Sotea ApS CVR nr.: DK

Transkript

1 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden til Sotea ApS CVR nr.: DK REVI-IT A/S

2 Indholdsfortegnelse Afsnit 1: Sotea ApS ledelseserklæring... 3 Afsnit 2: Sotea ApS beskrivelse af kontrolmiljø for hostingydelse... 4 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet..23 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf...25 REVI-IT A/S Side 2 af 46

3 Afsnit 1: Sotea ApS ledelseserklæring Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt Sotea ApS hostingydelser, og disses revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt, ved vurdering af risiciene for væsentlig fejlinformation i kundernes regnskaber. bekræfter, Sotea ApS bekræfter, at: (a) (b) Den medfølgende beskrivelse, i afsnit 2, giver en retvisende beskrivelse af Sotea ApS hostingydelse til kunder i hele perioden fra 1. august 2014 til 31. januar Kriterierne for dette udsagn var, at den medfølgende beskrivelse: (i) redegør for, hvordan systemet var udformet og implementeret, herunder redegør for: de typer af ydelser, der er leveret, når det er relevant de processer i både it- og manuelle systemer, der er anvendt til at igangsætte, registrere, behandle og om nødvendigt korrigere transaktionerne samt overføre disse til de rapporter, der er udarbejdet til kunder relevante kontrolmål og kontroller, udformet til at nå disse mål kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af brugervirksomheder, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen og rapporteringen af kunders transaktioner (ii) indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden fra 1. august 2014 til 31. januar 2015 (iii) ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne system under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt ved systemet, som den enkelte kunde måtte anse vigtigt efter deres særlige forhold de kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra 1. august 2014 til 31. januar Kriterierne for dette udsagn var, at: (i) (ii) (iii) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål, og kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra 1. august 2014 til 31. januar Silkeborg den 31. marts 2015 Med venlig hilsen Sotea ApS Jess Munch Teilmann Direktør REVI-IT A/S Side 3 af 46

4 Afsnit 2: Sotea ApS beskrivelse af kontrolmiljø for hostingydelse 0. Forord og introduktion SOTEA har det totale ansvar for drift af IT systemer for både danske og udenlandske virksomheder, og vores sikkerhed er derfor vedvarende i fokus. SOTEA sikkerhedspolitik beskriver de krav vi stiller til vores driftsmiljø, herunder de fysiske forhold, organisationen og diverse procedurer. Nærværende beskriver SOTEA s generelle forhold, og ikke specifikt på vores enkelte kunder. 1. Virksomheden og vores ydelser 1.1. Virksomheden: SOTEA blev etableret i 2000, af Bo Jensen og Jess Munch Teilmann. I 2005 begyndte vi at hoste IT og hosting er nu blevet vores kerneforretning I 2009 byggede vi vores eget datacenter. Vi levere i dag hosting til vores kunder, gennem et overskueligt og enkelt koncept, bestående af IT Hosting, kompromisløs support og løbende optimering I 2012 lancerede vi den såkaldte dynamiske aftale, der er unik på markedet. Vi analyserer løbende den enkelte kundes adfærd, forbrug og optimere aftalen, så vores kunder ikke betaler for noget, de ikke bruger Vi udvikler forsat vores produkt, men én ting ændre sig aldrig: At SOTEA altid vil levere løsninger der er brugbare, overskuelige og udviklet på brugernes præmisser Ydelser: Vores primære ydelser, som er omfattet af nærværende erklæring er: IT Hosting: Med en hosting aftale hos SOTEA betaler kunden et fast månedligt abonnement. Vores hosting aftale er fuldt dynamisk, og kan ændres efter behov, med måneds varsel. Der er altid adgang til sidste nye version af softwaren, som en del af aftalen. Derudover sørger SOTEA for at servere er sikkerhedsopdateret, samt varetager den løbende drift, også som en fast del af aftalen Kompromisløs Support: Alle vores aftaler er inklusive Kompromisløs Support, hvor alle slutbrugere må ringe/maile direkte til vores support uden at det koster ekstra. Lige fra printproblemer, over nulstilling af password, til oprettelse af SQL-databaser. Selv support af tredje parts programmer håndterer vores supportere, og hvis nødvendigt kontakter vi leverandøren for kunden, og får løst problemerne hurtigt Løbende Optimering: SOTEA giver dig et komplet overblik over din aftale hvert kvartal, sammen med din faktura. Hvor kunden kan se hvad der betales for. 2. Organisation og ansvar Direktionen: Direktionen har det overordnede ansvar for IT sikkerheden i SOTEA, og gennemgår denne 1 gange om året, i november måned. Ledergruppe: SOTEA s ledelse har det strategiske ansvar for SOTEA s vækst og videre udvikling, samt ansvaret for den daglige ledelse. Presales: Presales har ansvaret for at flytte nye kunder ind i vores hosting miljø. De har ansvaret fra kontrakten er underskrevet, og til kunden er i produktion. Referere til vores Adm. Direktør. Aftersales: Når kunden er implementeret, og gået i produktion, overtages kunden af aftersales, som er vores support funktion. Alle sager registreres i vores ticket system, og håndteres af vores firstlevel support, og eskaleres til secondlevel support/driftsafdelingen, hvis firstlevel support ikke kan løse opgaven. Derudover bidrager supporten i presales ved implementering af nye kunder, alt efter behov. Referer til vores Adm. Direktør. REVI-IT A/S Side 4 af 46

5 Drift: Har det overordnede ansvar for overvågning og drift af vores hosting miljø/datacenter, Driftsafdelingen fungerer også som secondlevel og thirdlevel support, samt bistår med implementering af nye kunder. Referere til vores Tekniske Chef. Sikkerhedsgruppe: Der er nedsat en sikkerhedsgruppe. Dette udvalg har ansvaret for at udarbejde SOTEA s IT sikkerhed, i forhold til dokumentation og implementering af procedurer. 3. Generelt om vores kontrolmål og implementering Vi har defineret vores kvalitetsstyringssystem ud fra vores overordnede målsætning om, at levere stabil, overskuelig, og sikker it-drift til vores kunder. For at kunne gøre det, er det nødvendigt, at vi har indført politikker og procedurer, der sikrer, at vores leverancer er ensartet og gennemsigtig. Vores it-sikkerhedspolitik er udarbejdet med reference til ovenstående, og er gældende for alle medarbejdere og for alle leverancer nævnt under afsnit 1.2. Ydelser. Vores metodik for implementering af kontroller er defineret med reference til ISO 27002:2005 (Regelsæt for styring af informationssikkerhed). 4. Risikovurdering og håndtering 4.1. It-risikoanalyse (bevis) Vi har procedurer for løbende risikovurdering af vores forretning og specielt vores IT Hosting Kompromisløs Support Løbende Optimering. Dermed kan vi sikre, at de risici, som er forbundet med de services og ydelser, vi stiller til rådighed, er minimeret til et acceptabelt niveau Der holdes et årligt review møde, hvor der foretages en risikovurdering jf. nedenstående punkt 4.2. Håndtering af sikkerhedsrisici. Efter dette møde foreligger der et skriftligt referat, som indeholder eventuelle ændringer i risikovurderingen, samt en handlingsplan for yderligere aktivitet. Derudover holdes der ½ årlige møde i sikkerhedsgruppen, hvor aktuelle og nye risici drøftes Procedure for risikohåndtering Vi har udarbejdet faste procedurer for behandling af risici, hvor der årligt afholdes en generel risikovurdering. Derudover er der en procedure for risikohåndtering/håndtering af sikkerhedshændelser, hvor risici kommunikeres til vores Tekniske Chef, eller Adm. Direktør, der indledningsvis tager stilling til risikoens omfang, og vurdere om der skal reageres øjeblikkelig, eller om det noteres til behandling på kommende ½ årlige møde i sikkerhedsgruppen. 5. Sikkerhedspolitik 5.1. Målsætning/formål TILGÆNGELIGHED - Opnå høj driftssikkerhed med høje oppetidsprocenter og minimeret risiko for større nedbrud og datatab INTEGRITET - Opnå korrekt funktion af systemerne med minimeret risiko for manipulation af og fejl i såvel data som systemer FORTROLIGHED - Opnå fortrolig behandling, transmission og opbevaring af data AUTENTICITET - Opnå en gensidig sikkerhed omkring de involverede parter UAFVISELIGHED - Opnå en sikkerhed for gensidig og dokumenterbar kontakt. 5.2 Omfang En informationssikkerhedspolitik, der godkendes af ledelsen En driftshåndbog, der uddyber informationssikkerhedspolitikken Sikkerhedsinstrukser og procedurer, som formuleres af respektive ejere ud fra krav og retningslinjer i driftshåndbogen REVI-IT A/S Side 5 af 46

6 ISAE 3402 erklæring fra REVI-IT Gyldighedsområde Politikken er gældende for alle SOTEA s it relaterede aktiviteter, nævnt under punkt 1.2. Ydelser Data, programmer og informationer 5.4. Organisation og ansvar: Der er nedsat en sikkerhedsgruppe, som har ansvaret for at udarbejde SOTEA s IT sikkerhed, i forhold til dokumentation og implementering af procedurer Beredskabsplanlægning: Skadebegrænsende tiltag Etablering af temporære nødløsninger Genetablering af permanent løsning Se Kapitel 14. Beredskabsstyring 5.6. Sanktioner: Medarbejdere, der bryder de gældende informationssikkerhedsbestemmelser i SOTEA, kan straffes disciplinært. De nærmere regler om dette fastsættes i overensstemmelse med den gældende personalepolitik under afsnittet Misligholdelse. 6. Organisering af informationssikkerhed 6.1. Intern organisering Ledelsens forpligtelse til informationssikkerhed Det er SOTEA s Adm. Direktør der har det overordnede ansvar for sikkerhedspolitikken, og herunder politikker og procedurer, og den Adm. Direktør der godkender opdateringer og tilføjelser hertil. Der foretages årligt review af sikkerhedspolitikken, og herunder politikker og procedurer Koordinering af informationssikkerhed Vi har defineret en sikkerhedspolitik der beskriver hvordan vi overordnet skal håndtere vores forretning og vores leverancer. Denne er tilgængelig på vores intranet, hvor alle medarbejdere løbende kan blive opdateret, samt slå op hvis der skulle opstå tvivl om vores politikker og procedurer Der er nedsat en sikkerhedsgruppe, der sikre at politikker og procedurer ajourføres og bidrager til optimering af det aktuelle sikkerhedsniveau. Dette gøres primært gennem den årlige review af sikkerhedspolitikken Delegering af ansvar for informationssikkerhed Det er den Adm. Direktør og Tekniske Chef der har ansvaret for at få gennemført specifikke politikker og procedurer Det er sikkerhedsgruppen der har ansvaret for udførelse af den årlige review, samt godkendelse af den endelige sikkerhedspolitik Godkendelsesproces for informationsbehandlingsfaciliteter Der er etableret processer for indkøb af hardware og software, og der skelnes mellem om indkøb er Primært (alt indkøb til installation i Datacenter og Backuplokation), sekundært (tynde klienter til kontor/sotea, perifert udstyr til kontor/sotea osv.) og indkøb til videresalg Fortrolighedsaftaler Der er etableret fortrolighed med alle medarbejdere igennem vores ansættelseskontrakter, samt via vores personalepolitik. REVI-IT A/S Side 6 af 46

