Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Transkript

1 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud A/S REVI-IT A/S

2 Indholdsfortegnelse Afsnit 1 any.cloud A/S ledelseserklæring Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Afsnit 3 Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet Afsnit 4 Bilag: Kontrolmål, udførte kontroller, tests og resultater heraf REVI-IT A/S Side 2 af 56

3

4

5 (Afsnit 2) any.cloud A/S beskrivelse af hostingydelse samt interne kontroller REVI-IT A/S Side 5 af 56

6 REVI-IT A/S Side 6 af 56

7 REVI-IT A/S Side 7 af 56

8 REVI-IT A/S Side 8 af 56

9 REVI-IT A/S Side 9 af 56

10 REVI-IT A/S Side 10 af 56

11 REVI-IT A/S Side 11 af 56

12 REVI-IT A/S Side 12 af 56

13 REVI-IT A/S Side 13 af 56

14 REVI-IT A/S Side 14 af 56

15 REVI-IT A/S Side 15 af 56

16 REVI-IT A/S Side 16 af 56

17 REVI-IT A/S Side 17 af 56

18 REVI-IT A/S Side 18 af 56

19 REVI-IT A/S Side 19 af 56

20 REVI-IT A/S Side 20 af 56

21 REVI-IT A/S Side 21 af 56

22 (Afsnt 3) Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet Til ledelsen hos any.cloud A/S, any.cloud A/S kunder og deres revisorer. Omfang Vi har fået til opgave at afgive erklæring om any.cloud A/S beskrivelse, som er gengivet i afsnit 2. Beskrivelsen, som i afsnit 1 er bekræftet af any.cloud A/S ledelse, dækker virksomhedens hostingydelser i perioden 1. maj til 30. november 2013 samt udformningen og funktionaliteten af de kontroller der knytter sig til de kontrolmål, som er anført i beskrivelsen. any.cloud A/S beskrivelse (afsnit 2) indeholder en række forhold som virksomheden skal leve op til jf. virksomhedens medlemskab af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark). Vores revision har omfattet disse forhold, og består udover de fysiske forhold, herunder server hardware, LAN, WAN og firewalls, af: hvorvidt any.cloud A/S implementerer kritiske sikkerhedsopdateringer inden for 2 måneder fra frigivelse, og hvorvidt any.cloud A/S kan retablere enheder i datacenter inden for 3 dage. any.cloud A/S ansvar any.cloud A/S er ansvarlig for udarbejdelsen af beskrivelsen (afsnit 2) og tilhørende udsagn (afsnit 1), herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret. any.cloud A/S er herudover ansvarlig, for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmål og for udformningen, implementeringen og effektiviteten af fungerende kontroller for at nå de anførte kontrolmål. REVI-IT A/S ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om any.cloud A/S beskrivelse (afsnit 2) og om udformningen og funktionaliteten af de kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå en høj grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er retvisende, og at kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt. Opgaven med afgivelse af en erklæring med sikkerhed om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system og for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vur- REVI-IT A/S Side 22 af 56

23 deringen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give en høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere en vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i afsnit 2.. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør any.cloud A/S beskrivelse i afsnit 2 er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtige efter sine særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller afdække alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i any.cloud A/S udsagn i afsnit 2 og det er på den baggrund vores vurdering, (a) (b) (c) (d) (e) at beskrivelsen af hostingydelsen, således som det var udformet og implementeret i hele perioden 1. maj til 30. november 2013, i alle væsentlige henseender er retvisende, og at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra 1. maj til 30. november 2013, og at kontrollerne for de særlige krav, som er foranlediget af virksomhedens medlemskab af BFIH jf. beskrivelsen i kapitel 2, var hensigtsmæssigt udformet i hele perioden fra, og at de testede kontroller, som var de kontroller, der var nødvendige for at give en høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden 1. maj til 30. november Beskrivelse af test af kontroller De specifikke kontroller, der er testet, samt arten, den tidsmæssige placering og resultater af disse tester fremgår i det efterfølgende hovedafsnit (afsnit 4). Tiltænkte brugere og formål Denne erklæring er udelukkende tiltænkt kunder, der har anvendt any.cloud A/S hostingydelse, og disses revisorer, som har en tilstrækkelig kompetence til at vur- REVI-IT A/S Side 23 af 56

24 dere den medfølgende beskrivelse sammen med anden information, herunder information om kunders egne kontroller. Denne information tjener til opnåelse af en forståelse af kundernes informationssystemer, som er relevante for regnskabsaflæggelsen. København, 30. december 2013 REVI-IT A/S Statsautoriseret revisionsaktieselskab Henrik Paaske Statsautoriseret revisor Martin Brogaard Nielsen It-revisor, CISA, adm. direktør REVI-IT A/S Side 24 af 56

25 (Afsnit 4) Kontrolmål, udførte kontroller, test og resultater heraf Den følgende oversigt er udformet for at skabe en forståelse for effektiviteten af de kontroller, som any.cloud A/S har implementeret. Vores test af funktionaliteten har omfattet de kontroller, som vi har vurderet nødvendige for at kunne opnå en høj grad af sikkerhed for, at de anførte kontrolmål har været opnået i perioden 1. maj til 30. november Vi har således ikke nødvendigvis testet alle de kontroller, som any.cloud A/S har nævnt i sin beskrivelse i afsnit 2. Kontroller, udført hos any.cloud A/S kunder, er herudover ikke omfattet af vores erklæring idet kundernes egne revisorer må foretage denne gennemgang og vurdering. Vi har udført vores tests af kontroller hos any.cloud A/S via følgende handlinger: Metode Forespørgsel Observation Inspektion Genudførsel af kontrol Overordnet beskrivelse Interview, altså forespørgsel, af udvalgt personale hos virksomheden omkring kontroller Observation af hvordan kontroller udføres Gennemgang og stillingtagen til politikker, procedurer og dokumentation vedrørende kontrollers udførsel. Vi har selv eller observeret en genudførsel af kontroller med henblik på at verificere, at kontrollen fungerer som forventet. Beskrivelse og resultat af vores tests ud fra de testede kontroller fremgår af de efterfølgende skemaer. I det omfang vi har konstateret væsentlige svagheder i kontrolmiljøet eller afvigelser her fra, har vi anført dette. REVI-IT A/S Side 25 af 56

26 Risikovurdering og -håndtering Overordnet kontrolmål: Sikring af Implementering, og løbende vedligeholdelse af ledelsesgodkendte retningslinjer for informationssikkerhed i forhold til forretningsstrategien - og i forhold til relevant lovgivning. Risikovurdering Nr. Kontrolmål any.cloud A/S kontrolforanstaltning REVI-IT s test Resultat af test 01 It-risikoanalyse at sikre, at virksomheden periodisk fortager en analyse og vurdering af itrisikobilledet. Vi har procedurer for løbende risikovurdering af vores forretning og specielt vores Cloud tjenester. Dermed kan vi sikre, at de risici, som er forbundet med de services og ydelser, vi stiller til rådighed, er minimeret til et acceptabelt niveau. Vi har forespurgt til vurdering af risici i any.cloud A/S Vi har inspiceret den udarbejdede risikovurdering. ISO Håndtering af sikkerhedsrisici 02 Procedure for risikohåndtering at sikre, at Virksomheden har udarbejdet faste procedurer for behandling af risici. Risikovurdering foretages periodisk samt når vi foretager ændringer eller implementerer nye systemer, som vi vurderer at have relevante til at revurdere vores generelle risikovurdering. Ansvaret for risikovurderinger er hos virksomhedens CTO og skal efterfølgende forankres og godkendes hos ledelsen. Vi har forespurgt til kontroller for periodisk revurdering af risici. 4.2 Sikkerhedspolitik Overordnet kontrolmål: Sikring af Implementering, og løbende vedligeholdelse af ledelsesgodkendte retningslinjer for informationssikkerhed i forhold til forretningsstrategien - og i forhold til relevant lovgivning. It-sikkerhedspolitik Nr. Kontrolmål any.cloud A/S kontrolforanstaltning REVI-IT s test Resultat af test 01 It-sikkerhedspolitik at sikre, at Virksomheden har udarbejdet en ledelsesgodkendt it-sikkerhedspolitik. Sikkerhedspolitikken er udarbejdet efter any.cloud s ISO certificering og revideres årligt af REVI-IT. Vi har forespurgt til udarbejdelse af itsikkerhedspolitik. Vi har inspiceret den udarbejdede itsikkerhedspolitik. It-sikkerhedspolitikken er ikke opbygget i forhold til ISO ISO REVI-IT A/S Side 26 af 56

