Rackhosting ApS
|
|
- Emil Bjerregaard
- 5 år siden
- Visninger:
Transkript
1 Rackhosting ApS ISAE 3402-erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til driften af kunders it-miljøer for perioden 1. januar 2016 til 31. december 2016 med udgangspunkt i standardvilkår Juni 2017
2 Indhold 1 Ledelsens udtalelse Rackhosting ApS beskrivelse af generelle it-kontroller i tilknytning til driften af kunders it-miljø med udgangspunkt i standardvilkår for Indledning Beskrivelse af ydelser Kontrolmiljø Risikostyring Information & Kommunikation Overvågning Kontrolaktiviteter Kundens ansvar Detaljeret kontrolmål og egenkontroller Uafhængig revisors erklæring med sikkerhed om beskrivelse af kontroller, deres udformning og funktionalitet Kontrolmål, kontroller, test og resultat heraf...10 PwC 2
3 1 Ledelsens udtalelse Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt Rackhosting ApS generelle driftsydelser, og deres revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller, som kunder selv har anvendt, ved vurdering af risiciene for væsentlig fejlinformation i den enkelte kundes regnskab. Rackhosting ApS bekræfter, at: (a) Den medfølgende beskrivelse, i afsnit 2, giver en retvisende beskrivelse af de generelle kontroller i tilknytning til Rackhosting ApS generelle driftsydelser, der er anvendt af kunder i perioden fra 1. januar 2016 til 31. december Kriterierne for denne udtalelse var, at den medfølgende beskrivelse: (i) redegør for, hvordan systemet var udformet og implementeret, herunder redegør for: de typer af ydelser, der er leveret, når det er relevant de processer i både it- og manuelle systemer, der er anvendt til at igangsætte, registrere, behandle og om nødvendigt korrigere transaktionerne samt overføre disse til de rapporter, der er udarbejdet til kunder relevante kontrolmål og kontroller, udformet til at nå disse mål kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af brugervirksomheder, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen og rapporteringen af kunders transaktioner (ii) (iii) indeholder relevante oplysninger om ændringer i serviceleverandørens system, foretaget i perioden fra 1. januar 2016 til 31. december 2016 ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne system, under hensyntagen til at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt ved systemet, som kunder måtte anse for at være vigtigt efter dennes særlige forhold (b) de kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i perioden fra 1. januar 2016 til 31. december Kriterierne for denne udtalelse var, at: (i) (ii) (iii) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål, og kontrollerne var anvendt konsistent, som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i perioden fra 1. januar 2016 til 31. december Taastrup den 28. juni 2017 Rackhosting ApS Martin Helms Adm. direktør og ejer PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, Strandvejen 44, 2900 Hellerup CVR-nr
4 2 Rackhosting ApS beskrivelse af generelle it-kontroller i tilknytning til driften af kunders it-miljø med udgangspunkt i standardvilkår for Indledning Rackhosting har eksisteret siden 1998 og er i dag en velkonsolideret virksomhed med en god track record hos kunderne. Virksomheden har siden 2006 haft kontor med salg, administration og teknisk overvågningscentral (NOC) samt primære datacenter faciliteter, på samme adresse i Tåstrup. Rackhosting har på et meget tidligt tidspunkt anerkendt at Serverdrift og Datacenter drift er to vidt forskellige ting og har derfor valgt ikke at drive egne datacentre. Det giver en større valgfrihed i forbindelse med systemdesign, og undgår at låse kundens løsninger og vores services til ét datacenter eller én DC leverandør. Vi har kun ét kerneprodukt som vi kalder for CloudCore ENTEPRISE. Det er en Cloud platform der driver stort set alle kunder og services. Platformen består af er 3 anerkendte producenter nemlig Cisco netværk og Cisco UCS servere, Nimble Hybrid Flash SAN og VMware vcloud Air og kaldes en Smartstack under et. Platformen udemærker sig ved høj performance, driftssikkerhed, let administration og ikke mindst backup af alle data hver kvartér til et søster SAN i sekundært datacenter. CloudCore er ydermere medlem af verdens største Content Delivery Network eller populært kaldet et CDN, som gør os i stand til at udnytte kræfterne fra over 170 Datacentre verden over, hvis kunden har behovet og hvis den enkelte løsning og data er egnet dertil. Kunderne spænder vidt fra SMB segmentet til velrenommerede virksomheder som SBS/Discovery, Ingeniøren A/S, Sweco A/S (tidl. Grontmij/Calbro), Plandent A/S, D'Angleterre & Hilton, offentlige institutioner som Forsknings ministeriet, Statens IT, Energistyrelsen, og en stribe velkendte medie- og reklamebureauer. Vores produkter og forretningsmodel henvender sig primært til virksomheder med egen eller ekstern IT organisation. Rackhosting har ét erklæret ambitionsniveau; at blive en af Danmarks foretrukne cloud-udbydere til dansk erhvervsliv. Det vil vi opnå gennem second to none support og en mærkbart bedre performance end vores nærmeste konkurrenter. 2.2 Beskrivelse af ydelser I dag afvikles stort set alle Rackhostings ydelser fra kun én platform nemlig VMware vcloud Air. Produkterne sælges både som standardprodukter på almindelige vilkår eller specialtilpasset til en kundes specifikke behov og på særskilt kontrakt, udarbejdet individuelt i samarbejde med kunden. Til driftsydelserne tilbydes forskellige optioner, som domæneregistrering, SSL-certifikater, backup, antivirus og ikke mindst overvågning. Alle driftsydelser understøttes af differentierede serviceaftaler (SLA er), professionel servicedesk og personlig konsulentbistand. PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, Strandvejen 44, 2900 Hellerup CVR-nr
