Sotea ApS CVR-nr

Transkript

1 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj ISAE 3000 DK Sotea ApS CVR-nr REVI-IT A/S

2 Indholdsfortegnelse Afsnit 1: Sotea ApS ledelseserklæring... 1 Afsnit 2: Sotea ApS beskrivelse af den fysiske sikkerhed samt interne kontroller... 2 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet... 3 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf... 4 REVI-IT A/S

3 Afsnit 1: Sotea ApS ledelseserklæring Denne erklæring vedrører Sotea ApS efterlevelse af vores politikker og procedurer i forbindelse med varetagelse af den fysiske sikkerhed i Sotea ApS datacenter for perioden 1. juni 2014 til 31. maj Erklæringen er udelukkende beregnet for Sotea ApS kunder og deres revisorer. Sotea ApS stiller fysisk plads til rådighed for kunder, som ønsker at placere egne servere i Sotea ApS datacenter. Erklæringen afgrænses af de forhold, som fremgår af afsnit 3. Pr. dags dato bekræfter vi, at revisor har haft adgang til alle dokumenter og har modtaget alle oplysninger, som har været nødvendige for erklæringsarbejdet. Med baggrund i ovenstående vurderer vi, at vi i alle væsentlige forhold har opretholdt effektive kontroller, der sikrer overholdelsen af vores aftale med kunderne vedr. sikring af deres udstyr. Silkeborg, 13. juli 2015 Med venlig hilsen Sotea ApS Jess Munch Teilmann Direktør REVI-IT A/S Side 1 af 5

4 Afsnit 2: Sotea ApS beskrivelse af den fysiske sikkerhed samt kontroller Sikre områder Datacenteret (DC) ligger i IT-Huset ved Ferskvandscentret (FVC) på adressen Vejlsøvej 51, 8600 Silkeborg. DC ligger i kælderen af IT-Huset, og for at få adgang skal der dels bruges dør-kode samt en chipbaseret nøgle, der er programmeret specielt til den enkelte bruger. Ved hovedindgangen til IT-huset kræves der adgang kun via førnævnte nøgle. Hovedindgangen er åben i dagtimerne 07:00-19:00; dørene låses automatisk kl. 19:00 og åbnes igen kl. 7:00. I kælderen er der en dør, der giver adgang til DC yderområder, herunder lagerrum/administrationslokale og sanitet samt selve DC. Adgang hertil sker også kun via nøglen. For at komme ind i selve DC indsættes nøglen, og hvis den lyser grøn, indtaster man sin personlige kode og låser sig ind. Alene autoriserede personer får adgang til lokaler via den etablerede procedure. Skal eksterne personer have adgang til lokalet, er det i følgeskab med en af vores autoriserede medarbejdere, medmindre der er indgået særskilt aftale om selvstændig adgang via nøgle og kode. Eksterne serviceteknikere vil efter aftale blive låst ind af Sotea, der også sørger for, at der bliver aflåst igen. Adgang til DC kan kun ske vha. elektronisk kodet nøgle og PIN-kode der er udleveret efter aftale, og som kræver underskrift af de enkelte personer. I DC er der monteret tyverialarm; i tilfælde af indbrud alarmeres den private vagtcentral, og vagtcentral ringer til Sotea-medarbejder jf. prioriteret liste udleveret til vagtcentral - der sendes vagt så snart alarm går. Der er ligeledes monteret brandslukningsudstyr/energen anlæg, som tilsvarende vores tyverialarm er koblet op på vagtcentral. Der er andre alarmer i form af fejl på UPS, køleanlæg og temperatur, hvor der ved fejl sendes SMS til den tekniske chef, direktøren, driftschefen og vagttelefonen, samt mail til [email protected], hvor der automatisk bliver oprettet en ticket på alarmen, som så håndteres af Sotea support. Til sikring af driftsfaciliteterne anvender vi køle- og brandanlæg, der periodisk testes og serviceres. Som med tyveri er den private vagtcentral også her tilkoblet, og i tilfælde af alarm vil relevante personer hos Sotea blive notificeret. Sikring af udstyr Vores centrale netværksudstyr samt kundernes servere, hvor der er etableret aftale om placering af udstyr hos os, og andet udstyr, er fysisk placeret i aflåst lokale, som har monteret køling og brandslukning mv. Til sikring af forsyning af elektricitet til DC i forbindelse med strømudfald er der monteret UPS og dieselgenerator. Dette setup er anslået til at kunne køre i 6 timer på en fuld tank. En gang om måneden tester vi UPS og generator, og en gang årligt udføres der service af ekstern service tekniker. REVI-IT A/S Side 2 af 5

5 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet Til ledelsen hos Sotea ApS, Sotea ApS kunder og deres revisorer. Omfang Vi har fået til opgave at afgive erklæring om Sotea ApS efterlevelse af de implementerede kontroller i forbindelse med varetagelse af den fysiske sikkerhed i Sotea ApS datacenter for perioden 1. juni 2014 til 31. maj Ledelsen har ansvaret for udformningen, implementeringen og effektiviteten af de etablerede kontroller. Vores ansvar er, på grundlag af vores udførte arbejde, at udtrykke en konklusion om, hvorvidt Sotea ApS efterlever førnævnte forhold. Det udførte arbejde Vi har udført vores arbejde i overensstemmelse med den internationale standard om andre erklæringsopgaver med sikkerhed (ISAE 3000 DK) og yderligere krav ifølge dansk revisorlovgivning. Denne standard kræver, at vi tilrettelægger og udfører vores arbejde med henblik på at opnå høj grad af sikkerhed for, at de implementerede kontroller har været fungerende i perioden. Vores arbejde har omfattet en gennemgang af virksomhedens etablerede kontroller i forbindelse med varetagelsen af den fysiske sikkerhed i virksomhedens datacenter. Virksomheden har etableret kontroller med reference til ISO 27002:2013 s afsnit omkring fysiske forhold. Vores arbejde har i den forbindelse bestået af en gennemgang efter denne standard. Vi har udført vores arbejde ved interview, besigtigelse og stikprøvevis undersøgelse af information. I medfølgende afsnit 4 har vi beskrevet etablerede kontroller, vores test og resultatet heraf. Det er vores opfattelse, at det udførte arbejde giver et tilstrækkeligt grundlag for vores konklusion. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, som vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i afsnit 2. Det er vores vurdering, at virksomhedens efterlevelse af de etablerede kontroller i de væsentligste henseender har været opfyldt for perioden 1. juni 2014 til 31. maj København, 13. juli 2015 REVI-IT A/S Statsautoriseret revisionsaktieselskab Henrik Paaske Statsautoriseret revisor Martin Brogaard Nielsen It-revisor, CISA, adm. direktør REVI-IT A/S Side 3 af 5

6 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf Den følgende oversigt er udformet for at skabe en forståelse for effektiviteten af de kontroller, som Sotea ApS har implementeret. Vores test af funktionaliteten har omfattet de kontroller, som vi har vurderet nødvendige for at kunne opnå en høj grad af sikkerhed for, at de anførte kontrolmål har været opnået i perioden 1. juni 2014 til 31. maj Vi har således ikke nødvendigvis testet alle de kontroller, som Sotea ApS har nævnt i sin beskrivelse i afsnit 2. Kontroller udført hos Sotea ApS kunder er herudover ikke omfattet af vores erklæring, idet kundernes egne revisorer må foretage denne gennemgang og vurdering. Vi har udført vores tests af kontroller hos Sotea ApS via følgende handlinger: Metode Forespørgsel Observation Inspektion Genudførelse af kontrol Overordnet beskrivelse Interview, altså forespørgsel, af udvalgt personale hos virksomheden omkring kontroller. Observation af, hvordan kontroller udføres. Gennemgang og stillingtagen til politikker, procedurer og dokumentation vedrørende kontrollers udførsel. Vi har selv eller har observeret en genudførelse af kontroller med henblik på at verificere, at kontrollen fungerer som forventet. Beskrivelse og resultat af vores tests ud fra de testede kontroller fremgår af de efterfølgende skemaer. I det omfang vi har konstateret væsentlige svagheder i kontrolmiljøet eller afvigelser her fra, har vi anført dette. REVI-IT A/S Side 4 af 5

7 Fysiske og miljømæssige sikringer Sikre områder Nr. Kontrolmål REVI-IT s test Resultat af test 11.1 Formålet er at forhindre uautoriseret fysisk adgang til samt beskadigelse og forstyrrelse af organisationens information og informationsbehandlingsfaciliteter Vi har forespurgt på beskrivelse af den fysiske skalsikring, og har inspiceret beskrivelsen. Vi har yderligere inspiceret de fysiske rammer for betryggende sikring, herunder sikring af adgang til driftsfaciliteter og kontorområder. Vi har forespurgt til procedure for oprettelse og nedlæggelse af adgang til datacenteret, samt oprettelse af nøglekort hertil. Vi har dertil stikprøvevist inspiceret dokumentation for, at procedurer er fulgt. Yderligere har vi forespurgt til evaluering af adgang til datacenteret, og inspiceret kontrollen for gennemgang af loggen. Vi har forespurgt på oversigt over alarmer i revisionsperioden, og stikprøvevis inspiceret, hvorledes der er fulgt op på disse alarmer. Yderligere har vi forespurgt til muligheden for sletning af automatisk generede tickets på alarmer, samt logning og evaluering af dette. Vi har forespurgt på vedligeholdelse af understøttende forsyninger til beskyttelse mod miljømæssige trusler, og har inspiceret at der er egenkontrol samt årlig service på forsyningerne. Vi har fået oplyst, at det er muligt at slette de automatisk genererede tickets ved alarmer. Vi har ydermere fået oplyst, at det logges, hvis tickets på alarmer slettes, og at loggen ikke kan slettes. Dog har vi ikke modtaget dokumentation for, at logning og beskyttelse af loggen er implementeret. Udstyr 11.2 Formålet er at undgå tab, skade, tyveri eller kompromittering af aktiver og driftsafbrydelse i organisationen Vi har inspiceret de fysiske forhold for betryggende sikring af driftssystemerne samt kritisk udstyr. Vi har forespurgt til periodisk service af UPS, dieselgenerator, køleanlæg og brandsikring i datacenteret, og har inspiceret den årlige kontrol til sikring af service samt de tilhørende servicerapporter. Vi har forespurgt til kabelføring på datacenteret og backup, og har inspiceret løsningen på betryggende vis. Vi har forespurgt til procedurer for fjernelse og bortskaffelse af udstyr og data fra datacenteret, samt har inspiceret at det behandles på betryggende vis. Vi har forespurgt til procedurer for og politikker til beskyttelse af udstyr uden opsyn, og har inspiceret virksomhedens politikker for ryddeligt skrivebord og skærm, samt politik for påtvungen automatisk lås på inaktivt brugerudstyr. Ingen væsentlige afvigelser konstateret. REVI-IT A/S Side 5 af 5