27 02 Evaluering af i-tsikkerhedspolitikken at sikre, at Virksomheden vedligeholder itsikkerhedspolitikken, samt sikre, at sikkerhedspolitikken publiceres til og er tilgængelig for relevante interessenter. Sikkerhedspolitikken er udarbejdet efter any.cloud s ISO certificering og revideres årligt af REVI-IT. Vi har forespurgt til procedure for periodisk gennemgang af it-sikkerhedspolitikken Organisering af informationssikkerhed Overordnet kontrolmål: Håndtering og styring af informationssikkerhed i organisationen, samt opretholde sikkerheden i informationsbehandlingsfaciliteterne, som bliver tilgået, behandlet eller styret af eksterne parter. ISO Intern organisering 6.1 Nr. Kontrolmål any.cloud A/S kontrolforanstaltning REVI-IT s test Resultat af test 01 Ledelsens forpligtelse til informationssikkerhed at sikre, at ledelsen aktivt understøtter sikkerheden i virksomheden ved tydeligt at vise retning, engagement, præcis opgavefordeling og anerkendelse af ansvar for informationssikkerhed. Det er ledelsen der godkender retningslinjerne for politikker og procedurer, og det er ledelsen der periodisk godkender opdateringer hertil. Årligt foretages der review heraf for at sikre en opdateret politik. Vi har forespurgt til ledelsens forpligtigelse til informationssikkerhed Koordinering af informations-sikkerhed at sikre, at informationssikkerhedsaktiviteter koordineres af repræsentanter fra forskellige dele af virksomheden med relevante roller og jobfunktioner. Vi har etableret it-sikkerhedspolitik der beskriver hvordan vi overordnet skal håndteres vores forretning og vores leverance. Alle medarbejdere kender til denne via intranettet og informeres, når ledelsen godkender opdateringer til politikken. Vi har en klart opdelt organisation hvad ansvar angår, og har udførlige ansvars- og rollebeskrivelser på alle niveauer lige fra ledelsesniveau til de enkelte driftsmedarbejdere. Vi har forespurgt til koordinering af informationssikkerhed. Vi har inspiceret dokumentation REVI-IT A/S Side 27 af 56

28 03 Delegering af ansvar for informationssikkerhed at sikre, at alt ansvar for informationssikkerhed er klart defineret. Vi har en klart opdelt organisation hvad ansvar angår, og har udførlige ansvars- og rollebeskrivelser på alle niveauer lige fra ledelsesniveau til de enkelte driftsmedarbejdere. Vi har forespurgt til delegering af ansvar. Vi har inspiceret dokumentation Godkendelsesproces for informationsbehandlingsfaciliteter at sikre, at en styringsproces for godkendelse af nyt informationsbehandlingsudstyr defineres og implementeres. Vi har en klart opdelt organisation hvad ansvar angår, og har udførlige ansvars- og rollebeskrivelser på alle niveauer lige fra ledelsesniveau til de enkelte driftsmedarbejdere. Vi har forespurgt til proces for godkendelse af nye faciliteter Fortrolighedsaftaler at sikre, at krav til aftaler om fortrolighed eller hemmeligholdelse, der afspejler virksomhedens behov for at beskytte informationer, skal identificeres og evalueres regelmæssigt. Der er etableret fortrolighed generelt for alle involverede i vores forretning. Dette sker via ansættelseskontrakter eller samarbejdsaftaler med underleverandører og samarbejdspartnere. Vi har forespurgt til fortrolighedsaftaler. Vi har inspiceret dokumentation for fortrolighed Kontakt med særlige interessegrupper at sikre, at der opretholdes passende kontakt med særlige interessegrupper eller andre faglige sikkerhedsfora og faglige organisationer. Vi holder os fagligt opdaterede vha. producenters supporthjemmesider, debatfora mv. for konstaterede svagheder i de systemer, vi benytter og tilbyder. Via vores medlemskab af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark) har vi etableret kontakt til hotline hos DK-CERT, hvor vi gensidigt har aftale om orientering ved væsentlige sikkerhedsrelaterede forhold vedrørende internettrafik. Vi har forespurgt til kontakt med interessegrupper. Vi har inspiceret dokumentation for kontakt med DK-Cert REVI-IT A/S Side 28 af 56

29 08 Uafhængig evaluering af informationssikkerhed at sikre, at virksomhedens metode til styring af informationssikkerhed og implementeringen af den (dvs. styringsmål, foranstaltninger, politikker, processer og procedurer for informationssikkerhed) evalueres uafhængigt og separat med planlagte mellemrum eller i tilfælde af væsentlige ændringer af sikkerhedsimplementeringen. Vi har en intern it-sikkerhedsorganisation, som sikrer at politikker og procedurer ajourføres og bidrager til optimering af det aktuelle sikkerhedsniveau i any.cloud A/S. Der foretages løbende og minimum årligt en uafhængig evaluering af informationssikkerheden, som foretages af vores interne revision. Derudover foretages evalueringen af en ekstern it-revisor samt i forbindelse med udarbejdelse af de årlige ISAE 3402 erklæringer. Vi har forespurgt til uafhængig evaluering af informationssikkerhed. Vi har observeret, at der foretages en uafhængig evaluering af informationssikkerhed Eksterne parter Identifikation af risici i relation til eksterne parter at sikre, at de risici for virksomhedens informationer og informationsbehandlingsudstyr, som forretningsprocesser, der involverer eksterne parter, frembyder, skal identificeres, og der iværksættes passende foranstaltninger, inden der gives adgang. Vi har i vores politik defineret hvordan vi samarbejder med eksterne parter. Er der tale om parter som er en integreret del af vores leverancer, skal vi føre tilsyn med underleverandørens etablerede kontroller. For hvert samarbejde har vi udarbejdet en risikovurdering for vurdering af risici, som samarbejdet kan medføre i forhold til vores ydelse til kunderne, herunder sikkerheden hos de enkelte leverandører, dataudveksling, eksterne adgange mm. Vi har forespurgt til identifikation af risici i relation til eksterne parter. Vi har inspiceret dokumentation Sikkerhedsforhold i relation til kunder at sikre, at alle identificerede sikkerhedskrav er afklaret, inden kunder får adgang til virksomhedens informationer eller aktiver. Vores tekniske og logiske sikkerhedsmodel kan ikke afviges. Ønsker kunder ændringer, der efter vores opfattelse slækker på deres eller på vores, eller andre kunders systemer, tager vi en dialog med kunden om en tilsvarende løsning. Dette kan være web-services, kodeordspolitik, IP-forhold mv. Vi har forespurgt til sikkerhedsforhold i relation til kunder. Vi har inspiceret dokumentation REVI-IT A/S Side 29 af 56

30 11 Håndtering af sikkerhed i aftaler med tredjemand at sikre, at aftaler med tredjemand om adgang, behandling, kommunikation eller håndtering af virksomhedens informationer eller informationsbehandlingsudstyr eller om tilvejebringelse af produkter eller tjenester til informationsbehandlingsudstyr dækker alle relevante sikkerhedskrav. Vores tekniske og logiske sikkerhedsmodel kan ikke afviges. Ønsker kunder ændringer, der efter vores opfattelse slækker på deres eller på vores, eller andre kunders systemer, tager vi en dialog med kunden om en tilsvarende løsning. Dette kan være web-services, kodeordspolitik, IP-forhold mv. Vi har forespurgt til håndtering af sikkerhed med tredjemand. Vi har inspiceret dokumentation Styring af informationsrelaterede aktiver Overordnet kontrolmål: Systemer, data og enheder skal sikres og dokumenteres betryggende. Ansvar for aktiver 7.1 Nr. Kontrolmål any.cloud A/S kontrolforanstaltning REVI-IT s test Resultat af test 01 Fortegnelse over aktiver at sikre, at alle aktiver identificeres entydigt, og der udarbejdes og vedligeholdes en fortegnelse over alle vigtige aktiver. Systemer, data og enheder, herunder medarbejdere, m.m. skal sikres og dokumenteres betryggende. Software, servere og netværksudstyr inkl. konfiguration er registreret til brug ved dokumentation, overblik over udstyr mv. Vi har forespurgt til fortegnelse over aktiver. Vi har inspiceret dokumentation ISO Ejerskab af aktiver at sikre, at alle informationer og aktiver i relation til informationsbehandlingsudstyr "ejes" af en udpeget part i virksomheden. Via ansvarsfordeling og rollebeskrivelser, er centrale netværksenheder, servere, periferienheder, systemer og data tilegnet systemansvarlige i vores virksomhed. Kunders data og systemer er tilegnet kundens kontaktperson. Vi arbejder med ejerskab for at sikre, at ingen enheder, systemer eller data bliver glemt ift. sikkerhedsopdatering, klassifikation, drift og vedligehold. Vi har forespurgt til ejerskab af aktiver. Vi har inspiceret dokumentation REVI-IT A/S Side 30 af 56