5 CloudCore ENTERPRISE Serviceydelse CloudCore ENTERPRISE er baseret på VMware Enterprise og sælges som puljer med et fast sæt ressourcer til en fast månedlig pris. Kunden betaler altså for et aftalt sæt ressourcer i pakker, fx 24 GB RAM og 1 TB SAN og 12 vcpu er. Pakkerne har en blød ressourcegrænse med et tilladt 10 % overforbrug indbygget, således at kunden kan skride ressource-grænsen uden at komme i vanskeligheder og uden at skulle opgradere. Rackhosting kan oprette servere for kunden, hvis dette er særskilt aftalt. Kunden kan vælge at have administrative rettigheder over de oprettede servere eller lade RH håndtere til og med operativlaget. Firewall og backupfunktion håndteres på baggrund af aftale. Rackhosting tager snapshot-backup til brug for egne katastrofescenarier. Kunden bør indgå særskilt aftale omkring backup. Aftaler er som regel indgået efter særskilt proces og krav. Hvis kunden har valgt Rackhosting som administrator af kundens operativsystemlag er der typisk lavet særskilt aftale omkring patchning og opdatering. PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, Strandvejen 44, 2900 Hellerup CVR-nr
6 2.3 Kontrolmiljø Teknisk personale sidder i vores NOC (Network Operations Center) i Tåstrup, hvor drift og kundeservice drives fra. NOC en indeholder storskærme til et generelt og samlet overblik over primære driftsparametre, incidents, og servicedesk-sager for alle tekniske medarbejdere. De primære værktøjer er: Nagios til overvågning af KPI er og eventhåndtering med SMS-alarmering til personale og kunder. Kayako Servicedesk til sagshåndtering og kundekommunikation Cacti til MRTG statistikker herunder performance og trafik ControlManager til dokumentation og procedurer samt kontrol og risikostyring herunder udarbejdelse af risikovurderinger. Strategien for kan læses i virksomhedens separate it-strategi. Løsninger drives på baggrund af én standardaftale, hvis kunden ikke har fundet anledning til at forhandle den eller ikke har individuelle behov til løsning, omfang, budget og aftalevilkår. Ansvarsfordelingen hos personalet er præciseret gennem vores kontrolkatalog, ControlManager, hvor primære og sekundære personer er knyttet til aktiver, processer og kontroller. ControlManager styrer og adviserer ligeledes om opfølgende kontrolaktiviteter og risikostyring. Som en del af ansættelsesaftalen skriver medarbejderne under på en fortrolighedsaftale. En tavshedspligt som også er gældende efter ansættelsesforholdets ophør. Alle primære servere er placeret i et dedikeret serverrum som kun Rackhosting administrerer og kontrollerer, i et datacenter der drives af en ekstern leverandør. Der indhentes årlige revisorerklæringer dækkende dette område. 2.4 Risikostyring Virksomhedens risikostyring håndteres af ledelsen gennem kontrolkataloget og tages op til revision hvert halve år eller oftere hvis noget fordrer det. 2.5 Information & Kommunikation Rackhostings kommunikation med kunder baserer sig primært på vores servicedesk, Kayako. Kunderne sender mail til support@rackhosting.com og får et sagsnummer tilbage som kvittering på at sagen er modtaget korrekt. Sager prioriteres af kunden, passes automatisk ind i kundens SLA-niveau og eskaleres eventuelt manuelt eller automatisk efter foruddefinerede principper. Sager tildeles ligeledes manuelt eller automatisk. Sager styres til og besvares af det rette personale alt efter type. Driftsrapportering sker i det omfang, det er aftalt separat med den enkelte kunde. Kunder på CloudCore vil i løbet af 2017, i et vist omfang selv mulighed for at følge drift-performance, i kundeportalen. 2.6 Overvågning ControlManager overvåger og adviserer automatisk ansvarlige personer om udførelse eller manglende udførelse af prædefinerede kontroller. Der er netop ansat en ny person der skal varetage Awarenes i hele virksomheden således at alle medarbejdere informeres om og fastholder deres kontrolopgaver og ikke mindst bliver bevidst omkring ændringer og nye tiltag. Ledelsen følger med i, at udførelsen foregår og at medarbejderne prioriterer sikkerheden. I ControlManager foreligger informationssikkerhedspolitikken, som løbende opdateres, og ændringer godkendes af ledelsen. Medarbejderne har adgang til sikkerhedspolitikken via ControlManager og alle ændringer eller tiltag vil blive uddelt og gennemgået på ugentlige morgenmøder hver tirsdag. PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, Strandvejen 44, 2900 Hellerup CVR-nr
7 2.7 Kontrolaktiviteter Kontrol af proceduren: Kapacitetsstyring og overvågning Kontrol af proceduren: Overvågning VMware Kontrol af proceduren: Overvågning CloudCore Kontrol af proceduren: Overvågning Hardware Kontrol af proceduren: Tildeling af brugeradgang Kontrol af proceduren: WSUS opdateringer Kontrol af proceduren: Roll-Back efter fejlet WSUS opdatering Kontrol af proceduren: Backup/Restore politik og procedure. Nærværende erklæring vedrører alene ydelser leveret og fysisk placeret i Danmark. Kundespecielle forhold er ikke omfattet. 2.8 Kundens ansvar Kunder er selv ansvarlige for anskaffelse, udvikling og vedligeholdelse af applikationssystemer. Kunden er ansvarlig for at melde tilbage inden for den fastsatte frist ved leverancer, såfremt en ydelse ikke modsvarer bestillingen, eller såfremt der er fejl eller mangler ved leverancen. Endvidere er det kundens ansvar løbende at sikre opdatering af adgange til kundens systemer, når der sker ændringer. Det er ligeledes kundens ansvar at sikre behørig backup, det være sig en ydelse som Rackhosting leverer eller noget kunden selv har installeret. Når og hvis der er backup, er det især kundens ansvar at sikre jævnlige genskabelsestest af backuppens beskaffenhed. Hvis Rackhosting skal udføre det på vegne af kunden er det som udgangspunkt en betalt serviceydelse. 2.9 Detaljeret kontrolmål og egenkontroller Detaljeret beskrivelse af kontrolmål og kontrolaktiviteter fremgår af afsnit 4.. PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, Strandvejen 44, 2900 Hellerup CVR-nr
