ISAE 3000 DK ERKLÆRING MARTS RSM plus P/S statsautoriserede revisorer

Transkript

1 plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Kalvebod Brygge 45, 2., 1560 København V Tlf.: (+45) , Fax: (+45) copenhagen@rsmplus.dk, CVR-nr (Hjemsted: København) RSM plus P/S statsautoriserede revisorer Afdelinger i: Aalborg, Holstebro, Kolding, København, Odense, Skærbæk, Vordingborg og Aarhus RSM plus er et selvstændigt medlem af RSM International, en uafhængig kæde af selvstændige revisions- og konsulentfirmaer med kontorer i mere end 100 lande

2 Den uafhængige revisors erklæring Til ledelsen hos Tabulex ApS, Tabulex ApS kunder og deres revisorer. Vi har gennemgået om Tabulex ApS for perioden 1. marts februar 2013 har overholdt forskrifterne i bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger jf. de mellem Tabulex ApS og dennes kunder indgåede aftaler i tilknytning til følgende Tabulex produkter: Folkeskole, Privat-, fri- og efterskole, Daginstitutioner, SFO og Ungdomsskole Vort ansvar er på baggrund af vores undersøgelser at udtrykke en konklusion om, hvorvidt vi er enige i, at de aftalte kontroller vedrørende beskyttelse af personoplysninger er overholdt hos Tabulex ApS. Bilag 1 viser en oversigt over de kontrolmål og arbejdshandlinger, der er omfattet af revisionen. Afgrænsning Følende Tabulex programmer er ikke omfatter nærværende erklæring Hjemmeside, Informationsportal, Lara, Skemalægning, Skolebestyrelse og Trio. Programmerne er ikke omfatter af erklæringen med baggrund i deres egenskab som enten distribueret database udenfor Tabulex s driftsmiljø eller ikke indeholdende personhenførbar data. Begrænsninger i kontroller hos Tabulex ApS På grund af begrænsninger i ethvert kontrolsystem kan der opstå fejl eller besvigelser, som ikke afdækkes af vort arbejde. Endvidere vil en anvendelse af vor konklusion på efterfølgende perioders transaktioner være undergivet en risiko for, at der er foretaget ændringer af systemer eller kontroller, ændring i kravene til behandling af oplysninger eller i virksomhedens overholdelse af de beskrevne politikker og procedurer, hvorved vor konklusion eventuelt ikke længere vil være gældende. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos serviceleverandører kan blive utilstrækkelige eller svigte. Ledelsens ansvar Selskabets ledelse har ansvaret for databehandlingen mellem selskabet og dets kunder. Selskabets ledelse er i forbindelse hermed ansvarlig for at sikre implementeringen og funktionen af kontrolsystemer med henblik på at forebygge og opdage fejl, herunder tilsigtede og utilsigtede fejl, med henblik på overholdelse af de i aftalerne stillede krav. Det udførte arbejde Vi har udført vores arbejde i overensstemmelse med den internationale standard om andre erklæringsopgaver med sikkerhed og yderligere krav ifølge dansk revisorlovgivning med henblik på at opnå høj grad af sikkerhed for vores konklusion om overholdelse af bekendtgørelsens forskrifter om beskyttelse af personoplysninger i Tabulex ApS. Arbejdet omfatter forespørgsler, observationer og vurdering samt stikprøvevis efterprøvning af den information, vi har modtaget. Vor vurdering af sikkerhedsniveauet er foretaget med udgangspunkt i Dansk Standard publikation DS 484: 2005 Standard for informationssikkerhed. Det er vor opfattelse, at det udførte arbejde giver et tilstrækkeligt grundlag for vor konklusion. Side 2

3 Konklusion Det er vor opfattelse, at Tabulex ApS for perioden 1. marts februar 2013 overholder forskrifterne i bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger jf. de mellem Tabulex ApS og dennes kunder indgåede aftaler, i tilknytning til følgende Tabulex produkter: Folkeskole, Privat-, fri- og efterskole, Daginstitutioner, SFO og Ungdomsskole. København, den 12. marts 2013 RSM plus P/S statsautoriserede revisorer Kim Larsen Statsautoriseret revisor Jesper Aaskov Pedersen Head of IT Assurance & Advisory Side 3

4 Bilag 1: Test af kontroller, der er udført, og tilknyttede resultater Nedenfor er oplistet de kontrolmål, som er gennemgået som led i vores arbejde, samt de tilknyttede arbejdshandlinger. Driftsafvikling Der er etableret passende forretningsgange og kontroller vedrørende drift, herunder overvågning, registrering og opfølgning på relevante hændelser. Vi har kontrolleret, at der foreligger tilstrækkelige procedurer for driftsafviklingen af Tabulex ApS programmer samt stikprøvevis testet, at procedurerne efterleves. Det er endvidere påset, at der foretages passende overvågning af driften. Fysisk sikkerhed Der er etableret fornøden beskyttelse mod skader forårsaget af f.eks. brand, vandskade, strømafbrydelse, tyveri eller hærværk. Vi har gennemgået den fysiske sikkerhed vedrørende systemer, som er placeret hos Interxion Danmark ApS, og vi har påset, at der er etableret fornøden beskyttelse mod bl.a. brand, vandskade, strømafbrydelse, tyveri og hærværk. Sikkerhedskopiering Der foreligger tilstrækkelige procedurer for sikkerhedskopiering. Vi har kontrolleret, at der foreligger passende procedurer for sikkerhedskopiering. Vi har ved gennemgang af systemopsætning stikprøvevis testet, at procedurerne efterleves, samt at der er foretaget dublering til at kunne sikre tilgængeligheden af data. Adgangsrettigheder Der er etableret passende forretningsgange og kontroller for tildeling, opfølgning og vedligeholdelse af adgangsrettigheder til systemer og data. Vi har kontrolleret, at tildeling af adgangsrettigheder til systemsoftware sker efter passende forretningsgange, og at der foretages periodisk opfølgning på de tildelte adgangsrettigheder. Det er den dataansvarliges ansvar at tildele, ændre og slette autorisationer i applikationen samt påse, at kun aktuelle brugere har adgang til Tabulex ApS programmer. Fysiske og logiske adgangskontroller Side 4

5 Der er etableret logiske og fysiske adgangskontroller, som begrænser risikoen for uautoriseret adgang til systemer eller data. Vi har kontrolleret, at der anvendes passwordkvalitet i henhold til god praksis. Vi har endvidere påset, at det sikres, at der anvendes autentifikation af brugere på alle adgangsveje. Vi har kontrolleret, at fysisk adgang til systemer, som er placeret hos Interxion Danmark ApS, sikres via et elektronisk system, der logger alle adgange til serverrummet. Fysiske adgangskontroller vedrørende adgang til den dataansvarliges kontorlokaler mv. er ikke omfattet af de leverede serviceydelser, og er derfor den dataansvarliges eget ansvar. Organisatorisk funktionsadskillelse Der er etableret passende funktionsadskillelse i og omkring it-funktionerne, herunder mellem udvikling, drift samt brugerfunktioner. Vi har kontrolleret, at der opretholdes tilstrækkelig funktionsadskillelse i relation til den drift, der udføres af Tabulex ApS. Logisk funktionsadskillelse Der er etableret fornødne logiske adgangskontroller, der underbygger den organisatoriske funktionsadskillelse. Vi har ved stikprøvevis udtræk af systemkonfigurationer kontrolleret, at der er etableret logiske adgangskontroller til servere, således at de enkelte driftsområder er adskilt, samt at driftsfunktioner er begrænset til relevante driftsfunktioner. Oprettelse af brugere med adgang til Tabulex ApS programmer foretages af den dataansvarlige, hvorfor tildeling af autorisationer til disse brugere er den dataansvarliges ansvar. Datakommunikation Datakommunikation er tilrettelagt på en hensigtsmæssig måde og er tilstrækkeligt sikret mod risiko for tab af autenticitet, integritet, uafviselighed/sporbarhed, tilgængelighed samt fortrolighed. Vi har ved gennemgang af den generelle datakommunikation kontrolleret, at strukturen er sikret mod skader og uautoriserede indgreb, samt at der er mulighed for at anvende sikre krypterede protokoller. Datakommunikation til Tabulex ApS programmer er den dataansvarliges eget ansvar. Side 5