og sikre oppetider ASHRAE s anbefalinger for energieffektiv klimakontrol i datacentre Forsikringsselskabernes modeller til vurdering af indbrudssikring.
8 7 FUZION A/S ISAE 3402-ERKLÆRING Sikkerhedsforanstaltninger adgang og overvågning Der foreligger forretningsgange og arbejds- og kontrolbeskrivelser på væsentlige og kritiske områder vedrørende fysisk sikkerhed. Sikkerhed, fysisk adgang Fuzion har etableret formelle politikker og procedurer for kontrol af adgang til systemer, faciliteter og datacentre. Disse politikker og procedurer definerer den adgang, der er tilladt for kunder, medarbejdere, gæster og håndværkere, og beskriver de tiltag og tilladelser, der kræves for at opnå og overvåge adgang. Al adgang foregår via sluser med dobbelte døre, for at sikre adgangen og identiteten på de besøgende. Sluserne giver en ekstra skalsikring og sikrer mod, at uønskede gæster kan løbe med ind, når døren åbnes. Adgangssystemer er basereret på multifaktor teknologi med en kombination af kort, kode og nøgler. Fuzions husregler fremgår af skilte ved indgangen. Administration af adgangskontrol Adgangen til datacentre administreres udelukkende af Fuzion. Kunder skal indsende anmodning for at få udstedt kort, som kan give adgang for medarbejdere. Kunder skal også anmode om tilladelse til at ledsage gæster til datacentrene. Der udstedes personlige adgangskort med foto samt tilhørende personlig adgangskode. Kunder har udelukkende adgang til de områder, som de skal igennem for at komme til deres egne aflåste rackskabe. Datacenterindgange er sikret af elektroniske læsere af adgangskort, som er forbundet med en central computer, som giver og registrer al adgang til datacentrene. Der er etableret procedurer, som sikrer at adgangsrettigheder opdateres og adgangskort lukkes for medarbejdere og eksterne brugere, hvis disse f.eks. har fratrådt deres stilling. Overvågning Fuzions datacentre er udvendigt og indvendigt udstyret med overvågningskameraer CCTV som er forbundet med en 24/7-bemandet vagtcentral. Alle døre til datacentrene er udstyret med alarmer og overvåges med videokameraer. Videoaktivitet overføres til en central server. Sikkerhedspersonalet følger med på videoovervågningen, hvis døralarmer eller andre alarmer aktiveres. Sikkerhedsvagter konfronterer alle uautoriserede eller mistænkelige personer, som forsøger at få adgang. Derudover er al adgang til datacentre overvåget, således, at kontrolleret/autoriseret adgang opretholdes. Sikring af infrastruktur og drift Fuzions datacentre er designet, bygget og driftes i henhold til internationalt anerkendte standarder for datacentre fra blandt andet Uptime Institute og ASHRAE, og Fuzion kan levere datacenter/co-location service på Tier 2/3 niveau.
9 8 FUZION A/S ISAE 3402-ERKLÆRING Strøm Strømforsyning leveres via separate transformerstationer og ledningsføringsveje. Fuzion har standby-generatorer og redundant UPS-anlæg, som sikrer stabil elforsyning ved nedbrud på offentlig forsyning. Generatorerne og UPS testes og vedligeholdes regelmæssigt i henhold til Fuzions Årshjul og producenternes specifikationer. Køling Køling af rackskabe i datacentre leveres med down-flow units, der sender kold og filtreret luft under hævede edb-gulve frem til kulde kuber, som holder den varme og kolde luft adskilt. Fuzions down-flow får koldt kølevand fra udendørs enheder, der køler vandet med en kombination af frikøl og kompressorkøl. I alle områder kontrolleres og styres temperaturen. Brandsikring og slukning Datacentrene er opført i brandhæmmende materiale og beskyttet af automatiske brandslukningsanlæg, der er koblet til optiske og ioniserende røgalarmer placeret i loftet og under de hævede gulve i server- og infrastrukturrum. Røgalarmerne suger konstant luft ind og analyserer på partikler for at kunne levere en meget tidlig audiovisuel alarm, hvis grænseværdier overskrides og udløse brandslukning, når det behøves. Dette system kendes også som et VESDA system Very Early Smoke Detecting Apparatus. Brandslukning foretages med Inergen, der kvæler ild, og den begrænses til de rum, hvor alarmsystemerne registrer røgudvikling og der sendes samtidig alarm videre til kontrolcentralen. Medarbejdere Fuzions har etableret en intern proces for ansættelse, der sikrer, at medarbejdere screenes på passende vis, at kontrakten inkluderer en tavshedsklausul, samt at medarbejdere holdes ajour med de relevante sikkerhedskrav og pligter. Beredskab Fuzion har etableret en beredskabsplan, der sikrer, at co-location services genetableres hurtigst muligt i tilfælde af en hændelse, og at omfanget af skader på mennesker, faciliteter og kunders udstyr begrænses.