8 3 Uafhængig revisors erklæring med sikkerhed om beskrivelse af kontroller, deres udformning og funktionalitet Til ledelsen i Rackhosting ApS, kunder og disses revisorer Omfang Vi har fået som opgave at afgive erklæring om Rackhosting ApS beskrivelse i afsnit 2 af it-kontroller for perioden 1. januar 2016 til 31. december 2016 og om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Nærværende beskrivelse omfatter ikke kundespecifikke forhold. Rackhosting ApS ansvar Rackhosting ApS er ansvarlig for udarbejdelse af beskrivelsen og tilhørende udtalelse, herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udtalelsen er præsenteret; for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmålene samt for udformningen, implementeringen og effektivt fungerende kontroller for at nå de anførte kontrolmål. Vores uafhængighed og kvalitetsstyring Vi har overholdt kravene til uafhængighed og andre etiske krav i FSR danske revisorers retningslinjer for revisors etiske adfærd (Etiske regler for revisorer), der bygger på de grundlæggende principper om integritet, objektivitet, faglig kompetence og fornøden omhu, fortrolighed og professionel adfærd. PricewaterhouseCoopers er underlagt international standard om kvalitetsstyring, ISQC 1, og anvender og opretholder således et omfattende kvalitetsstyringssystem, herunder dokumenterede politikker og procedurer vedrørende overholdelse af etiske krav, faglige standarder og krav ifølge lov og øvrig regulering. Vores ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om Rackhosting ApS beskrivelse samt om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, der er anført i beskrivelsen. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt. En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, egnetheden af de heri anførte mål samt egentheden af de kriterier, som Rackhosting ApS har specificeret og beskrevet. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør Rackhosting ApS beskrivelse er udarbejdet for at opfylde de almindelige behov hos kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som kunder måtte anse for vigtigt efter deres særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover PwC 8
9 er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i ledelsens udtalelse. Det er vores opfattelse, (a) (b) at beskrivelsen af Rackhosting ApS generelle driftsydelser, således som de var udformet og implementeret i perioden fra 1. januar 2016 til 31. december 2016, i alle væsentlige henseender er retvisende, og at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra 1. januar 2016 til 31. december 2016, og (c) at de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i perioden 1. januar 2016 til 31. december Beskrivelse af test af kontroller De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultater af disse test fremgår af afsnit 4. Tiltænkte brugere og formål Denne erklæring og beskrivelsen af test af kontroller i afsnit 4 er udelukkende tiltænkt kunder og disses revisorer, som har en tilstrækkelig forståelse til at overveje disse sammen med anden information, herunder information om kunders egne kontroller, når de vurderer risiciene for væsentlige fejlinformationer i kunders regnskab. København, 28. juni 2017 PricewaterhouseCoopers statsautoriseret revisionspartnerselskab Michael Clement statsautoriseret revisor PwC 9
10 4. Kontrolmål, kontroller, test og resultat heraf Outsourcing af fysisk sikkerhed, som er hostet hos Nianet med GlobalConnects datacenter i Taastrup som backup lokation, er begge indarbejdet i nærværende erklæring efter partielmetoden. Kontrolmål og kontroller er opbygget efter ISO 27002: Risikovurdering Kontrolmål 4.1: Risikovurdering At virksomheden har en procedure for risikovurdering og der er udarbejdet en aktuel risikoanalyse, som er godkendt af ledelsen Risikovurdering Rackhosting gennemfører risikovurdering af kritiske interne informationsaktiver. Risikovurderingen er systematiseret ved anvendelse af værktøj. Risikovurdering foretages minimum én gang årligt. Ansvaret for risikovurdering er placeret hos ledelsen, der initierer igangsætning af vurdering i samarbejde med en vurderingsansvarlig. Vi har inspiceret udleveret risikovurdering fra ControlManageren. Vi har desuden inspiceret, at risikovurderingen er foretaget inden for det sidste år. PwC 10
11 5. Informationssikkerhedspolitikker Kontrolmål 5.1 Retningslinjer for styring af informationssikkerhed At give retningslinjer for og understøtte informationssikkerheden i overensstemmelse med forretningsmæssige krav og relevante love og forskrifter Politikker for informationssikkerhed Rackhostings informationssikkerhedspolitik er dokumenteret og vedligeholdes via ControlManageren ved regelmæssige gennemgange og opdateringer. Informationssikkerhedspolitikken er godkendt af ledelsen. Informationssikkerhedspolitikken er gjort tilgængelig for medarbejdere via ControlManageren. Vi har inspiceret, at ledelsen har godkendt sikkerhedspolitikken, samt at den opdateres løbende. Endvidere at den forefindes let tilgængelig for medarbejderne. PwC 11