31 03 Accepteret brug af aktiver at sikre, at regler for accepteret brug af informationer og aktiver i relation til informationsbehandlingsudstyr identificeres, dokumenteres og implementeres. Vi har etableret it-sikkerhedspolitik der beskriver hvordan vi overordnet skal håndteres vores forretning og vores leverance. Alle medarbejdere kender til denne via intranettet og informeres, når ledelsen godkender opdateringer til politikken. Vi har forespurgt til retningslinjer for brug af aktiver. Vi har inspiceret dokumentation Klassifikation af information Retningslinjer for klassifikation at sikre, at informationer klassificeres efter deres værdi, lovmæssige krav og efter, hvor følsomme og kritiske informationerne er for virksomheden. Ingen formel procedure Vi har forespurgt til retningslinjer for klassifikation Mærkning og håndtering af informationer at sikre, at der udarbejdes og implementeres et passende sæt af procedurer til mærkning og håndtering af informationer i overensstemmelse med den klassifikationsplan, som virksomheden har vedtaget. Ingen formel procedure Vi har forespurgt til mærkning og håndtering af informationer. Vi har observeret opbevaring og mærkning af informationer REVI-IT A/S Side 31 af 56

32 Medarbejdersikkerhed Overordnet kontrolmål: Sikring af, at alle i virksomheden er bekendte med deres roller og ansvar herunder også underleverandører og 3. parter, og at alle er kvalificerede og egnede til at udføre deres rolle ISO Inden ansættelse 8.1 Nr. Kontrolmål any.cloud A/S kontrolforanstaltning REVI-IT s test Resultat af test 01 Opgaver og ansvar at sikre, at medarbejderes, underleverandørers og eksterne brugeres sikkerhedsopgaver og sikkerhedsansvar defineres og dokumenteres i overensstemmelse med virksomhedens informationssikkerhedspolitik. Vi vil sikre, at alle i virksomheden er bekendte med deres roller og ansvar herunder også vores underleverandører og 3. parter, og at alle er kvalificerede og egnede til at udføre deres rolle. Vi har forespurgt til ansættelsesprocessen. Vi har forespurgt til udarbejdelse af rolle og ansvarsbeskrivelser. Vi har inspiceret procedurer og dokumentation Screening at sikre, at efterprøvning af alle jobkandidaters, underleverandørers og eksterne brugeres baggrund udføres i overensstemmelse med relevante love, forskrifter og etiske regler og skal stå i forhold til de forretningsmæssige krav, klassifikationen af den information, der skal gives adgang til, og de relevante risici. Vi har procedurer for ansættelse af medarbejdere og etablering af samarbejde med eksterne, hvor vi sikrer, at vi ansætter den rigtige kandidat ift. baggrund og kompetence. Vi har forespurgt til ansættelsesprocessen. Vi har forespurgt til screening af medarbejdere inden ansættelse REVI-IT A/S Side 32 af 56

33 03 Ansættelsesforhold at sikre, at medarbejdere, underleverandører og eksterne brugere, som led i den kontraktlige forpligtelse, indgår og underskriver betingelserne i ansættelseskontrakten, der skal angive deres og virksomhedens ansvar for informationssikkerhed. Generelle vilkår for ansættelse, herunder fortrolighed om egne og kunders forhold, er beskrevet i hver medarbejders ansættelseskontrakt hvor forhold omkring alle sider af ansættelsen, herunder ophør og sanktioner ved evt. sikkerhedsbrud, er angivet. Vi har forespurgt til medarbejderes ansættelsesforhold og leverandørs kontrakter. Vi har inspiceret udvalgte ansættelseskontrakter og kontrakter med leverandører Under ansættelsen Ledelsens ansvar at sikre, at ledelsen kræver, at medarbejdere, underleverandører og eksterne brugere opretholder sikkerhed i overensstemmelse med virksomhedens fastlagte politikker og procedurer. Alle i vores virksomhed skal leve op til den rolle, som er tilegnet dem samt følge vores procedurer jf. vores it-sikkerhedspolitik samt ansvars og rollefordeling. Vi har forespurgt til ledelsens ansvar i forhold til politikker og procedurer. Vi har inspiceret kontroller og dokumentation Bevidsthed om, uddannelse og træning i informationssikkerhed at sikre, at alle virksomhedens medarbejdere og, hvor det er relevant, underleverandører og eksterne brugere bevidstgøres om sikkerhed og regelmæssigt holdes ajour med virksomhedens politikker og procedurer, i det omfang det er relevant for deres jobfunktion. Der afholdes løbende, dog minimum årligt, kurser, foredrag samt andre relevante aktiviteter til sikring af, at relevante medarbejdere og evt. eksterne samarbejdspartnere holdes ajour med sikkerhed og bevidstgøres om evt. nye trusler. Medarbejdere, og eksterne parter hvor det er relevant at inkludere disse under vores sikkerhedsretningslinjer, bliver periodisk orienteret om vores sikkerhedsretningslinjer samt når der sker ændringer. Vi har forespurgt til uddannelse af brugere i itsikkerhed. Vi har inspiceret proceduren for uddannelse af medarbejdere REVI-IT A/S Side 33 af 56

34 06 Sanktioner at sikre, at der forefindes en formel sanktionsproces for medarbejdere, der har begået sikkerhedsbrud. Generelle vilkår for ansættelse, herunder fortrolighed om egne og kunders forhold, er beskrevet i hver medarbejders ansættelseskontrakt hvor forhold omkring alle sider af ansættelsen, herunder ophør og sanktioner ved evt. sikkerhedsbrud, er angivet. Vi har forespurgt til retningslinjer for sanktioner. Vi har inspiceret retningslinjer Ophør eller ændring af ansættelse Ansvar ved ophør at sikre, at ansvar for at bringe et ansættelsesforhold til ophør eller ændre et ansættelsesforhold er tydeligt defineret og tildelt. Ved ophør af en ansættelse har vi en udførlig procedure, som skal følges, for at sikre, at medarbejderne indleverer alle relevante aktiver, herunder bærbare medier mm, samt sikre at alle medarbejderes adgange til bygninger, systemer og data inddrages. Det overordnede ansvar for sikring af alle kontroller i fratrædelsesprocessen ligger hos it-chefen. Vi har forespurgt til ansvar ved ophør af medarbejdere. Vi har inspiceret retningslinjer Tilbagelevering af aktiver at sikre, at alle medarbejdere, underleverandører og eksterne brugere afleverer alle virksomhedsaktiver, der er i deres besiddelse, når deres ansættelse, kontrakt eller aftale ophører. Ved ophør af en ansættelse har vi en udførlig procedure, som skal følges, for at sikre, at medarbejderne indleverer alle relevante aktiver, herunder bærbare medier mm, samt sikre at alle medarbejderes adgange til bygninger, systemer og data inddrages. Det overordnede ansvar for sikring af alle kontroller i fratrædelsesprocessen ligger hos it-chefen. Vi har forespurgt til procedure ved ophør af medarbejdere. Vi har stikprøvevis inspiceret proceduren Inddragelse af adgangsrettigheder at sikre, at alle medarbejderes, underleverandørers og eksterne brugeres adgangsrettigheder til informationer og informationsbehandlingsudstyr skal inddrages, når deres ansættelsesforhold, kontrakt eller aftale ophører, eller skal tilpasses efter en ændring. Ved ophør af en ansættelse har vi en udførlig procedure, som skal følges, for at sikre, at medarbejderne indleverer alle relevante aktiver, herunder bærbare medier mm, samt sikre at alle medarbejderes adgange til bygninger, systemer og data inddrages. Det overordnede ansvar for sikring af alle kontroller i fratrædelsesprocessen ligger hos it-chefen. Vi har forespurgt til procedure ved ophør af medarbejdere. Vi har stikprøvevis inspiceret proceduren REVI-IT A/S Side 34 af 56

