Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.



Relaterede dokumenter
Front-data Danmark A/S

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s

ISAE 3000 DK ERKLÆRING MARTS RSM plus P/S statsautoriserede revisorer

frcewtfrhousf(wpers ml

1. Ledelsens udtalelse

Front-data Danmark A/S

GML-HR A/S CVR-nr.:

Fonden Center for Autisme CVR-nr.:

Lector ApS CVR-nr.:

Komiteen for Sundhedsoplysning CVR-nr.:

Plan og Handling CVR-nr.:

A/S it-drift og hostingaktiviteter

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

KØNG BORGERFORENING. Opgørelse af skattepligtig indkomst med specifikationer for indkomståret 2011

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2

plus revision skat rådgivning

for Athena IT-Group Erklæring fra uafhængig revisor A/S' driftsydelser

Databehandleraftale 2013

I/S ANDST VANDVÆRK. Årsregnskabet 2009

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

Greve Kommune. Revision af generelle it-kontroller 2011

I/S ANDST VANDVÆRK. Årsregnskabet 2010

IST DANMARK APS ISAE 3000 ERKLÆRING

Bilag 1 Databehandlerinstruks

plus revision skat rådgivning

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Faxe Kommune Revision af generelle itkontroller

plus revision skat rådgivning

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

It-instruks om krav til systemrevision af kørselskontorets systemanvendelse for håndtering af kørselsdata

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

Vejledning til brug af Bank RA Revisionsinstruks

Syddansk Universitet. Institutionsrevisors protokollat om forberedende revisionsarbejder for 2018

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018

EG Cloud & Hosting

RSM plus. NB Østerhøj. ArbejdseksernPrai. Arsrapport Godkendt på den ordinære generalforsamling. København, den OOg.

1. Ledelsens udtalelse

plus revision skat rådgivning

GML-HR A/S CVR-nr.:

EG Data Inform A/S ISAE 3402-erklæring, type 2, fra uafhængig i relation til EG Data Informs driftsydelser Januar 2016

plus revision skat rådgivning

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

DEN UAFHÆNGIGE REVISORS REVISIONSPÅTEGNING Til bestyrelsen i ROMU REVISIONSPÅTEGNING PÅ ÅRSREGNSKABET Konklusion Vi har revideret årsregnskabet for RO

KØNG BORGERFORENING. Årsrapport 2011

Procedure for tilsyn af databehandleraftale

Vallensbæk Strands Vandforsyning amba

It-revision af Sundhedsdatanettet januar 2016

Holstebro Kommune. Bilag 4 Revisionsberetning vedrørende Ansvarsforhold, revisionens omfang og rapportering. (Vilkår for revisionsopgaven)

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Danske Forsikringsfunktionærers Landsforening

Sotea ApS. Indholdsfortegnelse

Hovedgård Fjernvarmeværk A.m.b.A. Årsrapport 2008/09

pwc EG Data Inform A/S

Maj Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

Rackhosting ApS. ISAE 3402-erklæring fra uafhængig

plus revision skat rådgivning

Sotea ApS CVR-nr

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

Faxe Kommune Revision af generelle itkontroller

Sankt Mortens Sogns Menighedsråd

KOMBIT sikkerhedspolitik

Aarhus Idrætsfond. Revisionsprotokollat om udkast til årsrapport for 2014

Udkast 28. januar Bekendtgørelse om revision af de anerkendte a-kasser

RSMplus. Revisionsprotokollat pr. 31_ december Afdelinger i: Aalborg, Holstebro, Kolding, København, Odense, Skærbæk, Vordingborg og Århus

IT-sikkerhedspolitik S i d e 1 9

plus revision skat rådgivning

Kontraktbilag 8. It-sikkerhed og compliance

Greve Kommune. Revision af generelle it-kontroller

plus revision skat rådgivning

Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018

Ejerforeningen SeaWest Delområde A. Revisionsprotokollat af 22. februar (side 48-51)

Maj Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

Ballerup Kommune Beretning om tiltrædelse som revisor

Komplementarselskabet Motala II ApS Revisionsprotokollat til årsregnskabet for 2013

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

Dyssegårdskirken. Revisionsprotokollat af Årsregnskab for vedrørende STATSAUTORISERET REVISIONSPARTNERSELSKAB

Brøndby Strand Kirkekasse

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

FORBEREDELSESUDVALGET FOR REGION SYDDANMARK

Gennemsigtighedsrapport 2014/15 (15. december 2015)