10 9 FUZION A/S ISAE 3402-ERKLÆRING KONTROLMÅL, KONTROLLER, TEST OG RESULTAT AF TEST I nærværende testskema er relevante kontrolmål og indførte kontrolaktiviteter udformet til at nå kontrolmålene, beskrevet og udvalgt af Fuzion A/S. I testskemaet har vi beskrevet de udførte test, som blev vurderet som nødvendige for at kunne opnå høj grad af sikkerhed for, at de anførte kontrolmål blev opnået, og de tilhørende kontroller er hensigtsmæssigt udformet pr. 1. juli Test af kontrollernes design og implementering er udført ved forespørgsel, inspektion og observation. Type Forespørgsel Beskrivelse Forespørgsler hos passende personale hos Fuzion A/S er udført for alle væsentlige kontrolaktiviteter. Forespørgslerne blev udført for blandt andet at opnå viden og yderligere oplysninger om indførte politikker og procedurer, herunder hvordan kontrolaktiviteterne udføres, samt at få bekræftet beviser for politikker, procedurer og kontroller. Inspektion Dokumenter og rapporter, der indeholder angivelse om udførelse af kontrollen, er gennemlæste med det formål at vurdere udformningen og overvågningen af de specifikke kontroller, herunder om kontrollerne er udformede, således at de kan forventes at blive effektive, hvis de implementeres, og om kontrollerne overvåges og kontrolleres tilstrækkeligt og med passende intervaller. Test af væsentlige systemopsætninger af tekniske platforme, databaser og netværksudstyr er udført for at påse, om kontroller er implementerede, herunder eksempelvis vurdering af logning, sikkerhedskopiering, patch management, autorisationer og adgangskontroller, datatransmission samt besigtigelse af udstyr og lokaliteter. Observation Anvendelsen og eksistensen af specifikke kontroller er observeret, herunder test for at påse, at kontrollen er implementeret.
11 10 FUZION A/S ISAE 3402-ERKLÆRING A.5 - Informationssikkerhedspolitikker Kontrolmål At give retningslinjer for og understøtte informationssikkerhed i overensstemmelse med forretningsmæssige krav og relevante love og forskrifter. DS/ISO IEC 27002:2017 Kontrolaktivitet Test udført af BDO Resultat af test A.5.1.1: Politiker for informationssikkerhed Med udgangspunkt i en risikovurdering fastlægger og godkender ledelsen et sæt politikker for informationssikkerhed, som er offentliggjort og kommunikeret til medarbejdere og relevante eksterne parter. Vi har observeret, at der foreligger en ledelsesgodkendt it-sikkerhedspolitik. Vi har observeret, at ledelsen sikrer, at medarbejderne bliver gjort bekendt med it-sikkerhedspolitikken. Vi har observeret, at serviceleverandørens risikovurdering er godkendt af ledelsen den 7. juni 2019 A.5.1.2: Gennemgang af politikkerne for informationssikkerhed Politikkerne for informationssikkerhed gennemgås med planlagte mellemrum eller i tilfælde af væsentlige ændringer for at sikre deres fortsatte egnethed, tilstrækkelighed og resultatrelaterede effektivitet. Vi har udført forespørgsler hos passende personale og inspiceret serviceleverandørens politik for informationssikkerhed Vi har observeret, at serviceleverandørens informationssikkerhedspolitik er godkendt af ledelsen den 7. juni Vi har inspiceret årshjul og observeret, at informationssikkerhedspolitikken skal gennemgås en gang årligt. Vi har endvidere observeret, at ledelsen erklærer, at medarbejdere har læst og forstået relevante sikkerhedskrav.
12 11 FUZION A/S ISAE 3402-ERKLÆRING A.6 - Organisering af informationssikkerhed Kontrolmål At etablere et ledelsesmæssigt grundlag for at kunne igangsætte og styre implementeringen og driften af informationssikkerhed i organisationen. DS/ISO IEC 27002:2017 Kontrolaktivitet Test udført af BDO Resultat af test A.6.1.1: Roller og ansvarsområder for informationssikkerhed Alle ansvarsområder for informationssikkerhed er defineret og fordelt. Vi har udført forespørgsler hos passende personale og inspiceret serviceleverandørens politik for informationssikkerhed Vi har observeret, at roller og ansvarsområder for informationssikkerhed er klart defineret i serviceleverandørens politik for informationssikkerhed.