35 Fysisk sikkerhed Overordnet kontrolmål: At forhindre uautoriseret fysisk adgang til, beskadigelse og forstyrrelse af virksomhedens lokaler og informationer, samt at undgå tab, skade, tyveri eller kompromittering af aktiver og afbrydelse af virksomhedens aktiviteter. ISO Sikre områder 9.1 Nr. Kontrolmål any.cloud A/S kontrolforanstaltning REVI-IT s test Resultat af test 01 Fysisk sikkerhedsafgrænsning at sikre, at sikkerhedsafgrænsninger (barrierer som fx vægge, kortstyrede indgangsporte eller bemandede receptioner) anvendes til at beskytte områder, der indeholder informationer og informationsbehandlingsfaciliteter. Vores servere er fysisk placeret i aflåst lokale, som har monteret køling og brandslukning mv. Alene autoriserede personer får adgang til lokalet via den etablerede procedure, og vi følger periodisk, minimum årligt, op på hvilke personer, der har denne adgang. Skal eksterne personer (leverandører eller kunder) have adgang til lokalet, er det i følgeskab med en af vores autoriserede medarbejdere. InterXion køle- og brandanlæg bliver efterset periodisk, ligesom InterXion s nødstrømsanlæg (UPS) halvårligt får foretaget eftersyn. InterXion har opsat systemer således, at der overvågers temperature og strømspændinger i serverrummet. Serverrummet indeholder vores centrale netværksudstyr, og er således sikret på samme vis som servere. Vi har forespurgt til den fysiske sikkerhedsafgrænsning hos any.cloud's leverandør. Vi har inspiceret kontrakten med any.cloud's leverandør og erklæring fra Interxion. Vi har inspiceret den fysiske sikkerhedsafgrænsning hos any.cloud Fysisk adgangskontrol at sikre, at sikre områder er beskyttet med passende adgangskontroller for at sikre, at kun autoriseret personale kan få adgang. Alene autoriserede personer får adgang til lokalet via den etablerede procedure, og vi følger periodisk, minimum årligt, op på hvilke personer, der har denne adgang. Skal eksterne personer (leverandører eller kunder) have adgang til lokalet, er det i følgeskab med en af vores autoriserede medarbejdere. Vi har forespurgt til retningslinjer for fysisk adgangskontrol hos any.cloud og deres leverandør. Vi har inspiceret kontrakten med any.cloud's leverandør og erklæring fra Interxion. Vi har inspiceret kontroller og dokumentation REVI-IT A/S Side 35 af 56

36 03 Sikring af kontorer, lokaler og faciliteter at sikre, at sikring af kontorer, lokaler og faciliteter tilrettelægges og etableres. Vores kontorlokaler er monteret med tyverialarm, som på samme vis som ved alarmering i vores serverrum, alarmerer relevante personer hos os. Ingen uvedkommende vil kunne gå uhindret omkring i vores kontorer, idet vores reception er bemandet. Vi har etableret mulighed for, at vores medarbejdere kan arbejde hjemmefra af hensyn til bl.a. driftsvagt, og vi har politik for, at udstyr (bærbare mv.) ikke benyttes til andet end arbejdsrelaterede forhold, ikke efterlades uden opsyn mv. Vi har forespurgt til sikring af kontorer, lokaler og faciliteter hos any.cloud. Vi har inspiceret faciliteterne hos any.cloud Beskyttelse mod eksterne og miljømæssige trusler at sikre, at fysisk beskyttelse mod skadevirkninger fra brand, oversvømmelser, jordskælv, eksplosioner, civile optøjer og andre former for natur- eller menneskeskabte katastrofer tilrettelægges og etableres. Vi har aftale med vores underleverandør om housing af vores egne servere, og der er implementeret tilsvarende foranstaltninger mod tyveri, brand, vand og temperatur. Vi har forespurgt til beskyttelse mod eksterne og miljømæssige trusler hos any.cloud s leverandør. Vi har inspiceret kontrakten med any.cloud's leverandør og erklæring fra Interxion Sikring af udstyr Placering og beskyttelse af udstyr at sikre, at udstyr placeres eller beskyttes for at nedsætte risikoen for miljøtrusler og farer og for muligheden for uautoriseret adgang. Vores servere er fysisk placeret i aflåst lokale, som har monteret køling og brandslukning mv. InterXion køle- og brandanlæg bliver efterset periodisk, ligesom InterXion s nødstrømsanlæg (UPS) halvårligt får foretaget eftersyn. InterXion har opsat systemer således, at der overvågers temperature og strømspændinger i serverrummet. Serverrummet indeholder vores centrale netværksudstyr, og er således sikret på samme vis som servere. Vi har forespurgt til placering og beskyttelse af udstyr hos any.cloud og deres leverandør. Vi har inspiceret kontrakten med any.cloud's leverandør og erklæring fra Interxion REVI-IT A/S Side 36 af 56

37 08 Understøttende forsyninger (forsyningssikkerhed) at sikre, at udstyr beskyttes mod strømsvigt og andre forstyrrelser som følge af svigt af understøttende forsyninger. Vores servere er fysisk placeret i aflåst lokale, som har monteret køling og brandslukning mv. InterXion køle- og brandanlæg bliver efterset periodisk, ligesom InterXion s nødstrømsanlæg (UPS) halvårligt får foretaget eftersyn. InterXion har opsat systemer således, at der overvågers temperature og strømspændinger i serverrummet. Serverrummet indeholder vores centrale netværksudstyr, og er således sikret på samme vis som servere. Vi har forespurgt til understøttende forsyninger hos any.cloud's leverandør. Vi har inspiceret kontrakten med any.cloud's leverandør og erklæring fra Interxion Vedligeholdelse af udstyr at sikre, at udstyr vedligeholdes korrekt for at sikre dets fortsatte tilgængelighed og integritet. Vores servere er fysisk placeret i aflåst lokale, som har monteret køling og brandslukning mv. InterXion køle- og brandanlæg bliver efterset periodisk, ligesom InterXion s nødstrømsanlæg (UPS) halvårligt får foretaget eftersyn. InterXion har opsat systemer således, at der overvågers temperature og strømspændinger i serverrummet. Serverrummet indeholder vores centrale netværksudstyr, og er således sikret på samme vis som servere. Vi har forespurgt til vedligeholdelse af udstyr hos any.cloud's leverandør. Vi har inspiceret kontrakten med any.cloud's leverandør og erklæring fra Interxion Sikring af udstyr uden for virksomhedens lokaler at sikre, at der etableres sikring af udstyr uden for virksomheden under hensyntagen til de forskellige risici, der er forbundet med arbejde uden for virksomhedens lokaler. Vores servere er fysisk placeret i aflåst lokale, som har monteret køling og brandslukning mv. InterXion køle- og brandanlæg bliver efterset periodisk, ligesom InterXion s nødstrømsanlæg (UPS) halvårligt får foretaget eftersyn. InterXion har opsat systemer således, at der overvågers temperature og strømspændinger i serverrummet. Serverrummet indeholder vores centrale netværksudstyr, og er således sikret på samme vis som servere. Vi har forespurgt til retningslinjer for sikring af udstyr udenfor any.cloud s lokaler. Vi har inspiceret retningslinjer Sikker bortskaffelse eller genbrug af udstyr at sikre, at alt udstyr med lagringsmedier kontrolleres for at sikre, at følsomme data og licensbeskyttet software er slettet eller sikkert overskrevet inden bortskaffelse. Alt databærende udstyr destrueres inden bortskaffelse for at sikre, at data ikke er tilgængeligt. Vi har forespurgt til retningslinjer for bortskaffelse af udstyr. Vi har inspiceret retningslinjer REVI-IT A/S Side 37 af 56

38 Styring af netværk og drift Overordnet kontrolmål: At sikre korrekt og sikker drift af informationsbehandlingsudstyr, implementere og opretholde et passende niveau af informationssikkerhed og serviceydelser i overensstemmelse med aftaler om ydelser fra tredjeparter, minimere risikoen for systemnedbrud, beskytte integriteten af software og informationer samt afsløre uautoriserede informationsbehandlingsaktiviteter. ISO Operationelle procedurer og ansvarsområder 10.1 Nr. Kontrolmål any.cloud A/S kontrolforanstaltning REVI-IT s test Resultat af test 01 Dokumenterede driftsprocedurer at sikre, at driftsprocedurer dokumenteres, vedligeholdes og gøres tilgængelige for alle brugere, der har brug for dem. Gennem løbende dokumentation og processer sikrer vi at kunne udelukke eller minimere nøglepersonsafhængighed. Opgaver tildeles, fastsættes og via procedurer for styring af den operative drift. Vi har forespurgt til udarbejdelse af driftsprocedurer. Vi har inspiceret udvalgte driftsprocedurer Ændringsstyring at sikre, at ændringer af informationsbehandlingsudstyr og -systemer styres og dokumenteres. Vi har defineret en proces for ændringshåndtering for at sikre, at ændringer sker efter aftale med kunder og tilrettelagt hensigtsmæssigt i forhold til interne forhold. Ændringer sker alene baseret på en kvalificering af opgaven, kompleksiteten og vurdering af påvirkning af andre systemer. Herudover følges en proces omkring udvikling og test, og accept fra både os og fra kundens side. Uanset hvilken ændring, der er tale om, sikres det altid, som minimum, at; Vi har forespurgt til procedure for håndtering af ændringer. Vi har inspiceret proceduren. Vi har stikprøvevis inspiceret ændringer Alle ændringer drøftes, prioriteres og godkendes af ledelsen Alle ændringer testes Alle ændringer godkendes før idriftsættelse Alle ændringer idriftsættes på et fastsat tidspunkt efter aftale med forretningen og kunder Der fortages fallback-planlægning, som sikrer, at ændringer kan rulles tilbage eller annulleres, hvis den ikke fungerer Systemdokumentationen opdateres med den nye ændring, såfremt det vurderes nødvendigt REVI-IT A/S Side 38 af 56