7 Der er etableret fortrolighed med de primære eksterne partnere, gennem indgåelse af samarbejdsaftale, hvor SOTEA eller leverandøren gør opmærksom på at fortrolighed og tavshedspligt skal overholdes Kontakt med myndigheder Vi har ikke behov for løbende kontakt til myndighederne, i relation til informationssikkerhed. Hvis der skulle blive behov for kontakt til myndigheder, i relation til vores informationssikkerhed, eksempelvis kontakt til politi i forhold til røveri, hærværk, bedrageri eller anden kontakt til myndigheder, er det vores Adm. Direktør der har dette ansvar Kontakt med særlige interessegrupper Vi er som en del af vores drift registreret hos DK-CERT, og har løbende kontakt, minimum 1 gang årligt Uafhængig evaluering af informationssikkerhed Der foretages evaluering af en ekstern it-revisor, i forbindelse med udarbejdelse af den årlige ISAE 3402 erklæring Eksterne parter Identifikation af risici i relation til eksterne parter For hvert primære samarbejde har vi udarbejdet en risikovurdering for vurdering af risici, som samarbejde kan medføre i forhold til vores ydelse til kunderne, herunder sikkerheden hos de enkelte leverandører, dataudveksling, eksterne adgange m.m. Med primære samarbejde, menes samarbejde der vedrører vores installationer, hardware og software i Datacenter Sikkerhedsforhold i relation til kunder Vi har procedurer for implementering af nye kunder, samt tildeling af adgang og rettigheder for brugere/kunder på vores systemer Håndtering af sikkerhed i aftaler med tredjemand SOTEA varetager alle ydelser selv, så vi har ikke parter som er en integreret del af vores leverancer, jf. ydelser nævnt i afsnit 1.2. Ydelser. 7. Styring af informationsrelaterede aktiver 7.1. Ansvar for aktiver Fortegnelse over aktiver Vores netværk og miljø er komplekst med mange systemer og kunder, og for at sikre mod uvedkommende adgang, og for at sikre gennemskuelighed af opbygningen, har vi udformet en række dokumentation, der beskriver det interne netværk, med enheder, navngivning af enheder, logisk opdeling mv Ejerskab af aktiver Vi arbejder i SOTEA med ejerskab over aktiver for at sikre, at ingen enheder, systemer eller data bliver glemt i forhold til sikkerhedsopdateringer, backup, drift og vedligehold Klassifikation af information Retningslinier for klassifikation: Etablering og vedligeholdelse af klassifikation af informations aktiver skal være med til at sikre, at aktiverne til stadighed har det rette og passende beskyttelsesniveau. REVI-IT A/S Side 7 af 46

8 Der er i SOTEA dog tale om en yderst simpel klassifikation, da alle data som udgangspunkt er interne data som ikke skal deles med eksterne interesser Mærkning og håndtering af information Klassificeringen er dokumenteret og ajourføres minimum årligt. Vores kunders data, og vores egne data er klassificeret som klasse 3. Intern. Systemdata for netværk, logs af Administrator brugere, er prioriteret højst, herunder sikret betryggende, som klasse 2. Fortrolig. 8. Medarbejdersikkerhed Alle ansatte, uanset funktion, er i det følgende benævnt medarbejder, og er sammen med SOTEA s ydelser og service, SOTEA s største aktiver. De gældende regler for SOTEA s medarbejdere er angivet i Personalehåndbogen For at bevare og udbygge sikkerheden omkring SOTEA s informationsaktiver er det vigtigt, at der er fokus på informationssikkerhed under alle ansættelsesforløbets 3 faser (før ansættelser, under ansættelse og ved ansættelsens ophør) Inden ansættelse Der skal, i ansættelseskontrakten, tydeligt angives Stillings- og funktionsbeskrivelse, samt eventuelle særlige sikkerhedsmæssige opgaver og ansvar Under ansættelsesinterview skal ansøgeren informeres om hvilke sikkerhedsmæssige krav ansættelsesforholdet indebærer Generelle vilkår for ansættelse, herunder fortrolighed om egne og kunders forhold, er beskrevet i hver medarbejders ansættelseskontrakt Der indhentes ren straffeattest Under ansættelse Det er ledelsens ansvar at alle medarbejdere er bekendt med og efterlever den gældende SOTEA Sikkerhedspolitik, og de fastlagte retningslinier og procedurer SOTEA vil løbende afvikle aktiviteter og uddannelse med det formål at udbrede og forbedre viden og opmærksomhed omkring informationssikkerheden, og øge medarbejdernes evne til at imødegå eventuelle trusler Manglende overholdelse af aftalte og fastlagte regler, og politikker vil blive sanktioneret jf. Personalehåndbogen Ophør eller ændringer i ansættelse a. Ledelsen er ansvarlig for, at medarbejderen er informeret om de gældende regler ved og efter ansættelsesophør. b. Medarbejderen skal aflevere alle SOTEA s aktiver. Den ansattes nærmeste leder har ansvaret for at den ansatte aflevere nedenstående, den sidste arbejdsdag: a. Nøgler b. Adgangskort c. Kreditkort d. Mobiltelefon e. Bærbare pc f. Evt. andet udleveret udstyr c. Det skal sikres at alle medarbejderens adgangsrettigheder inddrages. Det skal afgøres, om det er nødvendigt at slette disse rettigheder, eller om det blot er tilstrækkeligt at spærre disse. De rettigheder, der skal spærres eller slettes, inkludere fysisk adgang, samt adgang til systemer. REVI-IT A/S Side 8 af 46

9 9. Fysisk sikkerhed 9.1. Sikre områder SOTEA har eget datacenter placeret i IT-Huset ved Ferskvandscentret. Alene autoriserede personer får adgang til lokaler via den etablerede procedure. Skal eksterne personer have adgang til lokalet, er det i følgeskab med en af vores autoriserede medarbejdere, medmindre der er indgået særskilt aftale om selvstændig adgang via nøgle og kode. Eksterne service tekniker vil efter aftale blive låst ind af SOTEA, der også sørger for at der bliver aflåst igen. Adgang til datacenter kan kun ske vha. elektronisk kodet nøgle og PIN-kode der er udleveret efter aftale og som kræver underskrift af de enkelte personer. I datacenter er der monteret tyverialarm, i tilfælde af indbrud alarmeres den private vagtcentral, og vagtcentral ringer til SOTEA medarbejder jf. prioriteret liste udleveret til vagtcentral - der sendes vagt så snart alarm går. Der er ligeledes monteret brandslukningsudstyr/energen anlæg, som tilsvarende vores tyverialarm er koblet op på vagtcentral. Der er andre alarmer i form af fejl på UPS, Køleanlæg og temperatur, hvor der ved fejl sendes SMS til den Tekniske Chef og Direktøren, samt mail til [email protected], hvor der automatisk bliver oprettet en ticket på alarmen, som så håndteres af SOTEA support. Vi anvender til sikring af driftsfaciliteterne køle- og brandanlæg, der periodisk testes og serviceres. Som med tyveri er den private vagtcentral også her tilkoblet og i tilfælde af alarm vil relevante personer hos SOTEA blive notificeret Sikring af udstyr Vores centrale netværksudstyr samt kundernes servere, som har etableret aftale om placering af udstyr hos os, og andet udstyr er, fysisk placeret i aflåst lokale, som har monteret køling og brandslukning mv. Til sikring af forsyning af elektricitet til DC i forbindelse med strømudfald er der monteret UPS og diesel generator. Dette setup er anslået til at kan køre i 6 timer på en fuld tank. En gang i måneden tester vi UPS og generator og en gang årligt udføres der service af ekstern service tekniker. 10. Styring af netværk og drift Operationelle procedurer og ansvarsområder Dokumenterede driftsprocedurer Det er i vores organisation ikke muligt at have 100% overlap på alle opgaver, systemer og kompetencer. Vi sikre, så vidt det er muligt, at alle medarbejdere, nye som gamle, kan arbejde på vores systemer, uden stor operationel og historisk erfaring. Dette via dokumentationer og procesbeskrivelser, af de mest vitale opgaver, systemer og kompetencer. Det vil dog altid være opgaver, systemer og kompetencer, som kræver en vis ekspertise og historisk erfaring, hvor opgave kun kan foretages af enkelte nøglemedarbejdere, eller eksterne kompetencer. Vi forsøger dog at sikre denne personafhængighed, så vidt det er muligt, med dobbeltroller på udvalgte systemer. Dobbeltroller kan både være i forhold til intern medarbejder, og ekstern partner/kompetence Ændringsstyring Vi har defineret en proces for ændringshåndtering for at sikre, at ændringer sker efter aftale med kunder, tilrettelægges hensigtsmæssigt i forhold til interne forhold, håndteres så de er til mindst mulig gene for kunden og vores drift generelt. Ændringer sker alene baseret på en kvalificering af opgaven, kompleksiteten, og vurdering af påvirkning af kunder, og andre systemer. REVI-IT A/S Side 9 af 46

10 Vi har en standard projektmodel, til styring/håndtering af ændringer, som er inddelt i en række faser, der som minimum indeholder en foranalyse/beskrivelse fra kunde, løsning, test og implementering. Der skelnes mellem om det er en minor eller major change, jf. nedenstående definition: Major Change: Opgaver med høj risiko, af en vis størrelse, som er væsentlige ændringer i vores generelle driftssystemer som påvirker flere kunder, kræver godkendelse af vores Tekniske Chef eller Driftschef (eks. ændring, afvikling eller anskaffelse af nyt SAN, VMM, netværk, SOTEA forretningsapplikation m.m.). Minor Change: Opgaver med lav risiko, som er opgaver vi udfører ofte, og som typisk kun vil berøre en enkelt kunde, kan udføres af alle support medarbejdere med respektive rettigheder til at udføre opgaven (eks. installation af program på kundeserver, genstart af kundeserver, ændring af rettighed på kundeserver m.m.). Derudover skelnes mellem følgende opgaver, under ændringsstyring: Ændringsanmodning/Change: Når en kunde beder om at få lavet en ændring på kundens server, kundens firewall, eller få genstartet en server, få installeret et program, eller andet system som dedikeret er kundens, eller kunden ønsker ændring i vores delte ressourcer, SAN, Exchange, Netværk, Filserver m.m. Sikkerhedshændelse/Incident: En sikkerhedshændelse er en hændelse med negativ virkning på vores sikkerhedsniveau. En hændelse medfører ikke nødvendigvis skade i alle tilfælde (f.eks. en branddør i serverrum som står åben). Hændelsen kan ske forsætligt eller uforsætligt. Sikkerhedshændelser skal løbende vurderes, og skal som minimum gennemgås ved de ½ årlige møder i Sikkerhedsgruppen. Internt projekt: Dette er ændringer som ikke involvere kunder, men er rene interne projekter, så som installation af ny hardware i DC, nyt SAN, opgradering af Exchange, indsætte en ny host m.m. Kunde Implementering: Ved implementering af ny kunde, eller eksisterende kunde der skal have flere ydelser, er der defineret projektforløb til gennemførelse af dette. Opgaver af en vis størrelse, som er væsentlige ændringer i vores generelle driftssystemer på tværs af kunder, kræver godkendelse af vores Tekniske Chef eller alternativt vores Adm. Direktør Funktionsadskillelse Vores dokumentationer og processer generelt sikrer, at vi udelukker eller minimere nøglepersonafhængighed. Funktionsadskillelse er en vigtig del af vores organisation og drift, hvorfor vi, via adgangskontroller og rettighedsstyring, sikre, at kun autoriseret personale kan udføre de nødvendige handlinger på systemer og data. Her opdeles medarbejdere i: Administrativ First level support Second level support Third level support Vi har adskilte miljøer til test/udviklingsmiljø og produktion. Miljøerne er adskilte logisk, med et test-/udviklingsmiljø og et produktionsmiljø. Vi har med ovenstående Funktionsadskillelse etableret de nødvendige adgangskontroller for at sikre, at kun autoriseret personale kan tilgå vores produktionsmiljø. Vores test-/udviklingsmiljø er ikke vitalt, og der ligger ikke vitale data, så dette kan alle der har et behov tilgå, og dette uden risiko for at forstyrre vores produktionsmiljø og driften af vores kunder. REVI-IT A/S Side 10 af 46