13 12 FUZION A/S ISAE 3402-ERKLÆRING A.7 - Medarbejdersikkerhed Kontrolmål: At sikre, at medarbejdere og kontrahenter forstår deres ansvar og er egnede til de roller, de er i betragtning til. DS/ISO IEC 27002:2017 At sikre, at medarbejdere og kontrahenter er bevidste og lever op til deres informationssikkerhedsansvar. DS/ISO IEC 27002:2017 Kontrolaktivitet Test udført af BDO Resultat af test A.7.1.1: Screening Efterprøvning af alle jobkandidaters baggrund er udført i overensstemmelse med relevante love, forskrifter og etiske regler og står i forhold til de forretningsmæssige krav, klassifikation af den information, der gives adgang til, og de relevante risici. Vi har inspiceret serviceleverandørens procedure for ansættelse. Vi har observeret, at der skal indhentes straffeattest og referencer for ansøgere i det omfang, som det vurderes nødvendigt for ansættelsen. Vi har ikke kunnet efterprøve procedure for ansættelse, idet der ikke har været ansat nye medarbejdere på tidspunktet for erklæringsafgivelsen. A.7.1.2: Ansættelsesvilkår og betingelser Kontrakter med medarbejdere og kontrahenter beskriver de pågældendes og organisationens ansvar for Informationssikkerhed. Vi har inspiceret serviceleverandørens procedure for ansættelse. Vi har observeret, at proceduren fastsætter retningslinjer for ansættelsesvilkår og betingelser samt ansvarsområder. Vi har inspiceret en stikprøve på en ansættelseskontrakt og observeret, at medarbejdere informeres om ansvar for informationssikkerhed, herunder tavshedspligt. A.7.1.3: Bevidsthed om uddannelse og træning i informationssikkerhed Alle organisationens medarbejdere og, hvor det er relevant, kontrahenter bliver ved hjælp af uddannelse og træning bevidstgjort om sikkerhed og bliver regelmæssigt holdt ajour om organisationens politikker og procedurer, i det omfang dette er relevant for deres jobfunktion. Vi har inspiceret serviceleverandørens procedure for træning i informationssikkerhed. Vi har observeret, at medarbejdere bliver informeret om krav til uddannelse og kompetenceløft.
14 13 FUZION A/S ISAE 3402-ERKLÆRING A.7 - Medarbejdersikkerhed Kontrolmål: At sikre, at medarbejdere og kontrahenter forstår deres ansvar og er egnede til de roller, de er i betragtning til. DS/ISO IEC 27002:2017 At sikre, at medarbejdere og kontrahenter er bevidste og lever op til deres informationssikkerhedsansvar. DS/ISO IEC 27002:2017 Kontrolaktivitet Test udført af BDO Resultat af test Vi har ikke kunnet efterprøve procedure for bevidsthed om uddannelse, idet der ved tidspunkt for erklæringsafgivelse ikke var ansat personale med mere en 6 måneders anciennitet. A.7.1.4: Sanktioner Der er etableret en formel og kommunikeret sanktionsproces, så der skrides ind over for medarbejdere, der begår informationssikkerhedsbrud. Vi har inspiceret serviceleverandørens procedurer for ansættelse. Vi har observeret, at serviceleverandørens skabelon for indgåelse af ansættelseskontrakter indeholder bestemmelser vedrørende sanktionering af med arbejdere ved brud på informationssikkerheden. Vi har inspiceret en stikprøve på en ansættelseskontrakt og observeret, at medarbejdere informeres om sanktioner ved brud på informationssikkerheden. A.7.1.5: Ansættelsesforholdets ophør eller ændring Informationssikkerhedsansvar og -forpligtigelser, som gælder efter ansættelsens ophør eller ændring, er defineret og kommunikeret til medarbejdere og kontrahenter og håndhæves. Vi har inspiceret serviceleverandørens procedure for ansættelse. Vi har observeret, at procedure for ansættelser angiver at medarbejdere gøres bekendt med deres ansvar efter ansættelsesforholdets ophør. Vi har fået oplyst, at der på tidspunktet for erklæringsafgivelsen ikke har været fratrædelse af medarbejdere hvorfor vi ikke har kunne teste om kontrollen er implementeret.
15 14 FUZION A/S ISAE 3402-ERKLÆRING A.11 - Fysisk sikring og miljøsikring Kontrolmål At forhindre uautoriseret fysisk adgang til samt beskadigelse og forstyrrelse af organisationens information og informationsbehandlingsfaciliteter. DS/ISO IEC 27002:2017 Kontrolaktivitet Test udført af BDO Resultat af test A : Fysisk perimetersikring Der er defineret og anvendt perimetersikring til at beskytte områder, der indeholder enten følsomme eller kritiske informationer og informationsbehandlingsfaciliteter. Vi har inspiceret serviceleverandørens procedure for fysisk sikkerhed. Vi har foretaget fysisk inspektion af serviceleverandørens fysiske kontorlokaler og datacentre og observeret, at området omkring bygningerne er videoovervåget og adgang kun kan ske med personligt adgangskort med kode. Vi har endvidere observeret, at der til datacentre og kontorfaciliteter er installeret AIA-anlæg. Vi har observeret, at der i datacentrene er installeret vand- og fugt følere, samt at gulvet er udført i antistatisk materiale og hævet. Vi har observeret, at der er opsat retningslinjer for fysisk perimetersikring af anlæg i Skanderborg og Aarhus. A : Fysisk adgangskontrol (eksterne og interne) Sikre områder er beskyttet med passende adgangs- kontrol for at sikre, at kun autoriseret personale kan få adgang. Vi har inspiceret serviceleverandørens procedure for fysisk sikkerhed og fysisk adgangskontrol. Vi har observeret, at adgang til serviceleverandørens datacentre og kontorfaciliteter sker med adgangskort med personlig kode. Vi har udtaget en stikprøve på bestilling af adgangskort og observeret, at dette er udstedt i henhold til proceduren herfor. Vi har inspiceret adgangslog til datacentre og observeret, at adgang logges i henhold til procedure på området.