39 03 Funktionsadskillelse at sikre, at funktioner og ansvarsområder adskilles for at nedsætte muligheden for uautoriseret eller utilsigtet ændring eller misbrug af virksomhedens aktiver. Selvom vores organisation ikke nødvendigvis gør, at vi kan have overlap inden for alle opgaver og systemer, sikrer vi via dokumentationer og beskrivelser og via kompetente og flittige medarbejdere at medarbejdere eller nye medarbejdere kan påbegynde et arbejde på et system, som vedkommende ikke har operationel og historisk erfaring med. Vi opererer med dobbeltroller på alle systemer således, at den primære ansvarlige medarbejder har ansvar for at kommunikere praktiske forhold til kollegaer. Vi har forespurgt til funktionsadskillelse i any.cloud. Vi har inspiceret retningslinjer Styring af serviceydelser fra tredjepart Levering af services at sikre, at tredjeparten iværksætter, gennemfører og opretholder sikkerhedsforanstaltninger, servicebeskrivelser og leveringsniveauer, der er omfattet af aftalen om ydelser fra tredjeparter. Hvor vi bruger underleverandører fører vi tilsyn med de aftalte leverancer, idet disse skal efterleve vores egne politikker for ydelseslevering, herunder vores forretningsvilkår med vores kunder. Vi har forespurgt til levering af services fra tredjepart. Vi har inspiceret dokumentation Overvågning og evaluering af serviceydelser fra tredjeparter at sikre, at de serviceydelser, rapporter og registreringer, som tredjeparten leverer, overvåges og evalueres løbende, og der foretages regelmæssige revision. Hvor vi bruger underleverandører fører vi tilsyn med de aftalte leverancer, idet disse skal efterleve vores egne politikker for ydelseslevering, herunder vores forretningsvilkår med vores kunder. Vi har forespurgt til overvågning af services fra leverandører. Vi har observeret den etablerede overvågning REVI-IT A/S Side 39 af 56

40 07 Styring af ændringer af serviceydelser fra tredjeparter at sikre, at ændringer i tilvejebringelsen af serviceydelser, herunder vedligeholdelse og forbedring af eksisterende informationssikkerhedspolitikker, -procedurer og - foranstaltninger, styres under hensyntagen til, hvor kritiske de involverede forretningssystemer og - processer er, og til en revurdering af risici. Når der sker ændringer internt i organisationen, herunder politikker og procedurer, samt ændringer til vores ydelser eller ydelser fra vores eksterne samarbejdspartnere, foretages der altid en risikovurdering for at afdække om ændringerne får indflydelse på vores aftale med kunderne. Vi har forespurgt til styring af ændringer fra leverandører. Vi har inspiceret retningslinjer Systemplanlægning og systemaccept Kapacitetsstyring at sikre, at anvendelsen af ressourcer skal styres og tilpasses, og der foretages fremskrivninger af fremtidige kapacitetskrav for at sikre, at systemet fungerer som krævet. Via vores generelle overvågningssystem, har vi sat grænseværdier for hvornår vores overordnede systemer, og dermed vores kunders systemer, skal skaleres op af hensyn til elektronisk plads, svartider mv. Når vi opsætter nye systemer foretages test af funktionalitet og herunder kapacitet- og performancetest. Vi har forespurgt til kontroller for kapacitetssyring. Vi har inspiceret kontroller for kapacitetsstyring Beskyttelse mod skadevoldende programmer og mobil kode Foranstaltninger mod skadevoldende kode at sikre, at der iværksættes foranstaltninger til detektering, forhindring og gendannelse for at beskytte mod skadevoldende kode, og der indføres passende brugerbevidsthedsprocedurer. Vi har implementeret scannings- og overvågningssystemer til at sikre mod kendt skadevoldende kode, dvs. hvad vi og vores kunder via vores platforme kan risikere at blive inficeret med på internettet, via mails mv. Vi har antivirus-systemer, systemer til overvågning af internetbrug, trafik og ressourcer på SaaS platforme, sikringer i øvrige tekniske og centrale installationer (firewall mv.) Vi har forespurgt til anvendelse af antivirussoftware. Vi har inspiceret den etablerede løsning REVI-IT A/S Side 40 af 56

41 Sikkerhedskopiering (backup) Sikkerhedskopiering af informationer at sikre, at der tages sikkerhedskopier af informationer og software, og disse skal testes regelmæssigt i overensstemmelse med den aftalte politik for sikkerhedskopiering. Vi sikrer at kunne genskabe systemer og data på hensigtsmæssig og korrekt vis, og efter de aftaler, vi har med vores kunder. Vi har etableret en testplan for verificering af hvorvidt sikkerhedskopieringen fungerer samt en test af hvordan systemer og data praktisk kan retablereres. Der føres en log over disse tests således at vi kan følge op på om vi kan ændre på procedurer og processer for at højne vores løsning. Vi har forespurgt til procedurer for sikkerhedskopiering. Vi har inspiceret den etablerede løsning Med mindre andet er aftalt med vores kunder, foretager vi sikkerhedskopiering af hele deres virtuelle miljø hos os. Vi foretager sikkerhedskopiering af vores egne systemer og data på samme vis, som vores kunders systemer og data. Vi har defineret retningslinjer for på hvilken vis, vi foretager sikkerhedskopiering. Hver nat føres en fuld kopi af data fra vores centrale systemer til vores co-location ved hjælp af vores backupsystem. Dermed er data fysisk separeret fra vores driftssystemer, og efter endt afvikling, foretages der en automatiseret verificering af, hvorvidt datamængde og indhold mellem vores driftssystem og co-colation, stemmer overens. En ansvarlig medarbejder sikrer herefter, at sikkerhedskopieringen er sket, foretage det fornødne, hvis jobbet er fejlet, og herefter logføre dette. Styring af netværkssikkerhed Netværksforanstaltninger at sikre, at netværk styres og kontrolleres tilstrækkeligt til at beskytte dem mod trusler og til at opretholde sikkerhed for systemer og applikationer, der anvender netværket, herunder information under overførelse. It-sikkerheden omkring systemers og datas ydre rammer, er netværket mod internettet, remote eller lignende. Vi mener at have sikret data og systemer også inde i netværket, men det ydre værn mod uvedkommende adgang, er af højeste prioritet hos os. Vi har forespurgt til netværksforanstaltninger hos any.cloud. Vi har inspiceret dokumentation REVI-IT A/S Side 41 af 56

42 14 Sikring af netværkstjenester at sikre, at sikkerhedstiltag, serviceniveauer og styringskrav til alle netværkstjenester identificeres og indgår i en aftale om netværkstjenester, uanset om disse tjenester leveres internt eller er outsourcede. Alene godkendt netværkstrafik (indgående) kommer gennem vores firewall. Vi er ansvarlige for driften og sikkerheden hos os, dvs. fra og med systemerne hos os og ud til internettet (eller MPLS). Vores kunder er selv ansvarlige for at kunne tilgå internettet. Vi har forespurgt til sikring af netværkstjenester. Vi har inspiceret dokumentation Mediehåndtering Styring af bærbare medier at sikre, at der er etableret procedurer til styring af bærbare medier samt opdatering af procedurerne. Vi sikrer, i bedst muligt omfang, at vores medarbejderes bærbare medier såsom bærbare pc,, mobiltelefon og lign er konfigureret sikkerhedsmæssigt lige så højt, som resten af vores miljø, samt det sikres at de databærende medier opdateres når vi foretager nye sikkerhedstiltag. Vi har forespurgt til sikring af bærbare medier. Vi har inspiceret de etablerede foranstaltninger Vi skal sikre, at vores og vores kunders systemer og data beskyttes. Vi håndterer derfor ikke kunders data på håndbårne medier (Eksterne USB medier, CD/DVD) uden forudgående skriftlig aftale med kunderne samt ved passende fysisk beskyttelse mod miljømæssige påvirkninger (varme mv.) samt hærværk og tyveri. 18 Sikring af systemdokumentation at sikre, at systemdokumentation beskyttes mod uautoriseret adgang. Vores dokumentation er naturligvis livsvigtig for os, og på alle måder fortrolig ift. omverdenen. For at sikre fortroligheden af informationerne, har vi informationerne fordelt på flere steder og platforme. Vi har forespurgt til sikring af systemdokumentation. Vi har inspiceret de etablerede foranstaltninger REVI-IT A/S Side 42 af 56

43 Informationsudveksling Politikker og procedurer for informationsudveksling at sikre, at der foreligger formelle politikker, procedurer og foranstaltninger for at beskytte information udvekslingen ved hjælp af alle former for kommunikationsudstyr. Ekstern datakommunikation sker alene via mails, idet vores kunders adgang og brug af vores servere, ikke betragtes som ekstern datakommunikation. Fortrolige informationer udveksles ikke via mails, uden de eller de medfølgende vedhæftede filer er krypterede eller passwordbeskyttede. Vi har forespurgt til politikker og procedurer for informationsudveksling. Vi har inspiceret politikker og procedurer Forretningsinformationssystemer at sikre, at der udarbejdes og implementeres politikker og procedurer for at beskytte information i forbindelse med sammenkobling af forretningsinformationssystemer. Alene godkendt netværkstrafik (indgående) kommer gennem vores firewall. Vi er ansvarlige for driften og sikkerheden hos os, dvs. fra og med systemerne hos os og ud til internettet (eller MPLS). Vores kunder er selv ansvarlige for at kunne tilgå internettet. Vi har forespurgt til politikker og procedurer. Vi har inspiceret dokumentation REVI-IT A/S Side 43 af 56

44 Overvågning Auditlogning (opfølgningslogning) at sikre, at auditlogning til registrering af brugeraktiviteter, undtagelser og informationssikkerhedshændelser udføres og opbevares i et aftalt tidsrum af hensyn til fremtidige undersøgelser og overvågning af adgangskontrol. Vi lægger stor tid heri da vi mener at overvågning er med til og fange incidents proaktivt. Vores driftsmedarbejdere foretager derfor den daglige overvågning af vores systemer via automatiserede systemer til måling af grænseværdier. Der sker en alarmering via SMS og mail såfremt kritiske hændelser konstateres, og vi gør sådan fordi vi skal sikre vores kunders data fortroligheden heraf. Til styring af overvågning og opfølgning på hændelser, har vi implementeret formelle incident og problem management procedurer til sikring af, at hændelser registreres, prioriteres, styres, eskaleres og at der foretages de nødvendige handlinger. Vi har forespurgt til logning og opfølgning på logs. Vi har inspiceret de etablerede logs og kontroller Forløbet dokumenteres i vores hotline-system. Hændelser for login og logout på vores platforme logføres. Udover logning af login har vi udarbejdet en logstrategi for hvilke hændelser og brugeraktiviteter, som logges og skal følges op på. De udvalgte logs er beskyttet mod manipulation og er sikret via adgangskontroller. 24 Overvågning af systemanvendelse at sikre, at der udarbejdes procedurer for overvågning af anvendelsen af informationsbehandlingsudstyr, og resultaterne af overvågningsaktiviteter skal evalueres regelmæssigt. Til styring af overvågning og opfølgning på hændelser, har vi implementeret formelle incident og problem management procedurer til sikring af, at hændelser registreres, prioriteres, styres, eskaleres og at der foretages de nødvendige handlinger. Vi har forespurgt til overvågning af systemanvendelse. Vi har inspiceret den etablerede overvågning Beskyttelse af logoplysninger at sikre, at logningsfaciliteter og logoplysninger beskyttes mod manipulation og uautoriseret adgang. Se REVI-IT A/S Side 44 af 56

45 26 Administrator- og operatørlog at sikre, at aktiviteter udført af systemadministrator og systemoperatør logges. Se Fejllogning at sikre, at fejl logges, analyseres, og der iværksættes passende handlinger. Hændelser for login og logout på vores platforme logføres. Udover logning af login har vi udarbejdet en logstrategi for hvilke hændelser og brugeraktiviteter, som logges og skal følges op på. De udvalgte logs er beskyttet mod manipulation og er sikret via adgangskontroller. Vi har forespurgt til registrering og håndtering af fejl. Vi har stikprøvevis inspiceret fejl i revisionsperioden Tidssynkronisering at sikre, at urene i alle relevante informationsbehandlingssystemer i en virksomhed eller et sikkerhedsdomæne er synkroniseret med en aftalt præcis tidsangivelseskilde. Ingen formel procedure Vi har forespurgt til tidssynkronisering. Vi har inspiceret dokumentation REVI-IT A/S Side 45 af 56

46 Adgangsstyring Overordnet kontrolmål: At sikre autoriserede brugeres adgang og forhindre uautoriseret adgang til informationssystemer, driftssystemer samt netværkstjenester. Forretningsmæssige krav til adgangsstyring 11.1 Nr. Kontrolmål any.cloud A/S kontrolforanstaltning REVI-IT s test Resultat af test 01 Politik for adgangsstyring at sikre, at en politik for adgangsstyring udarbejdes, dokumenteres og evalueres på grundlag af forretningsog sikkerhedsmæssige krav til adgang. Vi vil sikre, at vores og vores kunders adgange ske efter hensigten, og at det alene er personer med autoriseret adgangsniveau, der har adgang til data. Vi vil sikre, at der er sporbarhed i brugen af systemer og data, og adgangen sker itsikkerhedsmæssigt betryggende. Vi har defineret en række retningslinjer og procedurer herfor. Vi har forespurgt til politiker for adgangsstyring. Vi har inspiceret procedurer ISO Administration af brugeradgang Brugerregistrering at sikre, at der er etableret en formel procedure for registrering og nedlæggelse af brugere til tildeling og afbrydelse af adgang til samtlige informationssystemer og - tjenester. Vores kunders brugere oprettes alene på baggrund af vores kunders ønske. Vores kunder er dermed ansvarlige herfor og for nedlæggelse. Vores egne brugere oprettes alene på baggrund af skriftligt ønske fra ledelsen. Vi har forespurgt til procedure for oprettelse og nedlæggelse af brugere. Vi har stikprøvevis inspiceret oprettelser og nedlæggelser i revisionsperioden Administration af privilegier at sikre, at tildeling og anvendelse af privilegier begrænses og styres. Vi vil sikre, at vores og vores kunders adgange ske efter hensigten, og at det alene er personer med autoriseret adgangsniveau, der har adgang til data. Vi har forespurgt til administrering af privilegier. Vi har observeret administreringen af privilegier REVI-IT A/S Side 46 af 56

47 04 Administration af brugeradgangskoder (password) at sikre, at tildeling af adgangskoder styres ved hjælp af en formel administrationsproces. Alle brugere på tværs af både kundesystemer og egne systemer, har restriktioner omkring adgangskode. Alle brugere har en adgangskode, og det er systemmæssigt sat op således, at der er begrænsninger ift. udformningen af kodeordet. Koder skal skiftes regelmæssigt og være komplekse. Vores it-sikkerhedspolitik beskriver, at vores medarbejderes kodeord er personlige, og det er alene brugeren selv, der må kende kodeordet. Vi har forespurgt til administrering af passwords. Vi har inspiceret administrationen af passwords. Brugerne hos any.cloud kan selv administrere deres passwords og kvalitet heraf Evaluering af brugeradgangsrettigheder at sikre, at ledelsen evaluerer brugeres adgangsrettigheder med regelmæssige mellemrum ved hjælp af en formel proces. For vores egne brugere, gennemgår ledelsen periodisk, minimum årligt, en liste med oprettede brugere og deres adgangsniveau for at sikre mod adgang for uautoriserede personer. Vi har forespurgt til gennemgang af brugerrettigheder. Vi har inspiceret kontrollerne Brugeransvar Brug af adgangskode at sikre, at det er et krav, at brugere følger god sikkerhedspraksis ved valg og anvendelse af adgangskoder. Se Brugerudstyr uden opsyn at sikre, at brugere sikrer, at udstyr, som er uden opsyn, er passende beskyttet. Alle interne brugerkonti er centralt styret til at gå på skærmlås ved inaktivitet i 20 minutter. Dermed sikrer vi, at uautoriseret personale ikke opnår adgang til fortroligt data. Vi har forespurgt til retningslinjer for brugerudstyr uden opsyn. Vi har inspiceret de etablerede foranstaltninger REVI-IT A/S Side 47 af 56