11 10.2. Styring af serviceydelser fra tredjepart Overvågning og evaluering af serviceydelser fra tredjepart Vi har procedure der sikre at aftalte leverancer fra tredjepart gennemføres jf. aftale, her tænkes specielt på årlige service eftersyn, samt hvis der skal indhentes revisorerklæringer hos tredjepart Styring af ændringer af serviceydelser fra tredjepart Når der sker ændringer til vores ydelser fra vores eksterne samarbejdspartnere, ved fremsendelse af ny partneraftale, eller andre forhold som kan have indflydelse på vores aftale med kunderne, er der procedure for at sikre at vi forholder os aktivt til disse ændringer, og deres konsekvens for vores generelle forretningsbetingelser Systemplanlægning og systemaccept Kapacitetsstyring Det påhviler Driftschefen at overvåge ressourceforbruget indenfor vedkommendes ansvarsområde, og løbende at udarbejde udviklingsprognoser således at de nødvendige og tilstrækkelige ressourcer er til rådighed. Dette primært i forhold til om vores kunders, og egne systemer performer som de skal, samt at der er de nødvendige ressourcer til rådighed Systemaccept Når vi opsætter nye servere, ved eksisterende såvel som nye kunder, foretages en generel test af SO- TEA, hvorefter kunden tester og godkender, hvorefter server sættes i drift. Se i øvrigt afsnit Ved installation af programmer/systemer på kunders servere, er det op til den enkelte kunde samt evt. tredjepart at foretage systemaccept Beskyttelse mod skadevoldende programmer og mobilkode Foranstaltninger mod skadevoldende kode Alle servere i SOTEA driftsmiljø, skal være udstyret med opdateret og aktivt antivirusprogram. Alt elektronisk trafik ( , downloads o.l.) skal scannes for at sikre imod malware. Til sikring imod smitte og angreb fra de ydre net, skal alle net være beskyttet af vedligeholdt og overvåget firewall. Opdatering af firewall er dokumenteret via vores normale change procedure. Herudover er vores kundesystemer sikret mod at de selv kan installere programmer. Dog kan der gives tilladelse til at kunder kan have lokale administratorret, dette skal dog skriftligt aftales, hvor SO- TEA gør opmærksom på risikoen herved, samt ansvarsfraskrivelse fra SOTEA s side Foranstaltning mod mobil kode Browsere skal væres opsat på en sikker måde, og automatisk eksekvering af kode som ActiveX og Java Appletts skal være deaktiveret. Det er, som udgangspunkt, ikke muligt for kunder at installere programmer på deres servere Sikkerhedskopiering (Backup) Vi sikre at kunne genskabe systemer og data på hensigtsmæssig og korrekt vis, og efter de aftaler, vi har med vores kunder. Omfanget af backup er formelt beskrevet i vores aftale med kunderne. Vi har etableret en testplan for verificering af hvorvidt sikkerhedskopieringen fungere samt en test af hvordan systemer og data praktisk kan reetableres. Der føres log over disse tests således at vi kan følge op på om vi kan ændre på procedurer og processer for at højne vores løsning. REVI-IT A/S Side 11 af 46

12 Med mindre andet er aftalt med vores kunder, foretager vi sikkerhedskopiering af hele deres miljø hos os. Vi foretager sikkerhedskopiering af vores egne systemer og data på samme vis, som vores kunders systemer og data. Vi har udarbejdet faste procedurer og beskrivelser for opsætning og vedligehold af backup. Hver nat føres en fuld kopi af data fra SOTEA Datacenter I til SOTEA Backuplokation (co-location) ved hjælp af vores backup-system. Dermed er data fysisk separeret fra vores driftssystemer. En ansvarlig medarbejder sikrer herefter, at sikkerhedskopieringen er sket, foretager det fornødne, hvis jobbet er fejlet, og herefter logger dette Styring af netværkssikkerhed Netværksforanstaltninger SOTEA anvender elektroniske netværk, både kablede og trådløse, dog er det trådløse netværk ikke logisk forbundet med vores driftsnet, og det trådløse netværk er ikke vitalt for vores drift. Vi er yderst afhængige af et velfungerende og sikkert kablede netværk, i forhold til alle vores systemer. Beskyttelse af netværket skal afstemmes efter de resultater vores årlige risikovurdering giver, således at der er den nødvendige og tilstrækkelige sikkerhed ved anvendelsen af nettet. It-sikkerheden omkring systemers og datas ydre rammer, er netværket mod internettet. Vi mener at have sikret data og systemer, både på det interne netværk, såvel som det ydre værn mod uvedkommende adgang, hvilket er af højeste prioritet hos os. Det ydre værn er primært beskyttet af en firewall, som løbende bliver opdateret og vedligeholdt. Ansvaret for netværk og netværkssikkerhed ligger hos vores Driftschef, og der er udarbejdet procedurer, vejledninger og dokumentation til anvendelse i forbindelse med drift og vedligehold af netværk Sikring af netværkstjenester Adgang til vores systemer fra vores kunder, sker enten via en offentlig internet forbindelse, hvor adgang sker via krypteret TSG adgang eller via konfigureret VPN tunnel til kundens lokation/firewall, eller adgang via MPLS/Punkt til punkt forbindelse. Adgang mellem SOTEA Datacenter I og SOTEA Backuplokation sker via SOTEA s egen sorte fiber, hvor der er SOTEA udstyr i begge ender. Alene godkendt netværkstrafik (indgående) kommer gennem vores firewall. Vi er ansvarlige for driften og sikkerheden hos os, dvs. fra og med systemerne hos os og ud til internettet (eller MPLS/Punkt til punkt). Vores kunder er selv ansvarlige for at kunne tilgå internettet fra egen lokation Mediehåndtering Styring af bærbare medier Vi sikre, i bedst muligt omfang, vores medarbejderes bærbare udstyr såsom bærbare pc, PDA, mobiltelefon og lign. Dog er ingen medarbejderes udstyr koblet i domæne, så alt adgang foregår via Fjern Skrivebord/RDP, så der vil aldrig ligge vitale data på deres PC ere, PDA eller mobiltelefoner, udover mail. Vi anbefaler at der etableres et login på vores bærbare udstyr, samt at der installeres antivirus Bortskaffelse af medier Alt databærende udstyr, destrueres inden bortskaffelse for at sikre, at data ikke er tilgængeligt. Der er udarbejdet vejledninger som sikre, at data på medierne ikke kan genskabes. REVI-IT A/S Side 12 af 46

13 Procedure for håndtering af informationer Vi skal sikre, at vores og vores kunders systemer og data beskyttes. Vi håndterer derfor ikke kunders data på håndbårne medier (USB, CD/DVD, flytbare diske) uden forudgående aftale med kunderne. Vores og vores kunders data, på bærbare medier skal være beskyttet betryggende mod brud på informationssikkerheden, eksempelvis ved anvendelse af kryptering. Faren for tab af data ved brug af kryptering, når krypteringsnøgle mistes, skal forebygges ved at data opbevares på andet sikkert medie, eks. hos kunden eller hos SOTEA, og ansvaret for dette er data ejers Sikring af systemdokumentation Vores dokumentation er naturligvis vigtig for os, og på alle måder fortroligt ift. omverdenen. Vores dokumentation ligger i vores SharePoint system, hvor der er påkrævet login med bruger og password, samt tildeling af rettigheder i forhold til hvad bruger/medarbejder må/skal tilgå af dokumentation. Der tages daglig backup af alt dokumentation, og derudover gemmes primær dokumentation i Excelfiler hvert ½ år Informationsudveksling Politikker og procedurer for informationsudvekling Ekstern datakommunikation, sker alene via mails, idet vores kunders adgang og brug af vores servere, ikke betragtes som ekstern datakommunikation. Førstegangskodeord til kundesystemer fremsendes via mails, men disse skal ændres ved første logon. Glemte kodeord, personoplysninger, ændring i rettigheder, bestillinger m.v. håndteres via telefon eller pr. mail, og hvis kunden har bedt om at det er specifikke personer hos kunden der skal godkende dette, skal godkendelse ske inden ændring via telefon eller mail, ellers kan ændring foretages når medarbejder har forventning om at det er den rette person, vi har kontakt til. Print eller kopier af fortrolige og følsomme oplysninger må ikke ligge i printerens eller kopimaskinens udbakke, men skal afhentes med det samme efter igangsætning af print. Faren for at røbe fortrolige eller følsomme oplysninger, enten via telefonsamtaler i det offentlige rum, eller ved at koble mobilt udstyr til offentligt tilgængelige netværk, er store og skal modvirkes ved at være meget opmærksomme på faren, og undlade disse handlinger hvor det er muligt Udvekslingsaftaler Ved faste eller jævnlige udvekling af informationer skal der indgås klare aftaler til sikring af oplysninger. SOTEA har pt. ingen fast udvekling med nogen interessenter Fysiske medier under transport Forsendelse af fysiske medier (bånd, diske, CD, DVD og lignende) skal ske med pålidelig og troværdig transportør (herunder UPS, GLS, Budstikken, Post Danmark m.m.). Fortrolige og følsomme data på medierne skal være sikret på bedst mulig måde, ligesom der skal foreligge en sikret backup til beskyttelse imod tab og bortkomst Elektroniske meddelelser Brug af til kommunikation og til udveksling af data via vedhæftede filer er udbredt og uundværligt. Regler for brug af fremgår af SOTEA Personalepolitik Overvågning Auditlogning (opfølgningslogning) Vi har opsat overvågning og logning af netværkstrafik, og vores driftsafdeling følger dette. Vi foretager ikke proaktiv overvågning af logførte hændelser, men vi følger op såfremt vi mistænker at en hændelse kan relatere til forhold afdækket i log. REVI-IT A/S Side 13 af 46

14 Til styring af overvågning og opfølgning på hændelser, har vi implementeret formelle incident og problem management procedurer til sikring af, at hændelser registreres, prioriteres, styres, eskaleres og at der foretages de nødvendige handlinger Overvågning af systemanvendelse. Vores driftsmedarbejdere foretager den daglige overvågning af vores systemer via automatiserede systemer til måling af grænseværdier. Der sker en alarmering via SMS og/eller mail såfremt kritiske hændelser konstateres, og vi gør sådan fordi vi skal sikre vores kunders data fortroligheden heraf, samt vores kunders oplevelse i forhold til performance og tilgængelighed. Til styring af overvågning og opfølgning på hændelser, har vi implementeret formelle incident og problem management procedurer til sikring af, at hændelser registreres, prioriteres, styres, eskaleres og at der foretages de nødvendige handlinger. Hændelser for login og logout på vores platforme logføres. Væsentlige interne brugerkonti overvåges for login og udvalgte aktiviteter. Udover logning af login har vi udarbejdet en logstrategi for hvilke hændelser og brugeraktiviteter, som logges. Logningsstrategien er udarbejdet med udgangspunkt i en vurdering af systemets eller aktivets betydning for SOTEA og SOTEA s kunder, samt risikoen for at hændelsen indtræffer. Vi foretager ikke proaktiv overvågning af logførte hændelser, men vi følger op såfremt vi mistænker at en hændelse kan relatere til forhold afdækket i log Beskyttelse af logoplysninger Logs må kun kunne tilgås af autoriseret personale. Der skal for hver log være procedurer for håndteringen af loggen, og oplysningerne i denne. Rettelse i logs må ikke foretages Administrator- og operatørlog Logning af administratorer sker i forbindelse med den almindelige logning Fejllogning Vi logger på både succesfulde og fejlede handlinger på udvalgte hændelser Alle servere bliver løbende synkroniseret med tiden på en fælles tids server. 11. Adgangsstyring Forretningsmæssige krav til adgangsstyring Politikker for adgangsstyring Vi har politik for adgangstildeling. Politikken er en del af vores it-sikkerhedspolitik. Tildeling af udvidede adgangsrettigheder må alene ske ud fra en arbejdsmæssig begrundelse, efter at den nødvendige autorisation foreligger, og der skal til stadighed findes en ajourført fortegnelse over de tildelte rettigheder Administration af brugeradgange Brugerregistrering Vores kunders brugere oprettes alene på baggrund af vores kunders ønsker, og oprettes af vores support. Der skal foreligge mail som dokumentation for oprettelse af en bruger for en kunde. Vores egne brugere oprettes alene på baggrund af autorisation fra vores Tekniske Chef eller Adm. Direktør. Ved fratrædelse sikre vores procedurer aflevering af materiel og lukning af medarbejderens konti. REVI-IT A/S Side 14 af 46

15 Adgang til systemer og data fjernes alene på baggrund af skriftlig ønske fra kunde, system- eller dataejer. Alle brugere skal være personhenførbare, dvs. have tydligt mærke med personnavn. Er der tale om servicebrugere, altså konti som alene benyttes systemmæssigt, er muligheden for egentlig logon inaktiveret, så vidt det er muligt. Der er dog tilfælde hvor kunder har oprettet konti til deres tredjeparts leverandører, hvor disse brugere har adgang til kundens server, men hvor brugernavn er en generel betegnelse, eller leverandørens navn, da der kan være flere personer fra leverandøren der bruger samme konto, dette grundet kunden afregnes pr. bruger pr. måned Administration af privilegier Tildeling af privilegier, og rettigheder, er kontrolleret i forbindelse med vores normale brugeradministrations proces Administration af brugeradgangskoder (password) Anvendelse af password er kontrolleret via regler implementeret automatisk ved hjælp af GPO og lignende Evaluering af brugeradgangsrettigheder Vi udfører periodisk efterkontrol af vores brugere og tildelte privileger og rettigheder. Laves ved stikprøver i udtræk fra vores AD, hvor rettigheder på kunder og medarbejdere gennemgås - dette foretages minimum 1 gang årligt Brugeransvar Brug af adgangskoder Vores it-sikkerhedspolitik foreskriver, at vores medarbejderes kodeord er personlige, og det er alene brugeren selv, der må kende kodeordet. Medarbejdere skriver årligt under på, at de har læst og forstået seneste version af vores sikkerhedspolitik. Da vi har en del brugere, såsom service accounts og lign., som ikke kan bruges til at logge på med, og af systemmæssige årsager ikke skifter passwords, har vi et system til opbevaring af disse passwords. Kun autoriseret personale har adgang til systemet. Krav til disse passwords er højere end vores almindelige passwordpolitik Brugerudstyr uden opsyn SOTEA har en politik omkring passende beskyttelse af udstyr uden opsyn, så som computere og mobilt udstyr Politik for ryddeligt skrivebord og blank skærm Ryddeligt skrivebord: i. Papir eller andre flytbare medier, der indeholder følsomme eller forretningskritiske informationer, så som aftaler, kontrakter udskrift af kundedata, eller andet fortroligt materiale, må ikke ligge fremme på skrivebordet, så uvedkommende kan få adgang til dette. ii. Medier, som indeholder følsom data, bør straks fjernes fra printere, og kopimaskiner. Blank skærm: i. Aktive sessioner skal afsluttes, når bruger er færdig. ii. Der skal logges af applikationer og netværkstjenester, når de ikke længere bruges Styring af netværksadgang Autentifikation af brugere med ekstern forbindelse REVI-IT A/S Side 15 af 46

16 Adgang til vores netværk og dermed potentielt til vores og vores kunders systemer og data, skal kun ske for autoriserede personer Identifikation af udstyr i netværk Vi har dokumenteret vitalt udstyr i vores datacenter, så som servere, disksystemer, switche og andet vitalt netværksudstyr Beskyttelse af fjerndiagnose- og konfigurationsporte Fysisk: Alle netværksenheder er installeret i aflåste rum i datacenteret, hvor der kun er adgang for SOTEA personale. Logisk: Adgang til netværksenheder og administration heraf, kan kun ske fra management netværket. Det er et ikke-routningsnetværk, og der er kun adgang til netværket fra vores overvågningsserver Opdeling af netværk Alle netværk har deres eget VLAN og der routes kun mellem de 2 produktionsnetværk. Alle netværk styres direkte, eller indirekte af firewallen Styring af netværksforbindelser Alle indadgående og udadgående forbindelser bliver styret i vores firewall: Største delen af kunderne har side to side vpn til produktionsnetværket, hvor de kan tilgå deres server via RDP. Enkelte kunder kan have adgang til andre services, hvilket er dokumenteret i vores Firewall. Kunder, der ikke har vpn, kan komme på deres server med RDP via en hertil dedikeret gateway server med SSL og bruger godkendelse. Vi har ikke installationer på WAN netværk, som vores infrastruktur er direkte afhængig af, derfor kan alt styres med vores firewall, samt interne autentifikation regler. Ligeledes benytter vi os ikke af multiple domain strukturer hvorved en/- eller tovejs domain trust ville være nødvendig Styring af netværks-routning Se punkt Styring af adgang til driftssystemer Procedure for sikker log-on Alle SOTEA systemer tilgås via Terminal Service, og adgang til SOTEA systemer sker ved at tilknytte rettigheder til den enkelte konto, der entydigt er udpeget af kombinationen bruger-id og password. Adgang tildeles og administreres af SOTEA support Identifikation og autentifikation af brugere Alle brugere oprettes på baggrund af en skriftlig forespørgsel, fra en kunde hvis en kundes bruger, eller fra Tekniske Chef eller Adm. Direktør hvis ny medarbejder. Med angivelse af fulde navn, mailadresse, samt hvilke privilegier og rettigheder brugeren skal have System for administration af adgangskoder Alle brugere på tværs af både kundesystemer og egne systemer, har restriktioner omkring adgangskode. Alle brugere har en adgangskode, og det er systemmæssigt sat op således, at der er begrænsninger ift. udformning af kodeord. Kodeordet skal skiftes regelmæssigt, være komplekst, og brugeradgange inaktiveres automatisk hvis brugeren ikke har skiftet kodeordet inden for det definerede tidsrum. Passwords på domænet er kontrolleret via GPO regler defineret i AD. Systemer, som ikke er en del af AD, som alle er sekundære systemer, er ikke underlagt samme restrektioner, og der er ikke krav om REVI-IT A/S Side 16 af 46

17 skift af password Begrænsning af forbindelsestid Udover skærmlås har vi, for medarbejdere/interne brugere, sat timeout på RDP/Terminal Service efter 1 time Styring af adgang til forretningssystemer og information Begrænset adgang til informationer Vores medarbejdere er opsat med differentieret adgang, og har således alene adgang til de systemer og til de data, som er relevant for deres arbejde. Vores kunders brugeradgang til kundens systemer og data, bestemmes af vores kunder. Alle medarbejdere skal som udgangspunkt kunne tilgå alle data som vedrøre vores dokumentation af systemer, samt dokumentation af kunde aftaler og kunde systemer. Økonomisystem kan tilgås af administrativt personale, og ledelsesdata kan kun tilgås af ledelsen. Derudover er der restriktioner på hvilke vitale systemer respektive medarbejdere kan tilgå, så som SQL databaser, Exchange system, AD, SAN m.m Isolering af følsomme systemer Vi sikre ikke særligt følsomme data, alle data behandles på samme måde i vores systemer, jf. vores itsikkerhedspolitik Mobilt udstyr og fjernarbejdspladser Mobilt udstyr og kommunikation Vi har en politik i SOTEA, hvor det ikke er tilladt at have kunde data eller andre følsomme data på mobilt udstyr, med mindre der foreligger accept fra kunde eller SOTEA ledelse. Mobilt udstyr er ikke i domæne, og alt adgang til SOTEA systemer foregår via RDP adgang. Så der stilles ikke særlige krav til sikring af mobilt udstyr. Vi har åbnet adgang til, at vi og vores kunder kan benytte mobile enheder (smartphones, tablets m.m.) og bærbare PC ere, til synkronisering af mails og kalender. Ud over bruger-id og adgangskode via AD, har vi ikke implementeret andre sikkerhedsforanstaltninger til sikring af disse enheder, og disses brugeradgang Fjernarbejdsplads Adgang til vores netværk og dermed potentielt til systemer og data, sker kun for autoriseret personer. Hjemmearbejdsplads for vores medarbejdere er sikret via krypteret TSG-forbindelse, hvor bruger skal have bruger-id og password for at logge på. 12. Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer Sikkerhedskrav til informationssystem Analyse og specifikation af sikkerhedskrav SOTEA s anskaffelse, udvikling og afvikling af informationsbehandlingssystemer, følger regler og procedurer jf. punkt Ændringsstyring. Informationsbehandlingssystemer omfatter styresystemer, infrastruktur, forretningssystemer (såvel egenudviklede som færdige standard-systemer), brugerudviklede systemer og tjenesteydelser Korrekt informationsbehandling i forretningssystemer Validering af inddata REVI-IT A/S Side 17 af 46

18 Hvis der foretages ændringer til forretningssystemer eller applikationer, skal der i detaljer beskrives hvad der er ændret, samt hvordan ændringer skal håndteres af medarbejdere, i forhold til at sikre validering af ind- og uddata. Der er ikke behov for yderligere kontrol, end den der foregår i den daglige brug af vores systemer Styring af intern informationsbehandling Der er ikke behov for yderligere kontrol, end den der foregår i den daglige brug af vores systemer Meddelelsers integritet Vi sikre kommunikation imellem eksterne systemer, laptops og hjemmearbejdspladser, og vores systemer ved hjælp af VPN-tunneler, MPLS/punkt til punkt og TSG forbindelser Validering af uddata Hvis der foretages ændringer til forretningssystemer eller applikationer, skal der i detaljer beskrives hvad der er ændret, samt hvordan ændringer skal håndteres af medarbejdere, i forhold til at sikre validering af ind- og uddata. Der er ikke behov for yderligere kontrol, end den der foregår i den daglige brug af vores systemer Kryptografi Politik for anvendelse af kryptografi Vi anvender kun standard kryptering, hvor krypteringsnøgler ligger dokumenteret i firewalls og klienter. Vi vurdere der ikke er behov for yderligere dokumentation i forhold til kryptografi Administration af nøgler Vi anvender kun standard kryptering, hvor krypteringsnøgler ligger dokumenteret i firewalls og klienter. Vi vurdere der ikke er behov for yderligere dokumentation i forhold til kryptografi Sikring af systemfiler Styring af software på driftssystem Vi sikre at der alene installeres godkendte og testede opdateringer på vores systemer. Ydermere sikre vi at kritiske opdateringer ikke bliver mere end 6 måneder gamle, før de installeres. Vores politik i forhold til opdatering af software, gælder kun software som er lejet/ejet af SOTEA, og software som SOTEA har det fulde ansvar for, og dermed ikke kundens eget software. Vores driftssystem består af en kompleks konfiguration, og når vi planlægger ændringer heri selv når disse er af mindre karakter, men som kan have en væsentlig påvirkning drøftes det internt på supportmøder. Først herefter foretages ændringen, og hvis det er major change, skal disse godkendes af ledelsen. Ændringen sker i vores fastsatte, eller udmeldte, servicevinduer.vi planlægger samtidig et fallback scenarie hvor det er muligt, og vi beskriver dels ændringen og opdaterer vores dokumentation. Vi anvender samme procedure for ændringer, om de er bestilt af vores kunder eller interne ændringer. Patches og andre opdateringer til systemer og databaser styres ligeledes efter samme procedure Sikkerhed i udviklings- og hjælpeprocesser Procedurer for styring af ændringer Se afsnit Ændringsstyring i vores kontrolbeskrivelse Teknisk gennemgang af forretningssystemer efter ændringer i operativsystemer Se afsnit Ændringsstyring i vores kontrolbeskrivelse. Hvis der opstår problemer med forretningssystemer efter opdatering af OS, som ikke er fundet i en evt. test, vurderes disse i evaluering, og håndteres efterfølgende. Der er ikke ekstraordinære kontroller eller processer i forhold til dette. REVI-IT A/S Side 18 af 46

19 Begrænsning af ændringer af softwarepakker Se afsnit Styring af software på driftssystem i vores kontrolbeskrivelse. Vi installere kun kritiske sikkerhedsopdateringer, der er godkendt af leverandører. Hvis der skal installeres yderligere opdateringer, vil dette være på opfordring fra de enkelte kunder, eller hvis vi internt har opdateringer der kræves installeret Lægkage af informationer Vi sikre lægkage af informationer ved bruger-id og password, samt tildeling af privilegier og rettigheder, samt igennem vores it-sikkerhedspolitik generelt Styring af teknisk sårbarhed Styring af tekniske sårbarheder Den Tekniske Chef eller Driftschefen godkender idriftsættelsen af nye it-systemer og nye versioner og opdateringer af eksisterende it-systemer, samt de afprøvninger, der skal foretages, inden de kan godkendes og sættes i drift. SOTEA bliver oplyst omkring sikkerhedssvagheder igennem medlemskab af DK-CERT, samt igennem anvendelse af WSUS. Derudover bliver medarbejdere aktivt opfordret til, at søge informationer omkring sikkerhedssvagheder på forskellige fora, eller generelt være opmærksomme på hvad man hører og ser gennem vores personalehåndbog. Den Tekniske Chef eller Driftschefen skal sikre, at det løbende vurderes, om der er behov for at installere rettelser til operativsystemer i SOTEA s driftsmiljø. Opdateringer kategoriseret som kritiske af software leverandører, skal installeres inden for 2 måneder fra frigivelses dato. Herunder kun software som SOTEA har det fulde ansvar for, og som er en del af SOTEA ydelse. Den Tekniske Chef eller Driftschefen skal sikre, at det løbende vurderes, om større operativsystemopdateringer og programpakkeopdateringer (service packs) skal installeres i SOTEA driftsmiljø. 13. Styring af sikkerhedshændelser Kritiske sikkerhedshændelser, løses her og nu. Eks. hacker-/virus angreb, eller andet vi vurdere som sikkerhedshændelse Rapportering af informationssikkerhedshændelser og svagheder Rapportering af informationssikkerhedshændelser Vores support system, hvori vi håndtere langt de fleste sager for kunder og interne forhold, er samtidig vores system til håndtering af sikkerhedshændelser. Heri kan vi eskalere forhold således, at opgaver får højere prioritet end andre. Herudover vil sikkerhedshændelser afstedkomme fra hhv. egne observationer, alarmering ud fra log- og overvågningssystemer, telefonisk henvendelse fra kunder, underleverandører eller samarbejdspartnere, blive eskaleret fra vores support til driftsafdelingen med samtidig orientering til ledelsen. Vi har etableret kontakt til hotline hos DK-CERT, hvor vi gensidigt har aftale om orientering ved væsentlige sikkerhedsrelaterede forhold vedrørende internettrafik Rapportering af sikkerhedssvagheder Vores medarbejdere er forpligtet til at anmelde enhver sikkerhedshændelse til nærmeste leder, så der hurtigst muligt kan reageres på hændelser, og nødvendig tiltag kan udføres jf. de etalerede procedurer Styring af informationssikkerhedsbrud og forbedringer Ansvar og procedurer Alle medarbejdere er forpligtet til at holde sig opdateret vha. producenters supporthjemmesider, debatfora, DK-CERT, reagere på alarmer fra vores systemer, leverandører, samarbejdspartnere mv. for at konstatere svagheder REVI-IT A/S Side 19 af 46

20 De skal informeres om, og skal følge de gældende regler og forretningsgange for rapportering af sikkerhedshændelser. Der er formelt udpeget systemansvarlige, og kravene til de systemansvarlige er klart og formelt defineret. Det er den systemansvarliges ansvar at udarbejde og vedligeholde procedurer, som sikre rettidig og korrekt indgriben i forbindelse med sikkerhedsbrud. Systemansvarlige er Teknisk Chef og Adm. Direktør, som har det overordnede ansvar for at procedurer, til håndtering af sikkerhedshændelser, udarbejdes og vedligeholdes løbende. Alle sikkerhedshændelser skal som minimum gennemgås og evalueres ( i forhold til vores generelle risikovurderingsmodel), på de ½ årlige møder i sikkerhedsgruppen, og hvis der er alvorlige trusler skal disse evalueres med det samme At lære af informationssikkerhedsbrud Alle sikkerhedshændelser gennemgås til den årlige risikovurdering, og på baggrund af konklusionen på vores analyse og evaluering, opdatere vi vores it-sikkerhedspolitik, og andre relevante dokumenter Indsamling af beviser Indsamling af beviser, er en del af vores rapportering, og efterfølgende evaluering. 14. Beredskabsstyring Informationssikkerhedsaspekter ved beredskabsstyring Inddragelse af informationssikkerhed i beredskabsstyringsprocessen Kontrollen er indført for at sikre, at der udarbejdes og vedligeholdes en styres proces til beredskabsstyring i SOTEA, som omhandler alle de krav til vores informationssikkerhed der er nødvendig, for at kunne opretholde SOTEA s fortsatte drift Beredskab og risikovurdering Vi har udarbejdet en beredskabsplan som omfatter it-systemer og processer på alle niveauer. Beredskabsplanen er forankret i it-risikoanalysen og vedligeholdes minimum årligt, i forlængelse af udførelsen af vores generelle it-risikoanalyse Udvikling og implementering af beredskabsplaner indeholdende stillingtagen til informationssikkerhed Sikkerhedsgruppen er ansvarlig for at SOTEA s informationssikkerhedspolitik, og at de givne retningslinier og vejledninger efterleves. Desuden skal sikkerhedsgruppen sikre den løbende vedligeholdelse af risikovurderinger, samt udarbejde og vedligeholde beredskabsplaner for alle væsentlige informationsaktiver i SOTEA. Sikkerhedsgruppen varetager også håndteringen af alle lokale sikkerhedshændelser, altså alle hændelser, hvor der er sket brud på informationssikkerheden, samt indberetning og evaluering af disse i overensstemmelse med de regler der er udarbejdet på området. Beredskabsplanen gennemgås, til den årlige it-risikoanalyse jf. afsnit Rammer for beredskabsplanlægning Vi har en ambition om at vi på 5 dage kan retablere primære enheder i vores datacenter. Dette sikre vi ved, at afveje risici, klassificere enheder i vores datacenter, og har procedurer der sikre, at vi i vores beredskabsplanlægning kan foretage udskiftning af vores driftsplatform, så de leverede ydelser vil blive retableret rettidigt Prøvning, vedligeholdelse og vurdering af beredskabsplaner REVI-IT A/S Side 20 af 46

21 Planen testes som en del af vores beredskab, så vi sikrer, at kunderne i mindst mulig omfang, vil opleve forstyrrelser i driften i forbindelse med en eventuel nødsituation. Efter endt test analyseres resultatet, og på den baggrund opdateres de relevante elementer, procedurer og beredskabsplaner. 15. Overensstemmelse med love og interne politikker Overensstemmelse med lovebestemte krav Identifikation af gældende lovgivning Vi er ikke underlagt særlig lovgivning i forhold til vores ydelser. Vi har pt. ikke kunder der stiller krav om at vi skal være underlagt persondataloven, eller anden lovgivning Ophavsrettigheder Alle licenser som SOTEA har ansvaret for, og som SOTEA fakturere videre til kunder, er SPLA licenser som opgøres pr. måned. Vi har systemer til at registrere hvilke brugere der er på vores systemer, samt hvilke applikationer de har adgang til, og dermed hvilke licenser vi skal rapportere og afregne med vores leverandører af software. Vi har ikke andre forhold i relation til ophavsrettigheder vi er underlagt Overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder samt teknisk overensstemmelse Overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder SOTEA sikre forankring af it-sikkerhedspolitikken, ved at alle medarbejdere årligt skal gennemlæse vores it-sikkerhedspolitik, og underskrive at de forstår og efterlever den Kontrol af teknisk overensstemmelse Der udsendes jævnligt orienterende mails til alle medarbejdere, omkring vores it-sikkerhedspolitik samt regler og procedurer. Derudover er der uddannelsesforløb, hvor it-sikkerhedspolitikken gennemgås, og hvor vi sikre at der er forståelse og efterlevelse af regler og procedurer. Der bliver minimum hvert ½ år foretaget stikprøve kontroller af om sager er registreret jf. vores regler og procedurer Overvejelser ved revision af informationssystemer Foranstaltninger i forbindelse med revision af informationssystemer En gang årligt lader vi os undergå uvildig it-revision, med henblik på afgivelse af en 3402 erklæring for overholdelse af kontroller nævnt i denne kontrolbeskrivelse. 16. Ændringer i perioden Væsentlige ændringer i revisionsperioden Ingen ændringer, første ISAE 3402 erklæring. 17. Komplementerende kontroller Forhold kunderne selv antages at være ansvarlige for Som udgangspunkt har SOTEA det fulde ansvar for hardware og software, som er ejet eller administreret af SOTEA, og som kunden lejer jf. indholdet i underskrevet kontrakt. Hardware og software som ikke er ejet eller administreret af SOTEA, og dermed ikke er en del af vores kontraktslige forpligtelser, er kundens eget ansvar. Det er eksempelvis drift, vedligehold og support af: Udstyr ejet af kunden selv. Herunder: o PC/Bærbar o Printere o Netværk o Servere o m.m. Software ejet af kunden selv, eller af tredjepart: REVI-IT A/S Side 21 af 46

22 o o o o ERP Systemer Licenser til lokale desktops Software installeret på kundens server hos SOTEA, som er ejet af kunden selv, eller tredjepart m.m. REVI-IT A/S Side 22 af 46

23 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet Til ledelsen hos Sotea ApS, Sotea ApS kunder og deres revisorer. Omfang Vi har fået til opgave at afgive erklæring om Sotea ApS beskrivelse, som er gengivet i afsnit 2. Beskrivelsen, som i afsnit 1 er bekræftet af Sotea ApS ledelse, dækker virksomhedens behandling af kunders transaktioner på virksomhedens hostingydelser i perioden til , samt udformningen og funktionaliteten af de kontroller der knytter sig til de kontrolmål, som er anført i beskrivelsen. Sotea ApS ansvar Sotea ApS er ansvarlig for udarbejdelsen af beskrivelsen (afsnit 2) og tilhørende udsagn (afsnit 1), herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret. Sotea ApS er herudover ansvarlig, for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmål og for udformningen, implementeringen og effektiviteten af fungerende kontroller for at nå de anførte kontrolmål. REVI-IT A/S ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om Sotea ApS beskrivelse (afsnit 2) og om udformningen og funktionaliteten af de kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå en høj grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er retvisende, og at kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt. Opgaven med afgivelse af en erklæring med sikkerhed om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system og for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give en høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere en vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i afsnit 2. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. REVI-IT A/S Side 23 af 46

24 Begrænsninger i kontroller hos en serviceleverandør Sotea ApS beskrivelse i afsnit 2 er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtige efter sine særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller afdække alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i Sotea ApS udsagn i afsnit 2 og det er på den baggrund vores vurdering, (a) (b) (c) at beskrivelsen af hostingydelsen, således som det var udformet og implementeret i hele perioden til , i alle væsentlige henseender er retvisende, og at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra til , og at de testede kontroller, som var de kontroller, der var nødvendige for at give en høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden til Beskrivelse af test af kontroller De specifikke kontroller, der er testet, samt arten, den tidsmæssige placering og resultater af disse tester fremgår i det efterfølgende hovedafsnit (afsnit 4). Tiltænkte brugere og formål Denne erklæring er udelukkende tiltænkt kunder, der har anvendt Sotea ApS hostingydelse, og disses revisorer, som har en tilstrækkelig kompetence til at vurdere den medfølgende beskrivelse sammen med anden information, herunder information om kunders egne kontroller. Denne information tjener til opnåelse af en forståelse af kundernes informationssystemer, som er relevante for regnskabsaflæggelsen. København, 31. marts 2015 REVI-IT A/S Statsautoriseret revisionsaktieselskab Henrik Paaske Statsautoriseret revisor Martin Brogaard Nielsen It-revisor, CISA, adm. direktør REVI-IT A/S Side 24 af 46

25 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf Den følgende oversigt er udformet for at skabe en forståelse for effektiviteten af de kontroller, som Sotea ApS har implementeret. Vores test af funktionaliteten har omfattet de kontroller, som vi har vurderet nødvendige for at kunne opnå en høj grad af sikkerhed for, at de anførte kontrolmål har været opnået i perioden til Vi har således ikke nødvendigvis testet alle de kontroller, som Sotea ApS har nævnt i sin beskrivelse i afsnit 2. Kontroller, udført hos Sotea ApS kunder, er herudover ikke omfattet af vores erklæring idet kundernes egne revisorer må foretage denne gennemgang og vurdering. Vi har udført vores tests af kontroller hos Sotea ApS via følgende handlinger: Metode Forespørgsel Observation Inspektion Genudførelse af kontrol Overordnet beskrivelse Interview, altså forespørgsel af udvalgt personale hos virksomheden angående kontroller Observation af hvordan kontroller udføres Gennemgang og stillingtagen til politikker, procedurer og dokumentation vedrørende kontrollers udførelse. Vi har selv eller observeret en genudførelse af kontroller med henblik på at verificere, at kontrollen fungerer som forventet. Beskrivelse og resultat af vores tests ud fra de testede kontroller fremgår af de efterfølgende skemaer. I det omfang vi har konstateret væsentlige svagheder i kontrolmiljøet eller afvigelser her fra, har vi anført dette. REVI-IT A/S Side 25 af 46

26 Risikovurdering og -håndtering Overordnet kontrolmål: Sikring af Implementering, og løbende vedligeholdelse af ledelsesgodkendte retningslinjer for informationssikkerhed i forhold til forretningsstrategien - og i forhold til relevant lovgivning. ISO Risikovurdering 4.1 Nr. Kontrolmål Revisors test Resultat af test 4.1 It-risikoanalyse Formålet med kontrollen er at sikre, at virksomheden periodisk fortager en analyse og vurdering af itrisikobilledet. Vi har forespurgt til vurdering af risici hos Sotea ApS Vi har inspiceret den udarbejdede risikovurdering. Håndtering af sikkerhedsrisici Procedure for risikohåndtering Formålet med kontrollen er at sikre, at Virksomheden har udarbejdet faste procedurer for behandling af risici. Vi har forespurgt til kontrol for periodisk revurdering af risikoanalysen. Vi har påset den etablerede kontrol og påset, at den er blevet gennemført. REVI-IT A/S Side 26 af 46