12 6. Organisering af informationssikkerhed Kontrolmål 6.1: Intern organisering At etablere et ledelsesmæssigt grundlag for at kunne igangsætte og styre implementeringen og driften af informationssikkerhed i organisationen Roller og ansvarsområder for informationssikkerhed Det organisatoriske ansvar for informationssikkerhed er dokumenteret og implementeret. Endvidere er der fastlagt regler for fortrolighedsaftaler, rapportering om informationssikkerhedshændelser samt udarbejdet dækkende fortegnelser over væsentlige aktiver Funktionsadskillelse Ledelsen har implementeret politikker og procedurer til sikring af tilfredsstillende funktionsadskillelse i Rackhosting. Disse politikker og procedurer omfatter krav til at: Administratorer med ansvar for produktion ikke har adgang til applikationer og transaktioner. Backupadministratorer har ikke administrative rettigheder til både primær og sekundær backuplokation. Vi har inspiceret, at det organisatoriske ansvar for informationssikkerhed er dokumenteret og implementeret. Vi har endvidere foretaget inspektion af, at fortrolighedsaftaler, rapportering om informationssikkerhedshændelser samt fortegnelse over aktiver er udarbejdet. It-medarbejderne er under interview blevet forespurgt til kompetencer, arbejdsområder og ansvar. Vi har inspiceret, at der er funktionsadskillelse mellem økonomi og itdrift. Vi har inspiceret, at der er funktionsadskillelse mellem primær og sekundær backuplokation. PwC 12
13 9. Adgangsstyring Kontrolmål 9.1 Forretningsmæssige krav til adgangsstyring At begrænse adgangen til information og informationsbehandlingsfaciliteter Adgang til netværk og netværkstjenester, datakommunikation Datakommunikationen er tilrettelagt på en hensigtsmæssig måde og er tilstrækkelig sikret mod risiko for tab af autenticitet, integritet, tilgængelighed samt fortrolighed. Der er endvidere fortaget en opdeling af netværk, hvor dette er fundet nødvendigt eller aftalt med kunden. og kontrolaktiviteter der udføres, og inspiceret at der anvendes en passende autentificeringsproces for driftsmiljøet. Vi har ved stikprøvevis inspiceret, at brugere identificeres og verificeres, inden adgang gives, samt at fjernadgangen er beskyttet af VPN. Vi har inspiceret at der gøres brug firewall-konfigurationen intrusion detection-system, som løbende og aktivt giver oplysninger om mulige ændringer, som kan påvirke fortroligheden, integriteten og tilgængeligheden i data. Vi har inspiceret, at netværket er opsat med separate VLAN. PwC 13
14 Kontrolmål 9.2 Administration af brugeradgang At sikre adgang for autoriserede brugere og forhindre uautoriseret adgang til systemer og tjenester Tildeling af brugeradgang Alle brugere skal være registreret med unikt bruger-id, og deres rettigheder til netværk og systemer skal være i overensstemmelse med Rackhostings politikker. Endvidere skal det sikres at rettigheder er betinget af et arbejdsbetinget behov, og er godkendt og oprettet korrekt i systemerne Inddragelse eller justering af adgangsrettigheder Ved medarbejderes fratrædelse bliver alle brugerrettigheder til systemer, netværk, databaser og datafiler inaktiveret. Vi har inspiceret procedure for brugeradministration samt, at kontrolaktiviteterne er tilstrækkeligt dækkende for Rackhostings behov. Vi har indhentet oversigt over brugerkonti på systemer og netværk. Vi har stikprøvevis inspiceret, at anmodning om adgang fra disse var dokumenteret og godkendt i overensstemmelse med relevant sikkerhedspolitik, og at der gøres brug af unikke og personhenførbare bruger-id er. og kontrolaktiviteter, der udføres, for at inddragelse af adgangsrettigheder sker efter betryggende forretningsgange, og for at der foretages opfølgning i henhold til forretningsgangene for de tildelte adgangsrettigheder. Vi har endvidere stikprøvevis inspiceret at fratrådte medarbejdere var slettet fra AD og at brugere ikke fremgik af oversigt over aktuelle brugerkonti. PwC 14
15 Kontrolmål 9.4 Styring af system- og applikationsadgang At forhindre uautoriseret adgang til systemer og applikationer Procedurer for sikker logon Adgange til systemer, netværk, databaser og datafiler, er beskyttet med password. Der er opsat kvalitetskrav til passwords, således at der kræves en minimumslængde, kompleksitet og maksimal løbetid ligesom passwordopsætninger medfører, at password ikke kan genbruges. Endvidere bliver brugeren lukket ude ved gentagne fejlagtige forsøg på login. og kontrolaktiviteter, der udføres i forbindelse med passwordkontroller, og inspiceret at der anvendes passende autentifikation af brugere på alle adgangsveje. Vi har inspiceret, at der anvendes en passende passwordkvalitet i Rackhostings driftsmiljø. Endvidere har vi stikprøvevis inspiceret at adgang til virksomhedens systemer sker ved brug af brugernavn og password. PwC 15
16 11. Fysisk sikring og miljøsikring Kontrolmål 11.1 Sikre områder At forhindre uautoriseret fysisk adgang til samt beskadigelse og forstyrrelse af organisationens information og informationsbehandlingsfaciliteter Fysisk sikkerhedsafgrænsning Adgang til sikrede områder (for såvel nye som eksisterende medarbejdere) er begrænset (bl.a. ved anvendelse af sikkerhedsbrik og personlig kode) til autoriserede medarbejdere. Personer uden godkendelse til sikrede områder, skal ledsages af en medarbejder med behørig godkendelse. Vi har inspiceret, at der er modtaget ISAE 3402-erklæringer fra relevante serviceleverandører for relevant periode. Vi har endvidere foretaget en fysisk inspektion og konstateret, at sikkerheden er uændret i forhold til tidligere år. Kontrolmål 11.2 Udstyr At undgå tab, skade, tyveri eller kompromittering af aktiver og driftsafbrydelse i organisationen Placering og beskyttelse af udstyr Datacentre er beskyttet mod fysiske forhold som brand, vand og varme. Der er endvidere installeret udstyr til overvågning af indeklima, herunder luftfugtighed og temperatur. Kabelføringen er sikret mod uautoriseret adgang. Datacentre er beskyttet mod strømafbrydelse ved anvendelse af UPS (Uninterruptible Power Supply) og nødstrømsanlæg. Vi har inspiceret, at der er modtaget ISAE 3402-erklæringer fra relevante serviceleverandører for relevant periode. Vi har endvidere foretaget en fysisk inspektion og konstateret, at sikkerheden er uændret i forhold til tidligere år. PwC 16
17 12. Driftssikkerhed Kontrolmål 12.1: Driftsprocedurer og ansvarsområder At sikre korrekt og sikker drift af informationsbehandlingsfaciliteter Dokumenterede driftsprocedurer Der foreligger dokumenterede og ledelsesgodkendte driftsprocedurer for alle væsentlige områder i Rackhostings kvalitetsstyringssystem Ændringsstyring Nye systemer og væsentlige opgraderinger bliver testet, herunder brugeraccepttest af kvalificerede medarbejdere før implementering i produktionsmiljøet. Der udføres endvidere efterfølgende test af implementeringer. Problemer identificeret under udvikling og implementering af nye systemer og væsentlige opdateringer bliver løst tilfredsstillende. Test/vurdering af ændringer til systemer og netværk godkendes før flytning til produktion. Nødændringer af systemer og netværk uden om den normale forretningsgang bliver testet og godkendt efterfølgende. I forbindelse med revision af de enkelte driftsområder har vi inspiceret, at der foreligger dokumenterede procedurer, samt at der er overensstemmelse mellem dokumentationen og de handlinger, som faktisk udføres. og kontrolaktiviteter der udføres, samt ændringsstyringsprocedurernes tilstrækkelighed. Vi har inspiceret, at der er etableret et passende ændringshåndteringssystem, der er understøtter den tekniske infrastruktur. Vi har stikprøvevis inspiceret ændringsønsker for følgende: Dokumenterede tests af ændringer herunder godkendelse Godkendelse skal være opnået før implementering. Mundtlig ledelsesmæssig godkendelse anses for tilstrækkelig ved nødændringer, men skal dokumenteres efterfølgende. Plan for tilbagerulning, via snapshot hvor relevant. Vi har observeret, at test af ændringer ikke i tilstrækkelig grad dokumenteres, samt at ledelsesmæssig godkendelse eller anden review i flere tilfælde ikke er formelt dokumenteret. PwC 17
18 Kontrolmål 12.2: Malwarebeskyttelse At sikre, at information og informationsbehandlingsfaciliteter er beskyttet mod malware Kontroller mod malware Der er implementeret antivirusprogrammer, som bliver opdateret regelmæssigt. Vi har stikprøvevis inspiceret, at antivirusprogrammer er installeret, hvor det er relevant, og at disse er opdateret. Kontrolmål 12.3: Backup At beskytte mod tab af data Backup af information Der bliver foretaget sikkerhedskopiering af data med passende mellemrum. Periodisk sker der test af, at data kan genskabes fra sikkerhedskopier. Vi har inspiceret at, backupprocedurer er opdaterede og formelt dokumenterede. Vi har ved stikprøvevis inspiceret, at backups er gennemført succesfuldt, alternativt at der foretages afhjælpning i tilfælde af mislykkede backups. Desuden har vi stikprøvevis inspiceret, at restore-test er udført. PwC 18
19 Kontrolmål 12.4: Logning og overvågning At registrere hændelser og tilvejebringe bevis Administrator- og operatørlogge Transaktioner eller aktivitet samt brugere med privilegerede rettigheder (fx superbrugere) bliver logget. Dette inkluderer også databaser. Afvigende forhold undersøges og løses rettidigt. Vi har stikprøvevis inspiceret at systemopsætningen af parametre for logning er opsat, således at handlinger, udført af brugere med udvidede rettigheder på servere og væsentlige netværksenheder bliver logget. Vi har endvidere stikprøvevis inspiceret, at der foretages tilstrækkelig opfølgning på log fra kritiske systemer. 13. Kommunikationssikkerhed Kontrolmål 13.1: Styring af netværkssikkerhed At sikre beskyttelse af informationer i netværk og af understøttende informationsbehandlingsfaciliteter Sikring af netværkstjenester Der gennemgås regelmæssigt penetrationstests til sikring af netværket. Vi har inspiceret, at der er foretaget periodisk penetrationstests samt, at der er taget stilling til konstaterede svagheder og iværksat tiltag til udbedring. PwC 19
20 15. Leverandørforhold Kontrolmål 15.2: Styring af leverandørydelser at opretholde et aftalt niveau af informationssikkerhed og levering af ydelser i henhold til leverandøraftalerne Overvågning og gennemgang af leverandørydelser Der er fortaget gennemgang af ydelser fra serviceleverandører, herunder taget stilling til indhentning af revisionserklæringer fra disse fx 3402-erklæring. For type 2-erklæringer gennemgås brugerkontroller og disse sammenholdes med eksisterende kontroller og processer. Nye erklæringer bliver periodisk gennemgået til sikring af, at disse dækker korrekt periode. Endvidere gennemgås identificerede kontrolsvagheder. Forhold undersøges og løses rettidigt. og kontrolaktiviteter, der udføres, Vi har inspiceret, at der er modtaget ISAE 3402-erklæringer fra relevante serviceleverandører for relevant periode. Vi har desuden ved stikprøvevis inspiceret, at samarbejdet med eksterne parter er baseret på godkendte kontrakter. PwC 20
21 17. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring Kontrolmål 17.1: Informationssikkerhedskontinuitet Informationssikkerhedskontinuitet bør være forankret i organisationens ledelsessystemer for nød-, beredskabsog reetableringsstyring Planlægning af Informationssikkerhedskontinuitet Den samlede katastrofeplan er opbygget af en overordnet katastrofestyringsprocedure samt operationelle katastrofeplaner for de konkrete katastrofeområder. Den operationelle katastrofeplan indeholder beskrivelse af katastrofeorganisationen med de ledelsesmæssige funktionsbeskrivelser, kontaktinformationer, varslingslister samt instrukser for de nødvendige indsatsgrupper. For de enkelte platforme er udarbejdet detaljerede indsatsgruppeinstrukser for reetablering i forhold til nøddrift Verificer, gennemgå og evaluer Informationssikkerhedskontinuiten Der sker årligt test af katastrofeberedskabet ved såvel skrivebordstest som faktiske testscenarier. Vi har inspiceret, at den organisatoriske og operationelle it-katastrofeplan indeholder ledelsesmæssige funktionsbeskrivelser, kontaktinformationer, varslingslister samt instrukser. Vi har inspiceret at beredskabsplaner testes ved skrivebordstest eller via realistiske testscenarier, i det omfang det er muligt. PwC 21