48 Styring af netværksadgang Autentifikation af brugere med ekstern forbindelse at sikre, at der anvendes passende autentifikationsmetoder til at styre adgangen for brugere med fjernadgang. Adgang til vores netværk og dermed potentielt til systemer og data, skal ske for kun autoriserede personer. Adgang uden vores interne netværk, kan ske på forskellig vis som afhænger af den enkelte aftale med kunden. Der er mulighed for at logge på via krypteret VPN-forbindelse hvor bruger skal have brugernavn og kode for at logge på. Herudover har visse kunder direkte adgang via MPLS eller Site2Site VPN. Vi har forespurgt til retningslinjer for autentifikation af brugere med ekstern adgang. Vi har inspiceret retningslinjer og dokumentation Beskyttelse af fjerndiagnoseog konfigurationsporte at sikre, at fysisk og logisk adgang til diagnose- og konfigurationsporte styres. Vores netværk er komplekst med mange systemer og kunder, og for at sikre mod uvedkommendes adgang, og for at sikre gennemskueligheden af opbygningen, har vi udformet en række dokumentation, der beskriver det interne netværk med enheder, navngivning af enheder, logisk opdeling af netværk mv. Dokumenterne, netværkstopologier og lign opdateres løbende ved ændringer og gennemgås minimum årligt af vores netværksspecialister. Vi har forespurgt til administrering og beskyttelse af netværket. Vi har inspiceret de etablerede foranstaltninger Opdeling af netværk at sikre, at grupper af informationstjenester, brugere og informationssystemer opdeles i netværk. Vores miljø er adskilt logisk og opdelt i test og produktion, hvorved vi sikre at have testet et produkt før det kommer i produktion. Via adgangskontroller sikrer vi at kun autoriseret personale har adgang til dette. Vi har forespurgt til opdeling af netværket hos any.cloud. Vi har inspiceret dokumentation for netværket REVI-IT A/S Side 48 af 56

49 14 Styring af netværksforbindelser at sikre, at, for delte netværk, især netværk der strækker sig ud over virksomhedens grænser, brugeres mulighed for forbindelse til netværket begrænses i overensstemmelse med politikken for adgangsstyring og kravene til de forretningsmæssige applikationer (se 11.1). Se og Styring af adgang til driftssystemer Procedurer for sikker log-on at sikre, at adgang til driftssystemer styres af en procedure for sikker log-on. Adgang uden vores interne netværk, kan ske på forskellig vis som afhænger af den enkelte aftale med kunden. Der er mulighed for at logge på via krypteret VPN-forbindelse hvor bruger skal have brugernavn og kode for at logge på. Herudover har visse kunder direkte adgang via MPLS eller Site2Site VPN. Vi har forespurgt til procedure for log-on. Vi har inspiceret procedurerne Identifikation og autentifikation af brugere at sikre, at alle brugere har en unik identitet (bruger-id) til personlig brug, og der vælges en passende autentifikationsteknik til verifikation af en brugers påståede identitet. Alle brugere skal være personhenførbare, dvs. have tydligt mærke med personnavn. Er der tale om servicebrugere, altså konti som alene benyttes systemmæssigt, er muligheden for egentlig logon deaktiveret. Vi har forespurgt til identifikation og autentifikation af brugere. Vi har stiprøvevis inspiceret brugerne System for administration af adgangskoder at sikre, at systemer til administration af adgangskoder er interaktive og sikrer adgangskoder med god kvalitet. Da vi har brugere, såsom service accounts og lign, som ikke kan bruges til at logge på med, og af systemmæssige årsager ikke skifter passwords på, har vi et system til opbevaring af disse passwords. Kun autoriseret personale har adgang til systemet. Vi har forespurgt til system for administrering af koder. Vi har inspiceret det implementerede system REVI-IT A/S Side 49 af 56

50 20 Automatisk timeout at sikre, at inaktive sessioner lukkes ned efter et fastlagt tidsrum uden aktivitet. Alle interne brugerkonti er centralt styret til at gå på skærmlås ved inaktivitet i 20 minutter. Dermed sikrer vi, at uautoriseret personale ikke opnår adgang til fortroligt data. Vi har forespurgt til automatisk timeout. Vi har inspiceret den etablerede løsning Begrænsning af forbindelsestid at sikre, at begrænsning af forbindelsestider anvendes til at give yderligere sikkerhed for applikationer med høj risiko. Se og Styring af adgang til forretningssystemer og information Begrænset adgang til informationer at sikre, at adgang for brugere og supportmedarbejdere til informationer og forretningssystemers funktioner begrænses i overensstemmelse med den fastlagte politik for adgangsstyring. Vores medarbejdere er opsat med differentieret adgang, og har således alene adgang til de systemer og til de data, som er relevant for arbejdsindsatsen. Vores kunders brugeradgange til kundens systemer og data, bestemmes af vores kunder. Vi har forespurgt til begrænsninger af adgange til informationer Mobilt udstyr og fjernarbejdspladser Mobilt udstyr og kommunikation at sikre, at der er etableret en formel politik, og passende sikkerhedsforanstaltninger er iværksat for at beskytte mod de risici, som anvendelse af mobilt udstyr og kommunikationsudstyr indebærer. Vi har åbnet adgang til, at vi og vores kunder kan benytte mobile enheder (smartphones, tablets mv.) til synkronisering af mails og kalender. Ud over kode, har vi ikke implementeret andre sikkerhedsforanstaltninger til sikring af disse enheder og disses brugeradgange. Vores kunder har mulighed for samme, og det er op til vores kunder at implementere deres sikkerhedspolitik for deres brugere. Vi har forespurgt til styring af mobilt udstyr og kommunikation REVI-IT A/S Side 50 af 56

51 25 Fjernarbejdspladser at sikre, at der udarbejdes og implementeres en politik og operationelle planer og procedurer for fjernarbejde. Vores medarbejdere og eksterne samarbejdspartnere har adgang via fjernarbejdspladser hvor der anvendes Remote Desktop og IP restriction. Vi har forespurgt til anvendelse af fjernarbejdspladser Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer Overordnet kontrolmål: At forhindre fejl, tab, uautoriseret ændring eller misbrug af informationer i forretningssystemer, beskytte fortrolighed, autenticitet og integritet af informationer ved hjælp af kryptografiske metoder samt opretholde sikkerheden af systemsoftware og informationer i forretningssystemer. ISO Sikkerhedskrav til informationssystemer 12.1 Nr. Kontrolmål any.cloud A/S kontrolforanstaltning REVI-IT s test Resultat af test 01 Analyse og specifikation af sikkerhedskrav at sikre, at virksomhedens krav og ønsker til nye såvel som bestående systemer skal indeholde krav til sikkerheden med udgangspunkt i en risikovurdering, jf Vi vil sikre, at alle nyanskaffelser og implementeringer af servere, systemer, services og software håndteres på struktureret og sikker vis, for dermed at sikre, at kun autoriseret ændringer bliver lagt i produktion for at alle aspekter af nye tiltag (indfasning af ny hardwareplatforme, softwareplatforme og andre tilsvarende systemer og processer forbundet med vores service) håndteres sikkert, struktureret og risikoafvejet. Vi har forespurgt til retningslinjer for analyse og specifikation af sikkerhedskrav Sikring af systemfiler Styring af software på driftssystemer at sikre, at der er etableret procedurer for styring af softwareinstallation og opdatering på driftssystemerne. Vores driftssystem består af en kompleks konfiguration, og når vi planlægger ændringer heri selv når disse er af mindre karakter, men som kan have en væsentlig påvirkning drøftes det internt på driftsmøder. Først herefter foretages ændringen, efter godkendelse fra ledelsen. Vi har forespurgt til styring af software på driftssystemer Ændringen sker i vores fastsatte servicevinduer, og vi har forøget overvågning efter test og implementering. Vi planlægger samtidig et fallback scenarie, og vi beskriver dels ændringen og opdaterer vores dokumentation. Vi anvender samme procedure for ændringer, om de er bestilt af vores kunder eller interne ændringer. REVI-IT A/S Side 51 af 56