27 Sikkerhedspolitik Overordnet kontrolmål: Sikring af Implementering, og løbende vedligeholdelse af ledelsesgodkendte retningslinjer for informationssikkerhed i forhold til forretningsstrategien - og i forhold til relevant lovgivning. ISO It-sikkerhedspolitik 5.1 Nr. Kontrolmål Revisors test Resultat af test It-sikkerhedspolitik Formålet med kontrollen er at sikre, at Virksomheden har udarbejdet en ledelsesgodkendt itsikkerhedspolitik. Vi har forespurgt til udarbejdelse af en itsikkerhedspolitik. Vi har inspiceret den udarbejdede itsikkerhedspolitik Evaluering af it-sikkerheds-politikken Formålet med kontrollen er at sikre, at Virksomheden vedligeholder it-sikkerhedspolitikken, samt sikre, at sikkerhedspolitikken publiceres til og er tilgængelig for relevante interessenter. Vi har forespurgt til kontroller for periodisk revurdering af it-sikkerhedspolitikken. Vi har påset den etablerede kontrol og påset, at den er blevet gennemført. REVI-IT A/S Side 27 af 46

28 Organisering af informationssikkerhed Overordnet kontrolmål: Håndtering og styring af informationssikkerhed i organisationen, samt opretholde sikkerheden i informationsbehandlingsfaciliteterne, som bliver tilgået, behandlet eller styret af eksterne parter. ISO Intern organisering 6.1 Nr. Kontrolmål Revisors test Resultat af test Ledelsens forpligtelse til informationssikkerhed Formålet med kontrollen er at sikre, at ledelsen aktivt understøtter sikkerheden i virksomheden ved tydeligt at vise retning, engagement, præcis opgavefordeling og anerkendelse af ansvar for informationssikkerhed. Vi har forespurgt til opbygningen af itorganisationen og ledelsens ansvar i forhold til informationssikkerhed. Vi har observeret, at der i it-sikkerhedspolitikken er beskrevet forhold for ledelsens ansvar i forhold til informationssikkerhed Koordinering af informations-sikkerhed Formålet med kontrollen er at sikre, at informationssikkerhedsaktiviteter koordineres af repræsentanter fra forskellige dele af virksomheden med relevante roller og jobfunktioner Delegering af ansvar for informationssikkerhed Formålet med kontrollen er at sikre, at alt ansvar for informationssikkerhed er klart defineret Godkendelsesproces for informationsbehandlingsfaciliteter Formålet med kontrollen er at sikre, at en styringsproces for godkendelse af nyt informationsbehandlingsudstyr defineres og implementeres. Vi har forespurgt til koordinering af informationssikkerhed. Vi har inspiceret dokumentation. Vi har forespurgt til delegering af ansvar for informationssikkerhed. Vi har inspiceret de udarbejdede rolle og ansvarsoversigter. Vi har forespurgt til proces for godkendelse af nye informationsbehandlingsfaciliteter. Vi har inspiceret processen Fortrolighedsaftaler Formålet med kontrollen er at sikre, at krav til aftaler om fortrolighed eller hemmeligholdelse, der afspejler virksomhedens behov for at beskytte informationer, skal identificeres og evalueres regelmæssigt. Vi har forespurgt til fortrolighedsaftaler. Vi har inspiceret dokumentation for fortrolighed Kontakt med myndigheder Formålet med kontrollen er at sikre, at der opretholdes passende kontakt med relevante myndigheder. Vi har forespurgt til kontakt med myndigheder. Vi har inspiceret retningslinjer. REVI-IT A/S Side 28 af 46

29 6.1.7 Kontakt med særlige interessegrupper Formålet med kontrollen er at sikre, at der opretholdes passende kontakt med særlige interessegrupper eller andre faglige sikkerhedsfora og faglige organisationer Uafhængig evaluering af informationssikkerhed Formålet med kontrollen er at sikre, at virksomhedens metode til styring af informationssikkerhed og implementeringen af den (dvs. styringsmål, foranstaltninger, politikker, processer og procedurer for informationssikkerhed) evalueres uafhængigt og separat med planlagte mellemrum eller i tilfælde af væsentlige ændringer af sikkerhedsimplementeringen. Vi har forespurgt til kontakt med særlige interessegrupper. Vi har inspiceret dokumentation for kontakt med DK- Cert Vi har forespurgt til uafhængig evaluering af informationssikkerhed. Vi har observeret, at der foretages en uafhængig evaluering af informationssikkerhed. Eksterne parter Identifikation af risici i relation til eksterne parter Formålet med kontrollen er at sikre, at de risici for virksomhedens informationer og informationsbehandlingsudstyr, som forretningsprocesser, der involverer eksterne parter, frembyder, skal identificeres, og der iværksættes passende foranstaltninger, inden der gives adgang. Vi har forespurgt til kontroller for identifikation af risici i relation til eksterne partnere. Vi har inspiceret dokumentation Sikkerhedsforhold i relation til kunder Formålet med kontrollen er at sikre, at alle identificerede sikkerhedskrav er afklaret, inden kunder får adgang til virksomhedens informationer eller aktiver. Vi har forespurgt til sikkerhedsforhold i relation til kunder. Vi har inspiceret dokumentation. REVI-IT A/S Side 29 af 46

30 Styring af informationsrelaterede aktiver Overordnet kontrolmål: Systemer, data og enheder skal sikres og dokumenteres betryggende. Ansvar for aktiver 7.1 Nr. Kontrolmål Revisors test Resultat af test Fortegnelse over aktiver Formålet med kontrollen er at sikre, at alle aktiver identificeres entydigt, og der udarbejdes og vedligeholdes en fortegnelse over alle vigtige aktiver. Vi har forespurgt til processer for fortegnelse af aktiver. Vi har inspiceret de udarbejdede fortegnelser over aktiver. ISO Ejerskab af aktiver Formålet med kontrollen er at sikre, at alle informationer og aktiver i relation til informationsbehandlingsudstyr "ejes" af en udpeget part i virksomheden. Vi har forespurgt til ejerskab af aktiver. Vi har inspiceret rolle og ansvarsoversigter Accepteret brug af aktiver Formålet med kontrollen er at sikre, at regler for accepteret brug af informationer og aktiver i relation til informationsbehandlingsudstyr identificeres, dokumenteres og implementeres. Vi har forespurgt til retningslinjer for acceptabelt brug af aktiver. Vi har inspiceret de udarbejdede retningslinjer. REVI-IT A/S Side 30 af 46

31 Medarbejdersikkerhed Overordnet kontrolmål: Sikring af, at alle i virksomheden er bekendte med deres roller og ansvar herunder også underleverandører og 3. parter, og at alle er kvalificerede og egnede til at udføre deres rolle ISO Inden ansættelse 8.1 Nr. Kontrolmål Revisors test Resultat af test Opgaver og ansvar Formålet med kontrollen er at sikre, at medarbejderes, underleverandørers og eksterne brugeres sikkerhedsopgaver og sikkerhedsansvar defineres og dokumenteres i overensstemmelse med virksomhedens informationssikkerhedspolitik. Vi har forespurgt til ansættelsesprocessen. Vi har forespurgt til udarbejdelse af rolle og ansvarsbeskrivelser. Vi har inspiceret procedurer og dokumentation Screening Formålet med kontrollen er at sikre, at efterprøvning af alle jobkandidaters, underleverandørers og eksterne brugeres baggrund udføres i overensstemmelse med relevante love, forskrifter og etiske regler og skal stå i forhold til de forretningsmæssige krav, klassifikationen af den information, der skal gives adgang til, og de relevante risici Ansættelsesforhold Formålet med kontrollen er at sikre, at medarbejdere, underleverandører og eksterne brugere, som led i den kontraktlige forpligtelse, indgår og underskriver betingelserne i ansættelseskontrakten, der skal angive deres og virksomhedens ansvar for informationssikkerhed. Vi har forespurgt til ansættelsesprocessen. Vi har forespurgt til screening af medarbejdere inden ansættelse. Vi har forespurgt til ansættelsesforhold for medarbejdere. Vi har inspiceret kontrakter for medarbejdere og medarbejderhåndbog. Under ansættelsen Ledelsens ansvar Formålet med kontrollen er at sikre, at ledelsen kræver, at medarbejdere, underleverandører og eksterne brugere opretholder sikkerhed i overensstemmelse med virksomhedens fastlagte politikker og procedurer. Vi har forespurgt til ledelsens ansvar i forhold til politikker og procedurer. Vi har inspiceret kontroller og dokumentation. REVI-IT A/S Side 31 af 46

32 8.2.2 Bevidsthed om, uddannelse og træning i informationssikkerhed Formålet med kontrollen er at sikre, at alle virksomhedens medarbejdere og, hvor det er relevant, underleverandører og eksterne brugere bevidstgøres om sikkerhed og regelmæssigt holdes ajour med virksomhedens politikker og procedurer, i det omfang det er relevant for deres jobfunktion Sanktioner Formålet med kontrollen er at sikre, at der forefindes en formel sanktionsproces for medarbejdere, der har begået sikkerhedsbrud. Vi har forespurgt til uddannelse af brugere i itsikkerhed. Vi har inspiceret proceduren for uddannelse af medarbejdere. Vi har forespurgt til retningslinjer for sanktioner. Vi har inspiceret retningslinjerne. Ophør eller ændring af ansættelse Ansvar ved ophør Formålet med kontrollen er at sikre, at ansvar for at bringe et ansættelsesforhold til ophør eller ændre et ansættelsesforhold er tydeligt defineret og tildelt. Vi har forespurgt til procedure ved fratrædelser. Vi har inspiceret proceduren og påset at ansvaret er tildelt ledelsen Tilbagelevering af aktiver Formålet med kontrollen er at sikre, at alle medarbejdere, underleverandører og eksterne brugere afleverer alle virksomhedsaktiver, der er i deres besiddelse, når deres ansættelse, kontrakt eller aftale ophører Inddragelse af adgangsrettigheder Formålet med kontrollen er at sikre, at alle medarbejderes, underleverandørers og eksterne brugeres adgangsrettigheder til informationer og informationsbehandlingsudstyr skal inddrages, når deres ansættelsesforhold, kontrakt eller aftale ophører, eller skal tilpasses efter en ændring. Vi har forespurgt til kontrol for tilbagelevering af aktiver. Vi har stikprøvevis inspiceret proceduren. Vi har forespurgt til proceduren for inddragelse af adgangsrettigheder. Vi har stikprøvevis inspiceret proceduren. REVI-IT A/S Side 32 af 46

33 Fysisk sikkerhed Overordnet kontrolmål: At forhindre uautoriseret fysisk adgang til, beskadigelse og forstyrrelse af virksomhedens lokaler og informationer, samt at undgå tab, skade, tyveri eller kompromittering af aktiver og afbrydelse af virksomhedens aktiviteter. ISO Sikre områder 9.1 Nr. Kontrolmål Revisors test Resultat af test Fysisk sikkerhedsafgrænsning Formålet med kontrollen er at sikre, at sikkerhedsafgrænsninger (barrierer som fx vægge, kortstyrede indgangsporte eller bemandede receptioner) anvendes til at beskytte områder, der indeholder informationer og informationsbehandlingsfaciliteter. Vi har forespurgt til sikkerheden for de fysiske rammer for virksomhedens lokation. Vi har inspiceret de fysiske rammer hos Sotea ApS og deres datacenter Fysisk adgangskontrol Formålet med kontrollen er at sikre, at sikre områder er beskyttet med passende adgangskontroller for at sikre, at kun autoriseret personale kan få adgang. Vi har forespurgt til procedure for adgangskontrol hos Sotea ApS. Vi har inspiceret kontroller og dokumentation Sikring af kontorer, lokaler og faciliteter Formålet med kontrollen er at sikre, at sikring af kontorer, lokaler og faciliteter tilrettelægges og etableres Beskyttelse mod eksterne og miljømæssige trusler Formålet med kontrollen er at sikre, at fysisk beskyttelse mod skadevirkninger fra brand, oversvømmelser, jordskælv, eksplosioner, civile optøjer og andre former for natur- eller menneskeskabte katastrofer tilrettelægges og etableres. Vi har inspiceret sikringen af kontorer, lokaler og faciliteter hos Sotea ApS. Vi har forespurgt til beskyttelse mod eksterne og miljømæssige trusler hos Sotea ApS. Vi har inspiceret Sotea ApS' datacenter. Sikring af udstyr Placering og beskyttelse af udstyr Formålet med kontrollen er at sikre, at udstyr placeres eller beskyttes for at nedsætte risikoen for miljøtrusler og farer og for muligheden for uautoriseret adgang. Vi har forespurgt til placering og beskyttelse af udstyr hos Sotea ApS. Vi har inspiceret Sotea ApS' datacenter. REVI-IT A/S Side 33 af 46

34 9.2.2 Understøttende forsyninger (forsyningssikkerhed) Formålet med kontrollen er at sikre, at udstyr beskyttes mod strømsvigt og andre forstyrrelser som følge af svigt af understøttende forsyninger Vedligeholdelse af udstyr Formålet med kontrollen er at sikre, at udstyr vedligeholdes korrekt for at sikre dets fortsatte tilgængelighed og integritet Sikring af udstyr uden for virksomhedens lokaler Formålet med kontrollen er at sikre, at der etableres sikring af udstyr uden for virksomheden under hensyntagen til de forskellige risici, der er forbundet med arbejde uden for virksomhedens lokaler Sikker bortskaffelse eller genbrug af udstyr Formålet med kontrollen er at sikre, at alt udstyr med lagringsmedier kontrolleres for at sikre, at følsomme data og licensbeskyttet software er slettet eller sikkert overskrevet inden bortskaffelse. Vi har forespurgt til understøttende forsyninger hos Sotea ApS. Vi har inspiceret kontrollen for service af understøttende forsyninger. Vi har forespurgt til vedligeholdelse af udstyr hos Sotea ApS. Vi har inspiceret kontrollerne for vedligeholdelse af udstyr. Vi har forespurgt til retningslinjer for sikring af udstyr udenfor Sotea ApS' lokaler. Vi har inspiceret retningslinjer. Vi har forespurgt til retningslinjer for bortskaffelse af udstyr. Vi har inspiceret retningslinjer. Vi har fået oplyst, at der ikke har været bortskaffet udstyr i revisionsperioden, hvorfor det ikke var muligt at teste effektiviteten af kontrollen. REVI-IT A/S Side 34 af 46

35 Styring af netværk og drift Overordnet kontrolmål: At sikre korrekt og sikker drift af informationsbehandlingsudstyr, implementere og opretholde et passende niveau af informationssikkerhed og serviceydelser i overensstemmelse med aftaler om ydelser fra tredjeparter, minimere risikoen for systemnedbrud, beskytte integriteten af software og informationer samt afsløre uautoriserede informationsbehandlingsaktiviteter. ISO Operationelle procedurer og ansvarsområder 10.1 Nr. Kontrolmål Revisors test Resultat af test Dokumenterede driftsprocedurer Formålet med kontrollen er at sikre, at driftsprocedurer dokumenteres, vedligeholdes og gøres tilgængelige for alle brugere, der har brug for dem. Vi har forespurgt til udarbejdelse af driftsprocedurer. Vi har inspiceret udvalgte driftsprocedurer Ændringsstyring Formålet med kontrollen er at sikre, at ændringer af informationsbehandlingsudstyr og -systemer styres og dokumenteres. Vi har forespurgt til procedure for håndtering af ændringer. Vi har inspiceret proceduren. Vi har stikprøvevis inspiceret ændringer i revisionsperioden. Der tages stilling til test og fallback i forbindelse med ændringer, men det dokumenteres ikke hvordan der testes og hvilken fallback procedure der skal anvendes Funktionsadskillelse Formålet med kontrollen er at sikre, at funktioner og ansvarsområder adskilles for at nedsætte muligheden for uautoriseret eller utilsigtet ændring eller misbrug af virksomhedens aktiver. Vi har forespurgt til sikring af funktionsadskillelse. Vi har inspiceret de etablerede roller på systemerne Styring af serviceydelser fra tredjepart Overvågning og evaluering af serviceydelser fra tredjeparter Formålet med kontrollen er at sikre, at de serviceydelser, rapporter og registreringer, som tredjeparten leverer, overvåges og evalueres løbende, og der foretages regelmæssige revision. Vi har forespurgt til kontroller for overvågning af services fra tredjepart. Vi har inspiceret kontrollerne. REVI-IT A/S Side 35 af 46

36 Systemplanlægning og systemaccept Kapacitetsstyring Formålet med kontrollen er at sikre, at anvendelsen af ressourcer skal styres og tilpasses, og der foretages fremskrivninger af fremtidige kapacitetskrav for at sikre, at systemet fungerer som krævet. Vi har forespurgt til procedure for kapacitetsstyring. Vi har inspiceret kontroller for kapacitetsstyring. Beskyttelse mod skadevoldende programmer og mobil kode Foranstaltninger mod skadevoldende kode Formålet med kontrollen er at sikre, at der iværksættes foranstaltninger til detektering, forhindring og gendannelse for at beskytte mod skadevoldende kode, og der indføres passende brugerbevidsthedsprocedurer. Vi har forespurgt til foranstaltninger mod skadevoldende kode. Vi har inspiceret de implementerede foranstaltninger Foranstaltninger mod mobil kode Formålet med kontrollen er at sikre, at, når anvendelsen af mobil kode er autoriseret, sikrer konfigurationen, at den autoriserede mobile kode fungerer i overensstemmelse med en klart defineret sikkerhedspolitik, og en uautoriseret mobil kode skal forhindres i at blive udført. Vi har forespurgt til foranstaltning mod mobil kode. Vi har inspiceret dokumentation for foranstaltning mod mobil kode. Sikkerhedskopiering (backup) Sikkerhedskopiering af informationer Formålet med kontrollen er at sikre, at der tages sikkerhedskopier af informationer og software, og disse skal testes regelmæssigt i overensstemmelse med den aftalte politik for sikkerhedskopiering. Vi har forespurgt til procedurer for sikkerhedskopiering. Vi har inspiceret de etablerede procedurer og kontroller Styring af netværkssikkerhed Netværksforanstaltninger Formålet med kontrollen er at sikre, at netværk styres og kontrolleres tilstrækkeligt til at beskytte dem mod trusler og til at opretholde sikkerhed for systemer og applikationer, der anvender netværket, herunder information under overførelse. Vi har forespurgt til netværksforanstaltninger hos Sotea ApS. Vi har inspiceret dokumentation. REVI-IT A/S Side 36 af 46

37 Sikring af netværkstjenester Formålet med kontrollen er at sikre, at sikkerhedstiltag, serviceniveauer og styringskrav til alle netværkstjenester identificeres og indgår i en aftale om netværkstjenester, uanset om disse tjenester leveres internt eller er outsourcede. Vi har forespurgt til sikring af netværkstjenester. Vi har inspiceret dokumentation. Mediehåndtering Styring af bærbare medier Formålet med kontrollen er at sikre, at der er etableret procedurer til styring af bærbare medier samt opdatering af procedurerne. Vi har forespurgt til retningslinjer for styring af bærbare medier. Vi har inspiceret dokumentation for styring af bærbare medier Bortskaffelse af medier Formålet med kontrollen er at sikre, at medier bortskaffes sikkert og forsvarligt, når der ikke længere er brug for dem, i overensstemmelse med formelle procedurer. Vi har forespurgt til bortskaffelse af medier. Vi har inspiceret retningslinjer. Vi har fået oplyst, at der ikke har været bortskaffet udstyr i revisionsperioden, hvorfor det ikke var muligt at teste effektiviteten af kontrollen Sikring af systemdokumentation Formålet med kontrollen er at sikre, at systemdokumentation beskyttes mod uautoriseret adgang. Vi har forespurgt til sikring af systemdokumentation. Vi har inspiceret de etablerede kontroller Informationsudveksling Politikker og procedurer for informationsudveksling Formålet med kontrollen er at sikre, at der foreligger formelle politikker, procedurer og foranstaltninger for at beskytte information udvekslingen ved hjælp af alle former for kommunikationsudstyr. Vi har forespurgt til politikker og procedurer for informationsudveksling. Vi har inspiceret politikker og procedurer Elektroniske meddelelser Formålet med kontrollen er at sikre, at informationer i elektroniske meddelelser skal beskyttes på passende måde. Vi har forespurgt til retningslinjer for beskyttelse af elektroniske meddelelser. Vi har inspiceret retningslinjerne. REVI-IT A/S Side 37 af 46

38 Overvågning Auditlogning (opfølgningslogning) Formålet med kontrollen er at sikre, at auditlogning til registrering af brugeraktiviteter, undtagelser og informationssikkerhedshændelser udføres og opbevares i et aftalt tidsrum af hensyn til fremtidige undersøgelser og overvågning af adgangskontrol. Vi har forespurgt til retningslinjer for logning og opfølgning på logs. Vi har inspiceret de etablerede logs. Der er ikke implementeret en kontrol for periodisk gennemgang af logs Overvågning af systemanvendelse Formålet med kontrollen er at sikre, at der udarbejdes procedurer for overvågning af anvendelsen af informationsbehandlingsudstyr, og resultaterne af overvågningsaktiviteter skal evalueres regelmæssigt Beskyttelse af logoplysninger Formålet med kontrollen er at sikre, at logningsfaciliteter og logoplysninger beskyttes mod manipulation og uautoriseret adgang Administrator- og operatørlog Formålet med kontrollen er at sikre, at aktiviteter udført af systemadministrator og systemoperatør logges. Vi har forespurgt til retningslinjer for overvågning af systemanvendelse. Vi har inspiceret dokumentation og kontroller for systemanvendelse. Vi har forespurgt til beskyttelse af logoplysninger. Vi har forespurgt til administrator og operatørlogs. Vi har påset, at logs er implementerede. Vi har fået oplyst, at logs kan slettes Fejllogning Formålet med kontrollen er at sikre, at fejl logges, analyseres, og der iværksættes passende handlinger Tidssynkronisering Formålet med kontrollen er at sikre, at urene i alle relevante informationsbehandlingssystemer i en virksomhed eller et sikkerhedsdomæne er synkroniseret med en aftalt præcis tidsangivelseskilde. Vi har forespurgt til procedure for fejllogning og håndtering af fejl. Vi har stikprøvevis inspiceret håndtering af fejl i revisionsperioden. Vi har forespurgt til tidssynkronisering. Vi har inspiceret, at tidssynkronisering er implementeret. REVI-IT A/S Side 38 af 46

39 Adgangsstyring Overordnet kontrolmål: At sikre autoriserede brugeres adgang og forhindre uautoriseret adgang til informationssystemer, driftssystemer samt netværkstjenester. Forretningsmæssige krav til adgangsstyring 11.1 Nr. Kontrolmål Revisors test Resultat af test Pri Politik for adgangsstyring Formålet med kontrollen er at sikre, at en politik for adgangsstyring udarbejdes, dokumenteres og evalueres på grundlag af forretnings- og sikkerhedsmæssige krav til adgang. Vi har forespurgt til politikker for adgangsstyring. Vi har inspiceret de udarbejdede politikker. Administration af brugeradgang Brugerregistrering Formålet med kontrollen er at sikre, at der er etableret en formel procedure for registrering og nedlæggelse af brugere til tildeling og afbrydelse af adgang til samtlige informationssystemer og -tjenester. Vi har forespurgt til procedure for oprettelse og nedlæggelse af brugere. Vi har stikprøvevis inspiceret oprettelser og nedlæggelser af brugere i revisionsperioden. ISO Administration af privilegier Formålet med kontrollen er at sikre, at tildeling og anvendelse af privilegier begrænses og styres. Vi har forespurgt til administrering af privilegier. Vi har observeret administreringen af privilegier Administration af brugeradgangskoder (password) Formålet med kontrollen er at sikre, at tildeling af adgangskoder styres ved hjælp af en formel administrationsproces. Vi har forespurgt til kodeordspolitik. Vi har inspiceret kodeordspolitikken Evaluering af brugeradgangsrettigheder Formålet med kontrollen er at sikre, at ledelsen evaluerer brugeres adgangsrettigheder med regelmæssige mellemrum ved hjælp af en formel proces. Vi har forespurgt til kontroller for periodisk gennemgang af brugere. Vi har inspiceret kontrollen. Brugeransvar Brug af adgangskode Formålet med kontrollen er at sikre, at det er et krav, at brugere følger god sikkerhedspraksis ved valg og anvendelse af adgangskoder. Vi har forespurgt til brugeransvar for brug af adgangskode. Vi har inspiceret retningslinjer. REVI-IT A/S Side 39 af 46