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

DFF-EDB a.m.b.a CVR nr.:

Front-data Danmark A/S

IDQ A/S CVR-nr.:

P. Ejerf. Hvs.Sluse M.b.a. Regnskab 2016

Fælleskøkkenet Elbo I/S. Revisionsprotokollat til årsregnskab 2011

FYSISK SIKKERHED. Bilag 10-1

AB Strandparken 1. Revisionsprotokollat af 10. januar (side 11-14)

ISAE 3402 TYPE 2 ERKLÆRING

DEN SELVEJENDE INSTITUTION GALTEN JUNIOR- OG UNGDOMSKLUB

Revisionsrapport Revision af vederlag for 2018

Transkript:

Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København V Tlf.: (+45) 3338 9800, Fax: (+45) 3338 9801 e-mail: copenhagen@rsmplus.dk, www.rsmplus.dk CVR-nr. 43622811 (Hjemsted: København) Afdelinger i: Aalborg, Holstebro, Kolding, København, Odense, Skærbæk, Vordingborg og Århus RSM plus er et selvstændigt medlem af RSM International, en uafhængig kæde af selvstændige revisions- og konsulentfirmaer med kontorer i mere end 70 lande

2 Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup, jf. de mellem Front-safe A/S og dennes kunder indgåede aftaler. Til brugerne af Remote Backup hos Front-safe A/S og deres revisorer. Indledning Vi har gennemgået de generelle it-kontroller hos Front-safe A/S for perioden 1. maj 2010 30. april 2011 jf. de mellem Front-safe A/S og dennes kunder indgåede aftaler. Det er ledelsens ansvar at sikre opretholdelsen af de aftalte kontroller. Vort ansvar er, baseret på vort arbejde, at udtrykke en konklusion om, hvorvidt vi er enige i, at de aftalte kontroller er opretholdt hos Front-safe A/S. De generelle it-kontroller omfatter følgende områder: drift af datacentre og netværk anskaffelse, ændring og vedligeholdelse af systemsoftware adgangssikkerhed anskaffelse, udvikling og vedligeholdelse af applikationssystemer Front-safe A/S varetager ifølge aftale driften af Remote Backup, og er i forbindelse hermed ansvarlig for at sikre implementeringen og funktionen af kontrolsystemer med henblik på at forebygge og opdage fejl, herunder bevidste fejl, med henblik på overholdelse af de i aftalen stillede krav. Vi har foretaget stikprøvevis revision af de platforme, som understøtter Remote Backup. Bilag 1 viser en oversigt over de kontrolmål og arbejdshandlinger, der er omfattet af revisionen. Nærværende erklæring er udelukkende beregnet for brugerne af Remote Backup hos Front-safe A/S og deres revisorer. Afgrænsning Revisionen har til formål at vurdere, om de generelle it-kontroller for det pågældende miljø hos Front-safe A/S er tilrettelagt på en hensigtsmæssig måde og i overensstemmelse med det aftalte, og om kontrollerne har fungeret i revisionsperioden. Vores revision er baseret på ovennævnte, hvilke betyder, at der ikke tages højde for den enkelte kundes aftale. Brugere af Remote Backup er ansvarlige for at skabe datatransmission til Front-safe A/S Vort arbejde omfatter ikke test af de kontroller, som sikrer fortrolighed, integritet og tilgængelighed i forbindelse med datatransporten mellem brugerne og Front-safe A/S. Vort arbejde er udelukkende gennemført ved forespørgsler, observationer og undersøgelser af modtaget materiale.

Det udførte arbejde Vort arbejde er udført i overensstemmelse med den danske revisionsstandard om erklæring om generelle it-kontroller og applikationskontroller mv. med henblik på at opnå høj grad af sikkerhed for vor konklusion. Arbejdet omfatter forespørgsler, observationer og vurdering samt stikprøvevis efterprøvning af den information, vi har modtaget. Vor vurdering af sikkerhedsniveauet er foretaget med udgangspunkt i den International Standard ISO/IEC 27002:2005 Code of practice for information security management. Det er vor opfattelse, at vort arbejde giver et tilstrækkeligt grundlag for vor konklusion. På grund af begrænsninger i ethvert kontrolsystem kan der opstå fejl eller besvigelser, som ikke afdækkes af vort arbejde. Endvidere vil en anvendelse af vor konklusion på efterfølgende perioders transaktioner være undergivet en risiko for, at der er foretaget ændringer af systemer eller kontroller, ændring i kravene til behandling af oplysninger eller i virksomhedens overholdelse af de beskrevne politikker og procedurer, hvorved vor konklusion eventuelt ikke længere vil være gældende. Konklusion Det er vor opfattelse, at de generelle it-kontroller, jf. de indgåede aftaler for perioden 1. maj 2010 30. april 2011 hos Front-safe A/S, har været opretholdt i overensstemmelse med aftalerne herom. København, den 17. maj 2011 R s Kim Larsen statsautoriseret revisor