Rackhosting ApS. ISAE 3402-erklæring fra uafhængig
r Rackhosting ApS Oktober 2014 ISAE 3402-erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til driften af kunders itmilj øer for perioden 1. juni 2013 til 31. maj 2014 med
Læs mere1. Ledelsens udtalelse
www.pwc.dk Sonlinc A/S ISAE 3000-erklæring fra uafhængig revisor vedrørende udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing for perioden
Læs mereIMS A/S ISAE 3402 TYPE 1 ERKLÆRING. CVR-nummer
MARTS 2019 IMS A/S CVR-nummer 25862015 ISAE 3402 TYPE 1 ERKLÆRING Revisors erklæring vedrørende overholdelse af sikkerhedsprocedurer omkring dataudveksling. Rammen for sikkerhedsprocedurer er angivet i
Læs mereSotea ApS CVR-nr. 10 08 52 25
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 1. juni 2014 til 31. maj
Læs mereISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer
plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger
Læs mereTabulex ApS. Februar erklæringsår. R, s
Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår
Læs mereSotea ApS. Indholdsfortegnelse
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj
Læs mereFront-data Danmark A/S
Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560
Læs merefrcewtfrhousf(wpers ml
frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende
Læs mereAthena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2
www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2 Februar 2015 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group
Læs mereTimengo DPG A/S CVR-nr
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift og vedligeholdelse af DPG-løsningen pr. 16. januar 2019 ISAE 3402, type I Timengo DPG
Læs mereOutforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter
www.pwc.dk Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Januar 2016 Indhold 1. Ledelsens udtalelse 3 2.
Læs mereAthena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser
www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser April 2013 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S
Læs mereFront-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.
Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København
Læs mereTabulex ApS. Februar 2011 7. erklæringsår. R, s
Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår
Læs mereLector ApS CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesloven (GDPR) pr. 06-07-2018 ISAE 3000-I Lector ApS CVR-nr.: 10 02 16 18 Juli 2018 REVI-IT A/S statsautoriseret
Læs merewww.pwc.dk for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser
www.pwc.dk Athena IT-Group Erklæring fra uafhængig revisor vedrørende generelle itkontroller for Athena IT-Group A/S' driftsydelser Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S' beskrivelse
Læs mereA/S it-drift og hostingaktiviteter
www.pwc.dk Januar 2015 Outforce A/S Erklæring fra uafhængig revisor vedrørende generelle itkontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter Indhold 1. Ledelsens erklæring 3 2. Outforce
Læs mereKomiteen for Sundhedsoplysning CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) pr. 20-12-2018 ISAE 3000 Komiteen for Sundhedsoplysning CVR-nr.: 14 03 53 38 December
Læs merePlan og Handling CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov pr. 29-01-2019 ISAE 3000 CVR-nr.: 18 13 74 37
Læs mereNetic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.
www.pwc.dk Netic A/S Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser Juni 2018 Indhold 1. Ledelsens udtalelse 2 2. Uafhængig revisors
Læs mereDFF EDB a.m.b.a. CVR-nr.:
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med deres hostingydelse hos Zitcom A/S pr. 23. juni 2017 ISAE 3402-I DFF EDB a.m.b.a.
Læs merewww.pwc.dk EG Data Inform A/S ISAE 3402-erklæring, type 2, fra uafhængig i relation til EG Data Informs driftsydelser Januar 2016
www.pwc.dk EG Data Inform A/S ISAE 3402-erklæring, type 2, fra uafhængig revisor vedrørende generelle itkontroller i relation til EG Data Informs driftsydelser Januar 2016 Indhold 1. Ledelsens udtalelse...
Læs mereNetic A/S. ISAE3402 type 2-erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Netic A/S hosting- og driftsydelser.
www.pwc.dk Netic A/S ISAE3402 type 2-erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Netic A/S hosting- og driftsydelser Juni 2018 Indhold 1. Ledelsens udtalelse... 2 2. Netic A/S
Læs merepwc EG Data Inform A/S
i EG Data Inform A/S ISAE 3402-erklæring, type 2, fra uafhængig revisor vedrørende generelle it-kontroller i relation til EG Data Informs driftsydelser Januar 2015 pwc PricewaterhouseCoopers Statsautoriseret
Læs mereGML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af databeskyttelsesforordningen (GDPR) og tilhørende databeskyttelseslov for leverancen af rekrutteringsydelser i perioden
Læs mereFonden Center for Autisme CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataloven og tilhørende bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger med senere ændringer
Læs mereGML-HR A/S CVR-nr.:
Erklæring fra uafhængig revisor Erklæringsafgivelse i forbindelse med overholdelse af persondataforordningen (GDPR) pr. 25-05-2018 ISAE 3000-I CVR-nr.: 33 07 66 49 Maj 2018 REVI-IT A/S statsautoriseret
Læs mereVersion: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium
Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...
Læs mereDatabehandleraftale 2013
Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE
Læs mereZentura IT A/S CVR-nr. 32 89 08 06
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med drift af hosting-platform pr. 9. november 2015 ISAE 3402, type I Zentura IT A/S CVR-nr. 32
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereMedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende
Læs mereAthena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser
www.pwc.dk Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser Marts 2014 Indhold 1. Ledelsens erklæring 3 2. Athena IT-Group A/S
Læs mereAthena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018
www.pwc.dk Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018 Indhold 1. Ledelsens udtalelse... 3 2. Uafhængig revisors
Læs mereEG Cloud & Hosting
www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017
Læs mereWWI A/S. Indholdsfortegnelse
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR
Læs mereKOMBIT sikkerhedspolitik
KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER
Læs mereEG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser
www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...
Læs mereDFF-EDB a.m.b.a CVR nr.:
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og implementering i forbindelse med hosting og drift af Citrix-platformen pr. 22. juni 2015 ISAE 3402, type I
Læs mereISAE 3402 TYPE 2 ERKLÆRING
JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge
Læs mere1. Ledelsens udtalelse
www.pwc.dk EG A/S ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S it-drift og hosting-aktiviteter Januar 2018 Indhold 1. Ledelsens
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereIT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Læs mereUdkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig
Læs mere1 Informationssikkerhedspolitik
Indholdsfortegnelse 1 Informationssikkerhedspolitik... 1 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 2 1.3 Sikkerhedsniveau:... 2 1.4 Sikkerhedsbevidsthed:... 3 1.5 Brud på informationssikkerheden:...
Læs merePræsentation af Curanets sikringsmiljø
Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:
Læs mereEksempel på KOMBITs instruks til ISAE 3000 revisionserklæring
Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,
Læs mereComplea A/S CVR-nr.:
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelser i perioden 25-05-2018 til 30-04-2019 ISAE 3402-II CVR-nr.:
Læs mereEG A/S. ISAE 3402-erklæring, type 2, fra uafhængig revisor vedrørende generelle it-kontroller i relation til EG's driftsydelser.
www.pwc.dk EG A/S ISAE 3402-erklæring, type 2, fra uafhængig revisor vedrørende generelle it-kontroller i relation til EG's driftsydelser Januar 2017 Indhold 1. Ledelsens udtalelse... 3 2. EG s beskrivelse
Læs mere2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret
2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål
Læs mereComplea A/S CVR-nr
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller og deres udformning i forbindelse med hosting-ydelsen pr. 24. maj 2018 ISAE 3402, type I Complea A/S CVR-nr. 33 15 37 16 Maj 2018
Læs mereProcedure for tilsyn af databehandleraftale
IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereSURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1
SURFTOWNS SIKRINGSMILJØ Databehandleraftalen - Bilag 1 Indholdsfortegnelse Fysisk sikkerhed... 2 Logiske adgange... 2 Netværk... 2 Logning... 2 Sårbarhedsstyring... 2 Overvågning... 2 Backup... 3 Kryptering...
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereLessor Group ISAE3402 type revisor generelle it-kontroller for Lessor Groups hosting- og driftsydelser December 2013
www.pwc.dk Lessor Group ISAE3402 type fra revisor generelle it-kontroller for Lessor Groups hosting- og driftsydelser December 2013 Indhold Ledelsens 3 2. Lessor Groups beskrivelse af generelle it-kontroller
Læs mereMedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende
Læs mereFRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING
MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer
Læs mereBilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018
Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr. 85249 18. juni 2018 MedComs styring af SDN Vi har undersøgt, om ledelsen har etableret en effektiv styring af
Læs mereBekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved
Læs mereVi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.
Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som
Læs mereInformationssikkerhedspolitik for Odder Gymnasium
Informationssikkerhedspolitik for Odder Gymnasium Version: 1.0 Maj 2018 Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:... 2 1.5
Læs mereSyddansk Universitet. Institutionsrevisors protokollat om forberedende revisionsarbejder for 2018
Syddansk Universitet Institutionsrevisors protokollat om forberedende revisionsarbejder for 2018 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, CVR-nr. 33 7712 31 Strandvejen 44,2900
Læs mereany.cloud A/S CVR nr.: DK 31161509
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-12-2013 til 30-11-2014 any.cloud A/S CVR nr.:
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereDragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere
Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,
Læs mereIDQ A/S CVR-nr.:
Uafhængig revisors ISAE 3000 - erklæring med sikkerhed om beskrivelsen af kontroller rettet mod databeskyttelse og behandling af personoplysninger pr. 28. marts 2019 ISAE 3000 IDQ A/S CVR-nr.: 34 04 62
Læs mereLINK MOBILITY A/S ISAE 3402 TYPE 2 ERKLÆRING. Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service.
NOVEMBER 2017 LINK MOBILITY A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. Beierholm Statsautoriseret Revisionspartnerselskab
Læs mereDANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING
JUNI 2015 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer
Læs mereGDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017
www.pwc.dk GDPR Leverandørstyring og revisionserklæringer GDPR Leverandørstyring og revisionserklæringer v. Jess Kjær Mogensen og Charlotte Pedersen, Agenda Leverandørstyring Erklæringer Spørgsmål 3 Leverandørstyring
Læs mereFront-data Danmark A/S
Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,
Læs mereKapitel 2. Udførelse af revisionen Kapitel 3. Tjekliste ved revision Indhente beskrivelse mv. fra selskabet... 3
Revisorinstruks om erklæring for vandselskabers deltagelse i tilknyttet virksomhed Indhold Kapitel 1. Formål med instruksen... 1 Kapitel 2. Udførelse af revisionen... 2 Kapitel 3. Tjekliste ved revision...