40 Brugerudstyr uden opsyn Formålet med kontrollen er at sikre, at brugere sikrer, at udstyr, som er uden opsyn, er passende beskyttet. Se Styring af netværksadgang Autentifikation af brugere med ekstern forbindelse Formålet med kontrollen er at sikre, at der anvendes passende autentifikationsmetoder til at styre adgangen for brugere med fjernadgang. Vi har forespurgt til retningsliner for autentifikation af brugere med ekstern adgang. Vi har inspiceret de etablerede retningslinjer og foranstaltninger Beskyttelse af fjerndiagnose- og konfigurationsporte Formålet med kontrollen er at sikre, at fysisk og logisk adgang til diagnose- og konfigurationsporte styres Opdeling af netværk Formålet med kontrollen er at sikre, at grupper af informationstjenester, brugere og informationssystemer opdeles i netværk. Vi har forespurgt til beskyttelse af netværket. Vi har inspiceret dokumentation på opsætning af netværket. Vi har forespurgt til opdeling af netværk. Vi har inspiceret dokumentation for opdeling af netværk Styring af netværksforbindelser Formålet med kontrollen er at sikre, at, for delte netværk og især netværk der strækker sig ud over virksomhedens grænser, brugeres mulighed for forbindelse til netværket begrænses i overensstemmelse med politikken for adgangsstyring og kravene til de forretningsmæssige applikationer (se 11.1). Vi har forespurgt til retningslinjer for styring af netværksforbindelser. Vi har inspiceret dokumentation på opsætning af netværket. Styring af adgang til driftssystemer Procedurer for sikker log-on Formålet med kontrollen er at sikre, at adgang til driftssystemer styres af en procedure for sikker logon. Vi har forespurgt til procedure for log-on. Vi har inspiceret procedurerne. REVI-IT A/S Side 40 af 46

41 Identifikation og autentifikation af brugere Formålet med kontrollen er at sikre, at alle brugere har en unik identitet (bruger-id) til personlig brug, og der vælges en passende autentifikationsteknik til verifikation af en brugers påståede identitet System for administration af adgangskoder Formålet med kontrollen er at sikre, at systemer til administration af adgangskoder er interaktive og sikrer adgangskoder med god kvalitet Automatisk timeout Formålet med kontrollen er at sikre, at inaktive sessioner lukkes ned efter et fastlagt tidsrum uden aktivitet Begrænsning af forbindelsestid Formålet med kontrollen er at sikre, at begrænsning af forbindelsestider anvendes til at give yderligere sikkerhed for applikationer med høj risiko. Vi har forespurgt til identifikation og autentifikation af brugere. Vi har stiprøvevis inspiceret brugerne. Vi har forespurgt til system for administrering af koder. Vi har inspiceret det implementerede system. Vi har forespurgt til automatisk timeout. Vi har inspiceret den implementerede løsning. Se Styring af adgang til forretningssystemer og information Begrænset adgang til informationer Formålet med kontrollen er at sikre, at adgang for brugere og supportmedarbejdere til informationer og forretningssystemers funktioner begrænses i overensstemmelse med den fastlagte politik for adgangsstyring. Vi har forespurgt til begrænsning af adgange til informationer. Vi har observeret begrænsningen af adgange til informationer. Mobilt udstyr og fjernarbejdspladser Fjernarbejdspladser Formålet med kontrollen er at sikre, at der udarbejdes og implementeres en politik og operationelle planer og procedurer for fjernarbejde. Vi har forespurgt til anvendelse af fjernarbejdspladser. Vi har inspiceret den anvendte løsning. REVI-IT A/S Side 41 af 46

42 Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer Overordnet kontrolmål: At forhindre fejl, tab, uautoriseret ændring eller misbrug af informationer i forretningssystemer, beskytte fortrolighed, autenticitet og integritet af informationer ved hjælp af kryptografiske metoder samt opretholde sikkerheden af systemsoftware og informationer i forretningssystemer. ISO Sikkerhedskrav til informationssystemer 12.1 Nr. Kontrolmål Revisors test Resultat af test Analyse og specifikation af sikkerhedskrav Formålet med kontrollen er at sikre, at virksomhedens krav og ønsker til nye såvel som bestående systemer skal indeholde krav til sikkerheden med udgangspunkt i en risikovurdering, jf Vi har forespurgt til analyse og specifikation af sikkerhedskrav. Vi har stikprøvevis inspiceret ændringer i revisionsperioden. Sikring af systemfiler Styring af software på driftssystemer Formålet med kontrollen er at sikre, at der er etableret procedurer for styring af softwareinstallation og opdatering på driftssystemerne. Vi har forespurgt til opdatering af driftssystemer. Vi har stikprøvevis inspiceret opdateringer i revisionsperioden. Kontrollen for vurdering af Windowsopdateringer er først implementeret i Q Opdatering af servere styres formelt. Dog bliver test og stillingtagen til fallback ikke dokumenteret. Sikkerhed i udviklings- og hjælpeprocesser Procedurer for styring af ændringer Formålet med kontrollen er at sikre, at implementeringen af ændringer styres ved hjælp af formelle procedurer for ændringsstyring. Se Styring af tekniske sårbarheder Styring af tekniske sårbarheder Formålet med kontrollen er at sikre, at der indsamles rettidig information om tekniske sårbarheder i anvendte informationssystemer. Graden hvori virksomheden er udsat for sådanne sårbarheder skal evalueres, og der skal iværksættes passende foranstaltninger for at håndtere den tilhørende risiko. Vi har forespurgt til styring af tekniske sårbarheder. Vi har inspiceret kontroller for styring af tekniske sårbarheder. REVI-IT A/S Side 42 af 46

43 Styring af sikkerhedshændelser Overordnet kontrolmål: At sikre, at informationssikkerhedshændelser og svagheder i forbindelse med informationssystemer kommunikeres på en sådan måde, at der kan iværksættes korrigerende handlinger rettidigt, samt sikre en ensartet og effektiv metode til styring af informationssikkerhedsbrud. ISO Rapportering af informationssikkerhedshændelser og svagheder 13.1 Nr. Kontrolmål Revisors test Resultat af test Rapportering af informationssikkerhedshændelser Formålet med kontrollen er at sikre, at informationssikkerhedshændelser rapporteres ad passende ledelseskanaler så hurtigt som muligt. Vi har forespurgt til rapportering af sikkerhedshændelser. Vi har inspiceret proceduren. Vi har fået oplyst, at der ikke har været sikkerhedshændelser i revisionsperioden, hvorfor vi ikke kan teste effektiviteten af kontrollen Rapportering af sikkerhedssvagheder Formålet med kontrollen er at sikre, at alle medarbejdere, underleverandører og eksterne brugere af informationssystemer og tjenester har pligt til at notere og rapportere alle observerede svagheder eller mistanker om svagheder i systemer og tjenester. Se Styring af informationssikkerhedsbrud og forbedringer Ansvar og procedurer Formålet med kontrollen er at sikre, at ledelsens ansvar og procedurer fastlægges for at sikre hurtig, effektiv og planmæssig håndtering af informationssikkerhedsbrud. Vi har forespurgt til ansvar og procedurer for sikkerhedshændelser. Vi har inspiceret proceduren At lære af informationssikkerhedsbrud Formålet med kontrollen er at sikre, at der er etableret mekanismer til at kvantificere og overvåge typer og omfang af og omkostninger ved informationssikkerhedsbrud. Vi har forespurgt til læring af informationssikkerhedsbrud. Vi har inspiceret retningslinjer. Vi har fået oplyst, at der ikke har været sikkerhedshændelser i revisionsperioden, hvorfor vi ikke kan teste effektiviteten af kontrollen. REVI-IT A/S Side 43 af 46

44 Indsamling af beviser Formålet med kontrollen er at sikre, at der indsamles, opbevares og forelægges bevismateriale i overensstemmelse med reglerne for bevismateriale i den relevante jurisdiktion, når opfølgning i forhold til en person eller virksomhed efter en informationssikkerhedsbrud afstedkommer et retsligt efterspil (civileller strafferetsligt). Vi har forespurgt til procedure for indsamling af beviser. Vi har fået oplyst, at der ikke har været sikkerhedshændelser i revisionsperioden, hvorfor vi ikke kan teste effektiviteten af kontrollen. REVI-IT A/S Side 44 af 46

45 Beredskabsstyring Overordnet kontrolmål: At modvirke afbrydelser af forretningsaktiviteter og at beskytte kritiske forretningsprocesser mod virkningerne af større ned brud af informationssystemer eller katastrofer og at sikre rettidig retablering. ISO Informationssikkerhedsaspekter ved beredskabsstyring 14.1 Nr. Kontrolmål Revisors test Resultat af test Inddragelse af informationssikkerhed i beredskabsstyringsprocessen Formålet med kontrollen er at sikre, at der udarbejdes og opretholdes en styret proces til beredskabsstyring i virksomheden, som behandler de krav til informationssikkerhed, der er nødvendige for virksomhedens fortsatte drift. Vi har forespurgt til udarbejdelse af en beredskabsplan. Vi har inspiceret den udarbejdede beredskabsplan Beredskab og risikovurdering Formålet med kontrollen er at sikre, at hændelser, der kan forårsage afbrydelser af forretningsprocesser, identificeres sammen med sandsynligheden for og virkningen af sådanne afbrydelser og deres konsekvenser for informationssikkerheden Udvikling og implementering af beredskabsplaner, herunder informationssikkerhed Formålet med kontrollen er at sikre, at der udarbejdes og implementeres planer for at vedligeholde eller retablere virksomhedens aktiviteter og sikre tilgængelighed af informationer på det krævede niveau og inden for de krævede tidsfrister efter afbrydelse eller nedbrud af kritiske forretningsprocesser Rammer for beredskabsplanlægning Formålet med kontrollen er at sikre, at der opretholdes en enkelt ramme for beredskabsplaner for at sikre, at alle planer er overensstemmende, at krav til informationssikkerhed håndteres konsekvent, og at prioriteringen af test og vedligeholdelse fastlægges Prøvning, vedligeholdelse og revurdering af beredskabsplaner Formålet med kontrollen er at sikre, at beredskabsplaner afprøves og opdateres regelmæssigt for at sikre, at de er tidssvarende og effektive. Vi har forespurgt til håndtering af risici og beredskab. Vi har inspiceret risikoanalysen og beredskabsplanen. Se Se Vi har forespurgt til afprøvning af beredskabsplanen. Vi har inspiceret kontroller og test af beredskabsplan. REVI-IT A/S Side 45 af 46

46 Overensstemmelse med love og interne politikker Overordnet kontrolmål: At undgå brud på love, lovbestemte, forskriftsmæssige eller kontraktlige forpligtelser og på sikkerhedskrav, sikre, at systemer opfylder kravene i virksomhedens sikkerhedspolitikker og sikkerhedsstandarder samt sikre, at systemer opfylder kravene i virksomhedens sikkerhedspolitikker og sikkerhedsstandarder. ISO Overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder samt teknisk overensstemmelse 15.1 Nr. Kontrolmål Revisors test Resultat af test Overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder Formålet med kontrollen er at sikre, at ledere sikrer, at alle sikkerhedsprocedurer inden for deres ansvarsområde efterleves korrekt for at opnå overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder. Vi har forespurgt til kontroller for overensstemmelse med interne politikker og procedurer. Vi har inspiceret de etablerede kontroller Kontrol af teknisk overensstemmelse Formålet med kontrollen er at sikre, at Informationssystemer kontrolleres regelmæssigt for overensstemmelse med sikkerhedsimplementeringsstandarder. Vi har forespurgt til kontroller for teknisk overensstemmelse. Vi har inspiceret de etablerede kontroller. REVI-IT A/S Side 46 af 46