52 Sikkerhed i udviklings- og hjælpeprocesser Procedurer for styring af ændringer at sikre, at implementeringen af ændringer styres ved hjælp af formelle procedurer for ændringsstyring. Se Begrænsning af ændringer af softwarepakker at sikre, at ændringer af softwarepakker vanskeliggøres, begrænses til nødvendige ændringer og at alle ændringer styres effektivt. Se Styring af tekniske sårbarheder Styring af tekniske sårbarheder at sikre, at der indsamles rettidig information om tekniske sårbarheder i anvendte informationssystemer. Graden hvori virksomheden er udsat for sådanne sårbarheder skal evalueres, og der skal iværksættes passende foranstaltninger for at håndtere den tilhørende risiko. Vores driftsmiljø er baseret på Microsoft-platforme med virtuelle servere fra VMware. Vi stiller serverplatforme og terminalplatforme baseret på Microsoft Terminal Services til rådighed for vores kunder. I den forbindelse benytter vi ikke andre subsystemer eller tillægssystemer, der håndterer kryptering, anden håndtering af systemfiler, end de foranstaltninger og systemer, som vi benytter i Microsoft systemerne samt i de omkransende netværkssikkerhedssystemer. Vi har forespurgt til styring af tekniske sårbarheder REVI-IT A/S Side 52 af 56

53 Styring af sikkerhedshændelser Overordnet kontrolmål: At sikre, at informationssikkerhedshændelser og svagheder i forbindelse med informationssystemer kommunikeres på en sådan måde, at der kan iværksættes korrigerende handlinger rettidigt, samt sikre en ensartet og effektiv metode til styring af informationssikkerhedsbrud. ISO Rapportering af informationssikkerhedshændelser og svagheder 13.1 Nr. Kontrolmål any.cloud A/S kontrolforanstaltning REVI-IT s test Resultat af test 01 Rapportering af informationssikkerhedshændelser at sikre, at informationssikkerhedshændelser rapporteres ad passende ledelseskanaler så hurtigt som muligt. Vores hotline-system, hvori vi håndterer langt de fleste sager for kunder og interne forhold, er samtidig vores system til håndtering af sikkerhedshændelser. Heri kan vi eskalere forhold således, at opgaver får højere prioritet end andre. Herudover vil sikkerhedshændelser afstedkommet fra hhv. egne observationer, alarmering ud fra log- og overvågningssystem, telefoniske henvendelser fra kunder, underleverandører eller samarbejdspartnere, blive eskaleret fra vores hotline til driftsafdelingen med samtidig orientering til ledelsen. Vi har forespurgt til rapportering af sikkerhedshændelser. Vi har inspiceret procedurer og etableret løsning Rapportering af sikkerhedssvagheder at sikre, at alle medarbejdere, underleverandører og eksterne brugere af informationssystemer og tjenester har pligt til at notere og rapportere alle observerede svagheder eller mistanker om svagheder i systemer og tjenester. Se Styring af informationssikkerhedsbrud og forbedringer Ansvar og procedurer at sikre, at ledelsens ansvar og procedurer fastlægges for at sikre hurtig, effektiv og planmæssig håndtering af informationssikkerhedsbrud. Vores medarbejdere og eksterne samarbejdspartnere er, via de indgåede kontrakter og aftaler, forpligtet til at anmeldelse enhver sikkerhedshændelse til nærmeste leder, så der hurtigst muligt kan reageres på hændelsen og nødvendige tiltag kan udføres jf. de etablerede procedurer. Vi har forespurgt til ansvar og procedurer for sikkerhedsbrud. Vi har inspiceret dokumentation REVI-IT A/S Side 53 af 56

54 Beredskabsstyring Overordnet kontrolmål: At modvirke afbrydelser af forretningsaktiviteter og at beskytte kritiske forretningsprocesser mod virkningerne af større ned brud af informationssystemer eller katastrofer og at sikre rettidig retablering. Informationssikkerhedsaspekter ved beredskabsstyring 14.1 Nr. Kontrolmål any.cloud A/S kontrolforanstaltning REVI-IT s test Resultat af test 01 Inddragelse af informationssikkerhed i beredskabsstyringsprocessen at sikre, at der udarbejdes og opretholdes en styret proces til beredskabsstyring i virksomheden, som behandler de krav til informationssikkerhed, der er nødvendige for virksomhedens fortsatte drift. Skulle der opstå en nødsituation, har any.cloud A/S udarbejdet en beredskabsplan. Beredskabsplanen er forankret i it-risikoanalysen og vedligeholdes minimum årligt i forlængelse af udførelsen af analysen. Planen testes 1-2 gange årligt som en del af vores beredskab, så vi sikrer, at kunderne i mindst muligt omfang vil opleve forstyrrelser i driften i forbindelse med en eventuel nødsituation. Vi har forespurgt til beredskabsstyring. Vi har inspiceret den udarbejdede beredskabsplan ISO Beredskab og risikovurdering at sikre, at hændelser, der kan forårsage afbrydelser af forretningsprocesser, identificeres sammen med sandsynligheden for og virkningen af sådanne afbrydelser og deres konsekvenser for informationssikkerheden. Via vores medlemskab af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark), er vi forpligtet til, at vi inden for 3 dage kan retablere enhver enhed i vores datacenter. Dette sikrer vi ved, at vi har afvejet risici, klassificeret enheder i vores driftsapparat, og har procedurer der sikrer, at vi i vores beredskabsplanlægning kan foretage udskiftning af vores driftsplatform, så de leverede ydelser vil retableres rettidigt. Vi har forespurgt til håndtering af risici og beredskab. Vi har inspiceret risikoanalysen og beredskabsplanen REVI-IT A/S Side 54 af 56

55 03 Udvikling og implementering af beredskabsplaner, herunder informationssikkerhed at sikre, at der udarbejdes og implementeres planer for at vedligeholde eller retablere virksomhedens aktiviteter og sikre tilgængelighed af informationer på det krævede niveau og inden for de krævede tidsfrister efter afbrydelse eller nedbrud af kritiske forretningsprocesser. 04 Rammer for beredskabsplanlægning at sikre, at der opretholdes en enkelt ramme for beredskabsplaner for at sikre, at alle planer er overensstemmende, at krav til informationssikkerhed håndteres konsekvent, og at prioriteringen af test og vedligeholdelse fastlægges. Se Se Prøvning, vedligeholdelse og revurdering af beredskabsplaner at sikre, at beredskabsplaner afprøves og opdateres regelmæssigt for at sikre, at de er tidssvarende og effektive. Planen testes 1-2 gange årligt som en del af vores beredskab, så vi sikrer, at kunderne i mindst muligt omfang vil opleve forstyrrelser i driften i forbindelse med en eventuel nødsituation. Vi har forespurgt til afprøvning af beredskab. Vi har inspiceret dokumentation for afprøvning af beredskab REVI-IT A/S Side 55 af 56

56 Overensstemmelse med love og interne politikker Overordnet kontrolmål: At undgå brud på love, lovbestemte, forskriftsmæssige eller kontraktlige forpligtelser og på sikkerhedskrav, sikre, at systemer opfylder kravene i virksomhedens sikkerhedspolitikker og sikkerhedsstandarder samt sikre, at systemer opfylder kravene i virksomhedens sikkerhedspolitikker og sikkerhedsstandarder. ISO Overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder samt teknisk overensstemmelse 15.2 Nr. Kontrolmål any.cloud A/S kontrolforanstaltning REVI-IT s test Resultat af test 07 Overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder at sikre, at ledere sikrer, at alle sikkerhedsprocedurer inden for deres ansvarsområde efterleves korrekt for at opnå overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder. Vi har en intern kontrol, hvor vi årligt undersøger, om de etablerede politikker og retningslinjer overholdes af medarbejderne. Derudover har vi en kontrol der sikrer, at vores udstyr, såsom servere, databaser, netværksudstyr mm., er sat op jf. vores baselines. Vi har forespurgt til kontroller for overensstemmelse med interne politikker og procedurer. Vi har inspiceret de etablerede kontroller Kontrol af teknisk overensstemmelse at sikre, at Informationssystemer kontrolleres regelmæssigt for overensstemmelse med sikkerhedsimplementeringsstandarder. Vi har en intern kontrol, hvor vi årligt undersøger, om de etablerede politikker og retningslinjer overholdes af medarbejderne. Derudover har vi en kontrol der sikrer, at vores udstyr, såsom servere, databaser, netværksudstyr mm., er sat op jf. vores baselines. Vi har forespurgt til procedure for teknisk overensstemmelse. Vi har inspiceret proceduren REVI-IT A/S Side 56 af 56