Læs mereany.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-12-2014 til 30-11-2015 ISAE 3402-II any.cloud
Læs mereStatus baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015
Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015 Status = projektstatus ud fra milepæle Følger plan Ved korrigerende handlinger
Læs mereBilag 1 Databehandlerinstruks
Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum
Læs mereFront-data Danmark A/S
plus revision skat rådgivning Front-data Danmark A/S ISAE 3402 type 2 erklæring Februar 2013 Revisionserklæring af de generelle it-kontroller for driften af Front-data Danmarks hosting-aktiviteter. Kalvebod
Læs mereHolstebro Kommune. Bilag 4 Revisionsberetning vedrørende Ansvarsforhold, revisionens omfang og rapportering. (Vilkår for revisionsopgaven)
Holstebro Kommune CVR-nr. 29 18 99 27 Bilag 4 Revisionsberetning vedrørende Ansvarsforhold, revisionens omfang og rapportering (Vilkår for revisionsopgaven) Holstebro Kommune Revisionsberetning vedrørende
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mereGreve Kommune. Revision af generelle it-kontroller 2011
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle
Læs mereZentura IT A/S CVR-nr.:
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med salg og drift af hostingplatform i perioden 01-11-2015 til 31-10-2016 3402-II
Læs mereHalsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.
Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens
Læs mereDS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484
DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres
Læs mereSecurity & Risk Management Summit 2016
Security & Risk Management Summit 2016 DGI Byen, den 3. november 2016 Premium partner: Partnere: Sikkerhedsanalyse - fundamentet for din sikkerhed! John Wiingaard og Lars Boye, Senior GRC Consultants,
Læs mereMULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING
FEBRUAR 2015 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede
Læs mereOverordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Læs mereProduktspecifikationer Cloud Connect Version 1.1. Cloud Connect. Side 1 af 7
Side 1 af 7 Indhold 1 INTRODUKTION TIL CLOUD CONNECT... 3 1.1. CLOUD CONNECT... 3 1.2. VORES SETUP... 3 1.3. LEVERANCEN... 4 1.3.1. Aktiviteter... 4 1.3.2. Forudsætninger for etablering... 4 1.4. KLARMELDINGSDATO...
Læs mereLINK MOBILE A/S ISAE 3402 TYPE 2 ERKLÆRING. Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service.
JUNI 2016 LINK MOBILE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. Beierholm Statsautoriseret Revisionspartnerselskab
Læs mereAfsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud
Læs mereKl Indledning v. Lone Strøm, Rigsrevisor
Kl. 13.00-13.10 Indledning v. Lone Strøm, Rigsrevisor Kl. 13.10-13.40 Hvad viser Rigsrevisionens beretning? Hvad viser beretningen om styring af it-sikkerhed hos it-leverandører? v. Claus Bobjerg Juul,
Læs mereIT-sikkerhedspolitik for Lyngby Tandplejecenter
IT-sikkerhedspolitik for Lyngby Tandplejecenter 1 Indledning Formål med IT-sikkerhedspolitikken Lyngby tandplejecenters IT-sikkerhedspolitik er vores sikkerhedsgrundlag og vores fælles forståelse af, hvad
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereIT sikkerhedspolitik for Business Institute A/S
IT sikkerhedspolitik for Business Institute A/S Indholdsfortegnelse OFFENTLIG SIKKERHEDSPOLITIK FOR BUSINESS INSTITUTE... 2 1. ANVENDELSESOMRÅDE... 2 Indledning og formål... 2 Roller og ansvarsområder...
Læs mereBilag 7.1 Status på handleplan
Bilag 7.1 Status på handleplan Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015 Status = projektstatus ud fra milepæle Følger plan
Læs mereISAE 3402-ERKLÆRING PR. 1
ISAE 3402-ERKLÆRING PR. 1. JULI 2019 OM BESKRI- VELSEN AF DATACENTER-LØSNING OG DE FYSISKE SIK- KERHEDSFORANSTALTNINGER (KONTROLLER) OG DE- RES UDFORMNING FUZION A/S INDHOLD Revisors erklæring 2 Fuzion
Læs mereFRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING
MAJ 2014 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer
Læs mereNår Compliance Bliver Kultur
Når Compliance Bliver Kultur ISO27001, ISAE 3402/3000 & EU GDPR i teori og praksis Siscon & HeroBase 17. Januar 2019 AGENDA KORT OM SISCON & HEROBASE KRAV, STANDARDER OG LOVGIVNING ET SAMSPIL HEROBASE
Læs mereInformationssikkerhedspolitik. for Aalborg Kommune
Informationssikkerhedspolitik for Aalborg Kommune Indhold Formål... 2 Gyldighedsområde... 2 Målsætning... 2 Sikkerhedsniveau... 3 Organisation og ansvarsfordeling... 3 Kontrol... 4 Sikkerhedsbrud og sanktionering...
Læs mereB4Restore A/S. ISAE 3000 DK erklæring om generelle ITkontroller relateret til B4Restore A/S Hybrid Storage Solution og Hybrid Backup Solution
A/S ISAE 3000 DK erklæring om generelle ITkontroller relateret til B4Restore A/S Hybrid Storage Solution og Hybrid Backup Solution Statsautoriseret Revisionsvirksomhed Annebergvej 10 Tel: 35 36 33 56 9000
Læs mere