16 15 FUZION A/S ISAE 3402-ERKLÆRING A.11 - Fysisk sikring og miljøsikring Kontrolmål At forhindre uautoriseret fysisk adgang til samt beskadigelse og forstyrrelse af organisationens information og informationsbehandlingsfaciliteter. DS/ISO IEC 27002:2017 Kontrolaktivitet Test udført af BDO Resultat af test A : Sikring af kontorer, lokaler og faciliteter Fysisk sikring af kontorer, lokaler og faciliteter er tilrettelagt og etableret. Vi har inspiceret serviceleverandørens procedure for fysisk sikkerhed. Vi har foretaget fysisk inspektion af serviceleverandørens kontorlokaler og datacentre og observeret, at området omkring bygningerne er videoovervåget, og at adgang kun kan ske med personligt adgangskort med kode, eller med fysisk nøgle til udvalgte områder. Vi har observeret, at der er udarbejdet en liste med oversigt over udleverede fysiske nøgler samt oversigt over adgangskort til begge datacentre. Vi har inspiceret, at der er foretaget logning af adgange til datacenter. A : Beskyttelse mod eksterne og miljømæssige trusler Fysisk beskyttelse mod naturkatastrofer, ondsindede angreb eller ulykker er tilrettelagt og etableret. Vi har inspiceret serviceleverandørens procedure for fysisk sikkerhed og årshjul. Vi har inspiceret den fysiske sikkerhed for datacenter i Skanderborg og Aarhus. Vi har observeret, at serviceleverandøren har installeret redundant UPS og dieselgeneratorer, redundant elforsyning, redundant køling til alle rum samt brandslukning med røgalarmer i teknik og serverrum. Vi har observeret, at der er opsat fjernadgang til overvågning af udstyr samt heartbeat test til overvågning af alarm funktionalitet (SMS). Vi har inspiceret log fra alarmsystem ved datacenter og observeret, at der er sendt advisering i henhold til procedure på området. Vi konstaterer, at der i datacentret i Aarhus ikke er foretaget udskiftning af en Inergen-flaske ved brandslukningsanlægget i henhold til leverandørens anvisninger herfor. Ingen øvrige afvigelser konstateret.
17 16 FUZION A/S ISAE 3402-ERKLÆRING A.11 - Fysisk sikring og miljøsikring Kontrolmål At forhindre uautoriseret fysisk adgang til samt beskadigelse og forstyrrelse af organisationens information og informationsbehandlingsfaciliteter. DS/ISO IEC 27002:2017 Kontrolaktivitet Test udført af BDO Resultat af test Vi har inspiceret servicerapport fra sidste lovpligtige eftersyn, der blev udført i A : Arbejde i sikre områder Der er etableret procedure for at arbejde i sikre områder. Vi har inspiceret serviceleverandørens procedure for fysisk sikkerhed og husregler. Vi har fået oplyst, at kunder ved udlevering af adgangskort informeres om serviceleverandørens husregler og derved krav til sikkerhed i serviceleverandørens datacentre. Vi har observeret, at serviceleverandørens husregler er placeret synligt for kunderne ved indgangen til datacentrene i Skanderborg og Aarhus samt rundt i datacentrene. Vi har stikprøvevis observeret, at der ved adgang til datacenter skal kvitteres for at have læst betingelser for adgang til serverrum hos serviceleverandøren. A : Områder til af- og pålæsning Adgangssteder som fx områder til af- og pålæsning og andre steder, hvor uautoriserede personer kan komme ind på området, er styret og så vidt muligt adskilt fra informationsbehandlings-faciliteter for at undgå uautoriseret adgang. Vi har inspiceret serviceleverandørens procedure for fysisk sikkerhed. Vi har observeret, at af- og pålæsning ved datacentret i Skanderborg sker bag ved bygningen. Vi har endvidere observeret, at området er videoovervåget, og at kameraerne overvåges af Jyske kontrolcentral. Vi har observeret, at af- og pålæsning ved datacentret i Aarhus sker foran bygningen på parkeringspladsen ved datacentret. Vi har endvidere observeret, at området er videoovervåget, og at kameraerne overvåges af Jyske kontrolcentral.
18 17 FUZION A/S ISAE 3402-ERKLÆRING A.11 - Fysisk sikring og miljøsikring Kontrolmål At forhindre uautoriseret fysisk adgang til samt beskadigelse og forstyrrelse af organisationens information og informationsbehandlingsfaciliteter. DS/ISO IEC 27002:2017 Kontrolaktivitet Test udført af BDO Resultat af test Vi har observeret, at serviceleverandørens husregler stiller krav om, at der ikke må tages brandbart materiale med i datacentrene, og at pap og brandbart materiale ikke må efterlades, men skal smides ud i containerne. Vi har observeret, at adgang til datacentret for kunder sker via indgangssluse med adgangskort med personlig kode. A : Understøttende forsyninger (forsyningssikkerhed) Udstyr er beskyttet mod strømsvigt og andre forstyrrelser som følge af svigt af understøttede forsyninger. Vi har inspiceret serviceleverandørens procedure for fysisk sikkerhed. Vi har observeret, at serviceleverandøren har standby-generatorer og redundant UPS-anlæg. Vi har ved stikprøver observeret, at generatorerne og UPS testes og vedligeholdes regelmæssigt i henhold til serviceleverandørens årshjul og producenternes specifikationer. Vi har inspiceret rapport for udført månedligt eftersyn af datacenter i Skanderborg og Aarhus.
19 18 FUZION A/S ISAE 3402-ERKLÆRING A.17 - Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring Kontrolmål At informationssikkerhedskontinuiteten er forankret i organisationens ledelsessystemer for nød-, beredskabs- og reetableringsstyring. DS/ISO IEC 27002:2017 Kontrolaktivitet Test udført af BDO Resultat af test A Planlægning af informationssikkerhedskontinuitet Der er fastlagt en ensartet ramme for virksomhedens beredskabsplaner for at sikre, at alle planerne er sammenhængende og tilgodeser alle sikkerhedskrav, samt for at fastlægge prioriteringen af afprøvning og vedligeholdelse. Kontrol af Informationssikkerhedskontinuiteten er forankret i organisationens ledelsessystemer for nød-, beredskabs- og reetableringsstyring. Vi har inspiceret serviceleverandørens procedure for risikostyring og beredskab samt årshjul for udførelse af kontroller. Vi har observeret, at risikovurdering, kapacitetsberegning og beredskabsplan skal vurderes hvert år i juni måned. Vi har observeret, at der foreligger en ledelsesgodkendt beredskabsplan, der er tilgængelig for relevante medarbejdere. A Implementering af informationssikkerhedskontinuitet Der er fastlagt, dokumenteret, implementeret og vedligeholdt processer, procedurer og kontroller for at sikre den nødvendige informationssikkerhedskontinuitet i en kritisk situation. Vi har inspiceret serviceleverandørens procedure for risikostyring og beredskab samt årshjul for udførelse af kontroller. Vi har observeret, at risikovurdering, kapacitetsberegning og beredskabsplan skal vurderes hvert år i juni måned Vi har observeret, at beredskabsplan er kendt, samt at ansvar områder er kendt og formidlet. Vi har inspiceret serviceleverandørens årshjul og observeret, at test af beredskab skal finde sted i oktober måned. Det har derfor ikke været muligt at indhente dokumentation for udførelse af beredskabstest.
20 19 FUZION A/S ISAE 3402-ERKLÆRING A.17 - Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring Kontrolmål At informationssikkerhedskontinuiteten er forankret i organisationens ledelsessystemer for nød-, beredskabs- og reetableringsstyring. DS/ISO IEC 27002:2017 Kontrolaktivitet Test udført af BDO Resultat af test A Verificering, gennemgang og evaluering af informations-sikkerhedskontinuiteten Etablerede og implementerede kontroller vedrørende informationssikkerhedskontinuiteten verificeres med jævne mellemrum med henblik på at sikre at der er tidssvarende og effektive i kritiske situationer. Vi har inspiceret serviceleverandørens procedure for risikostyring og beredskab samt årshjul for udførelse af kontroller. Vi har observeret at risikovurdering, kapacitetsberegning og beredskabsplan skal vurderes hvert år i juni måned. Vi har inspiceret serviceleverandørens årshjul og observeret, at test af beredskab skal finde sted i oktober måned. Det har derfor ikke været muligt at indhente dokumentation for udførelse af beredskabstest.
21 BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr BDO Statsautoriseret revisionsaktieselskab, en danskejet rådgivnings- og revisionsvirksomhed, er medlem af BDO International Limited - et UKbaseret selskab med begrænset hæftelse - og del af det internationale BDO netværk bestående af uafhængige medlemsfirmaer. BDO er varemærke for både BDO netværket og for alle BDO medlemsfirmaerne. BDO i Danmark beskæftiger godt medarbejdere, mens det verdensomspændende BDO netværk har godt medarbejdere i 162 lande. Copyright - BDO Statsautoriseret revisionsaktieselskab, cvr.nr
Sotea ApS. Indholdsfortegnelse
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj
Læs mereSotea ApS CVR-nr. 10 08 52 25
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj
Læs mereLector ApS CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesloven (GDPR) pr. 06-07-2018 ISAE 3000-I Lector ApS CVR-nr.: 10 02 16 18 Juli 2018 REVI-IT A/S statsautoriseret
Læs mereIMS A/S ISAE 3402 TYPE 1 ERKLÆRING. CVR-nummer
MARTS 2019 IMS A/S CVR-nummer 25862015 ISAE 3402 TYPE 1 ERKLÆRING Revisors erklæring vedrørende overholdelse af sikkerhedsprocedurer omkring dataudveksling. Rammen for sikkerhedsprocedurer er angivet i
Læs merePlan og Handling CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov pr. 29-01-2019 ISAE 3000 CVR-nr.: 18 13 74 37
Læs mereKomiteen for Sundhedsoplysning CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) pr. 20-12-2018 ISAE 3000 Komiteen for Sundhedsoplysning CVR-nr.: 14 03 53 38 December
Læs mereGML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataforordningen (GDPR) pr. 25-05-2018 ISAE 3000-I CVR-nr.: 33 07 66 49 Maj 2018 REVI-IT A/S statsautoriseret
Læs mereFonden Center for Autisme CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataloven og tilhørende bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger med senere ændringer
Læs mereTimengo DPG A/S CVR-nr
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift og vedligeholdelse af DPG-løsningen pr. 16. januar 2019 ISAE 3402, type I Timengo DPG
Læs mereGML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov for leverancen af rekrutteringsydelser i perioden
Læs mereISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer
plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger
Læs mere1. Ledelsens udtalelse
www.pwc.dk Sonlinc A/S ISAE 3000-erklæring fra uafhængig revisor vedrørende udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing for perioden
Læs mereDFF EDB a.m.b.a. CVR-nr.:
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med deres hostingydelse hos Zitcom A/S pr. 23. juni 2017 ISAE 3402-I DFF EDB a.m.b.a.
Læs mereFront-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.
Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København
Læs mereNetic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.
www.pwc.dk Netic A/S Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser Juni 2018 Indhold 1. Ledelsens udtalelse 2 2. Uafhængig revisors
Læs mereTabulex ApS. Februar erklæringsår. R, s
Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår
Læs merefrcewtfrhousf(wpers ml
frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende
Læs mereFront-data Danmark A/S
Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560
Læs mereMedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende
Læs mereDFF-EDB a.m.b.a CVR nr.:
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og implementering i forbindelse med hosting og drift af Citrix-platformen pr. 22. juni 2015 ISAE 3402, type I
Læs merePræsentation af Curanets sikringsmiljø
Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:
Læs mereSURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1
SURFTOWNS SIKRINGSMILJØ Databehandleraftalen - Bilag 1 Indholdsfortegnelse Fysisk sikkerhed... 2 Logiske adgange... 2 Netværk... 2 Logning... 2 Sårbarhedsstyring... 2 Overvågning... 2 Backup... 3 Kryptering...
Læs mereDatabehandleraftale 2013
Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE
Læs mereDet er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores
It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning
Læs mereDS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484
DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres
Læs mereErklæring om fysisk sikring og effektiviteten heraf for perioden fra 16. juni 2016 til 15. juni 2017
Nianet A/S ISAE 3402 Type 2 Erklæring om fysisk sikring og effektiviteten heraf for perioden fra 16. juni 2016 til 15. juni 2017 Deloitte Touche Tohmatsu Limited Deloitte er en betegnelse for en eller
Læs mereSikkerhedspolitik Version 4.0506 d. 6. maj 2014
Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall
Læs mereVi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.
Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som
Læs mereKOMBIT sikkerhedspolitik
KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER
Læs mereComplea A/S CVR-nr
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med hosting-ydelsen pr. 24. maj 2018 ISAE 3402, type I Complea A/S CVR-nr. 33 15 37 16 Maj 2018
Læs mereTabulex ApS. Februar 2011 7. erklæringsår. R, s
Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår
Læs mereAthena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018
www.pwc.dk Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018 Indhold 1. Ledelsens udtalelse... 3 2. Uafhængig revisors
Læs mereEksempel på KOMBITs instruks til ISAE 3000 revisionserklæring
Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,
Læs mereEG Cloud & Hosting
www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017
Læs mereMedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende
Læs mereEG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser
www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...
Læs merePSYKIATRIFONDENS Informationssikkerhedspolitik
PSYKIATRIFONDENS Informationssikkerhedspolitik Indhold Indledning... 3 Formål... 3 Omfang og ansvar... 3 Sikkerhedsniveau... 4 Beredskab... 4 Sikkerhedsbevidsthed... 5 Brud på informationssikkerheden...
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereIDQ A/S CVR-nr.:
Uafhængig revisors ISAE 3000 - erklæring med sikkerhed om beskrivelsen af kontroller rettet mod databeskyttelse og behandling af personoplysninger pr. 28. marts 2019 ISAE 3000 IDQ A/S CVR-nr.: 34 04 62
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereZentura IT A/S CVR-nr. 32 89 08 06
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32
Læs mereComplea A/S CVR-nr.:
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelser i perioden 25-05-2018 til 30-04-2019 ISAE 3402-II CVR-nr.:
Læs mereSikkerhedspolitik Version 3.1003 d. 3. oktober 2013
Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken
Læs mere1. Ledelsens udtalelse
www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereNOVAX One. Overlad ansvaret til os
NOVAX One Overlad ansvaret til os NOVAX One vi tager ansvaret for jeres datasikkerhed Undgå tidskrævende og besværlig planlægning Med NOVAX One, en browserbaseret løsning fra NOVAX, slipper I for arbejdet
Læs mereTlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S
Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN
Læs mereSkanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017
Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereIndholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4
Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,
Læs mereIT sikkerhedspolitik for Business Institute A/S
IT sikkerhedspolitik for Business Institute A/S Indholdsfortegnelse OFFENTLIG SIKKERHEDSPOLITIK FOR BUSINESS INSTITUTE... 2 1. ANVENDELSESOMRÅDE... 2 Indledning og formål... 2 Roller og ansvarsområder...
Læs merePolitik <dato> <J.nr.>
Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .
Læs mereKontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1
Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?
Læs mereRegion Hovedstadens Ramme for Informationssikkerhed
Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...
Læs mereProcedure for tilsyn af databehandleraftale
IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af
Læs mereVersion: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium
Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...
Læs mereInformationssikkerhedspolitik. for Aalborg Kommune
Informationssikkerhedspolitik for Aalborg Kommune Indhold Formål... 2 Gyldighedsområde... 2 Målsætning... 2 Sikkerhedsniveau... 3 Organisation og ansvarsfordeling... 3 Kontrol... 4 Sikkerhedsbrud og sanktionering...
Læs mereISAE 3402 TYPE 2 ERKLÆRING
JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge
Læs mereHos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:
ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne
Læs mereINFORMATIONS- SIKKERHEDSPOLITIK
Halsnæs Kommune INFORMATIONS- SIKKERHEDSPOLITIK Vedtaget af Halsnæs Byråd 202. 25-09-207 FORSIDE Halsnæs Kommune Informationssikkerhedspolitik 202 INDLEDNING Denne informationssikkerhedspolitik udgør den
Læs mereForfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø
spolitik 28.02.2017 Banedanmark IT Amerika Plads 15 2100 København Ø www.banedanmark.dk Forfatter: Carsten Stenstrøm Mail: cstr@bane.dk Telefon: 41881976 Indhold Side 1 spolitik 4 1.1 Indledning 4 1.2
Læs mereHolstebro Kommune. Bilag 4 Revisionsberetning vedrørende Ansvarsforhold, revisionens omfang og rapportering. (Vilkår for revisionsopgaven)
Holstebro Kommune CVR-nr. 29 18 99 27 Bilag 4 Revisionsberetning vedrørende Ansvarsforhold, revisionens omfang og rapportering (Vilkår for revisionsopgaven) Holstebro Kommune Revisionsberetning vedrørende
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mereAndersen & Martini A/S
Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten
Læs mereSikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005
Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...
Læs mereWWI A/S. Indholdsfortegnelse
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR
Læs merePrivatlivspolitik ekstern persondatapolitik
Privatlivspolitik ekstern persondatapolitik for Shine Danmark miljøvenlig rengøring vedr. behandling af persondata Version 1 Dato 22.05.2018 Godkendt af Christina L. Johansen Antal sider 14 Side 1 af 10
Læs mereVejledning til brug af Bank RA Revisionsinstruks
Vejledning til brug af Bank RA Revisionsinstruks 1-7 Indholdsfortegnelse Indledning... 3 Formål... 3 Scope for RA-revisionen... 3 Særlige forhold for banker der benytter Nets DanID API et... 3 Kontroller
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereIST DANMARK APS ISAE 3000 ERKLÆRING
MAJ 2017 IST DANMARK APS ISAE 3000 ERKLÆRING Uafhængig revisors erklæring om IST Danmark ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerheds- foranstaltninger til beskyttelse af personoplysninger.
Læs mereIT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Læs mereGDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017
www.pwc.dk GDPR Leverandørstyring og revisionserklæringer GDPR Leverandørstyring og revisionserklæringer v. Jess Kjær Mogensen og Charlotte Pedersen, Agenda Leverandørstyring Erklæringer Spørgsmål 3 Leverandørstyring
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs merePolitik for informationssikkerheddatabeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for informationssikkerheddatabeskyttelse Politik for databeskyttelse i Ballerup Kommune Denne informationssikkerhedspolitikdatabeskyttelsespolitik
Læs mereRevisionskomitéen. Under udførelsen af udvalgets opgaver skal udvalget opretholde et effektivt samarbejde med bestyrelse, ledelse og revisorer.
Thrane & Thranes bestyrelse har nedsat en revisionskomite. Revisionskomitéen Revisionskomiteens medlemmer er: Morten Eldrup-Jørgensen (formand og uafhængigt medlem med ekspertise inden for blandt andet
Læs mere1 Informationssikkerhedspolitik
Indholdsfortegnelse 1 Informationssikkerhedspolitik... 1 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 2 1.3 Sikkerhedsniveau:... 2 1.4 Sikkerhedsbevidsthed:... 3 1.5 Brud på informationssikkerheden:...
Læs mereForslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed
Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.
Læs mereVejledning i informationssikkerhedspolitik. Februar 2015
Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs mereUdkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig
Læs mereDatabeskyttelsesdagen
www.pwc.dk Databeskyttelsesdagen GDPR: Ping-pong mellem teori og praksis! Revision. Skat. Rådgivning. Præsentation Claus Bartholin Senior Manager, IT Risk Assurance E: cbt@pwc.dk T: +45 3945 3973 M: +45
Læs mereModenhed og sikkerhed hos databehandlere Charlotte Pedersen
Modenhed og sikkerhed hos databehandlere Charlotte Pedersen 28. Januar 2014 Præsentation Charlotte Pedersen Director Cand.scient.pol. ISO27001:2013 Certified ISMS Lead Auditor (IBITG accredited) mv., CIIP,
Læs mereBallerup Kommune Politik for databeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for databeskyttelse 85.15.00-P30-1-18 Politik for databeskyttelse i Ballerup Kommune Denne databeskyttelsespolitik er den overordnede ramme
Læs mereLinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK
GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds
Læs mereStaten og Kommunernes Indkøbsservice
Staten og Kommunernes Indkøbsservice ISAE 3000-erklæring fra uafhængig revisor vedrørende procedurer og kontroller etableret til beskyttelse af pr. 31. december 2018 Indhold 1 Serviceleverandørens udtalelse
Læs mereIT-sikkerhedspolitik for Lyngby Tandplejecenter
IT-sikkerhedspolitik for Lyngby Tandplejecenter 1 Indledning Formål med IT-sikkerhedspolitikken Lyngby tandplejecenters IT-sikkerhedspolitik er vores sikkerhedsgrundlag og vores fælles forståelse af, hvad
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereAfsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud
Læs mereLANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED
LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke
Læs mereBOARD OFFICE white paper
white paper Bestyrelsesportal med sikker administration af alt arbejdsmateriale. Indhold 1. Introduktion... s.3 2. Hosting... s.4 3. Kryptering... s.4 4. Certifikater... s.5 5. Backup... s.5 6. Udvikling...
Læs mereKontraktbilag 8. It-sikkerhed og compliance
Kontraktbilag 8 It-sikkerhed og compliance LØNMODTAGERNES DYRTIDSFOND DIRCH PASSERS ALLÉ 27, 2. SAL 2000 FREDERIKSBERG TELEFON 33 36 89 00 FAX 33 36 89 01 INFO@LD.DK WWW.LD.DK CVR 61552812 2 INDHOLD INDHOLD
Læs mereKontaktoplysninger LiebhaverSkovfogeden er dataansvarlig, og vi sikrer, at dine persondata behandles i overensstemmelse med lovgivningen.
Persondatapolitik Vi tager din databeskyttelse alvorligt Vi behandler persondata og har derfor vedtaget denne privatlivsbeskyttelsespolitik, der fortæller dig, hvordan vi behandler dine data. Kontaktoplysninger
Læs mereSådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed
Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget
Læs mereKommissorium for revisionsudvalget i TDC A/S
2. februar 2012 Kommissorium for revisionsudvalget i TDC A/S 1. Status og kommissorium Revisionsudvalget er et udvalg under bestyrelsen, der er nedsat i overensstemmelse med 15.1 i forretningsordenen for
Læs mereInformationssikkerhedspolitik For Aalborg Kommune
Click here to enter text. Infor mationssi kkerhedspoliti k 2011 «ed ocaddressci vilcode» Informationssikkerhedspolitik For Aalborg Kommune Indhold Formål... 3 Gyldighedsområde... 3 Målsætning... 3 Sikkerhedsniveau...
Læs mere