4 Bilag 1: Test af kontroller, der er udført, og tilknyttede resultater Nedenfor er oplistet de kontrolmål, som er gennemgået som led i vores arbejde, samt de tilknyttede arbejdshandlinger. Driftsafvikling Der er etableret passende forretningsgange og kontroller vedrørende drift, herunder overvågning, registrering og opfølgning på relevante hændelser. Vi har kontrolleret, at der foreligger tilstrækkelige procedurer for driftsafviklingen af Remote Backup samt stikprøvevis testet, at procedurerne efterleves. Det er endvidere påset, at der foretages passende overvågning af driften. Fysisk sikkerhed Der er etableret fornøden beskyttelse mod skader forårsaget af f.eks. brand, vandskade, strømafbrydelse, tyveri eller hærværk. Vi har gennemgået den fysiske sikkerhed vedrørende systemer, som er placeret hos Front-data Danmark A/S, og vi har påset, at der er etableret fornøden beskyttelse mod bl.a. brand, vandskade, strømafbrydelse, tyveri og hærværk. Sikkerhedskopiering Der foreligger tilstrækkelige procedurer for sikkerhedskopiering. Vi har kontrolleret, at der foreligger passende procedurer for sikkerhedskopiering. Vi har ved gennemgang af systemopsætning stikprøvevis testet, at procedurerne efterleves, samt at der er foretaget dublering til at kunne sikre tilgængeligheden af data. Adgangsrettigheder Der er etableret passende forretningsgange og kontroller for tildeling, opfølgning og vedligeholdelse af adgangsrettigheder til systemer og data. Vi har kontrolleret, at tildeling af adgangsrettigheder til systemsoftware sker efter passende forretningsgange, og at der foretages periodisk opfølgning på de tildelte adgangsrettigheder.

5 Fysiske og logiske adgangskontroller Der er etableret logiske og fysiske adgangskontroller, som begrænser risikoen for uautoriseret adgang til systemer eller data. Vi har kontrolleret, at der anvendes passwordkvalitet i henhold til god praksis. Vi har endvidere påset, at det sikres, at der anvendes autentifikation af brugere på alle adgangsveje. Vi har kontrolleret, at fysisk adgang til systemer, som er placeret hos Front-data Danmark A/S, sikres via et elektronisk system, der logger alle adgange til serverrummet. Fysiske adgangskontroller vedrørende adgang til den dataansvarliges kontorlokaler mv. er ikke omfattet af de leverede serviceydelser, og er derfor den dataansvarliges eget ansvar. Organisatorisk funktionsadskillelse Der er etableret passende funktionsadskillelse i og omkring it-funktionerne, herunder mellem udvikling, drift samt brugerfunktioner. Vi har kontrolleret, at der opretholdes tilstrækkelig funktionsadskillelse i relation til den drift, der udføres af Front-safe A/S. Logisk funktionsadskillelse Der er etableret fornødne logiske adgangskontroller, der underbygger den organisatoriske funktionsadskillelse. Vi har ved stikprøvevis udtræk af systemkonfigurationer kontrolleret, at der er etableret logiske adgangskontroller til servere, således at de enkelte driftsområder er adskilt, samt at driftsfunktioner er begrænset til relevante driftsfunktioner. Datakommunikation Datakommunikation er tilrettelagt på en hensigtsmæssig måde og er tilstrækkeligt sikret mod risiko for tab af autenticitet, integritet, uafviselighed/sporbarhed, tilgængelighed samt fortrolighed. Vi har ved gennemgang af den generelle datakommunikation kontrolleret, at strukturen er sikret mod skader og uautoriserede indgreb, samt at der er mulighed for at anvende sikre krypterede protokoller. Datakommunikation til Front-safe A/S er kundens eget ansvar.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback