FRONT-DATA DANMARK A/S

Relaterede dokumenter
Front-data Danmark A/S

Front-data Danmark A/S

FRONT-DATA DANMARK A/S

FRONT-DATA DANMARK A/S

Front-data Danmark A/S

ISAE 3000 DK ERKLÆRING MARTS RSM plus P/S statsautoriserede revisorer

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

ISAE 3402 TYPE 2 ERKLÆRING

Tabulex ApS. Februar erklæringsår. R, s

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

Tabulex ApS. Februar erklæringsår. R, s

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

IMS A/S ISAE 3402 TYPE 1 ERKLÆRING. CVR-nummer

Sotea ApS CVR-nr

frcewtfrhousf(wpers ml

LINK MOBILE A/S ISAE 3402 TYPE 2 ERKLÆRING. Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service.

Sotea ApS. Indholdsfortegnelse

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

LINK MOBILITY A/S ISAE 3402 TYPE 2 ERKLÆRING. Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service.

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING JANUAR 2017

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Faxe Kommune. informationssikkerhedspolitik

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

INVENTIO.IT A/S ISAE 3402 TYPE 2 ERKLÆRING

Præsentation af Curanets sikringsmiljø

FRONTSAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

Timengo DPG A/S CVR-nr

It-sikkerhedspolitik for Farsø Varmeværk

SOPHIAGÅRD ELMEHØJEN

DFF-EDB a.m.b.a CVR nr.:

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Procedure for tilsyn af databehandleraftale

FRONTSAFE A/S ISAE 3402 TYPE 2 ERKLÆRING. CVR-nummer

KOMBIT sikkerhedspolitik

Sikkerhedspolitik Version d. 6. maj 2014

Databeskyttelsespolitik for DSI Midgård

WWI A/S. Indholdsfortegnelse

1. Ledelsens udtalelse

Complea A/S CVR-nr

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

DFF EDB a.m.b.a. CVR-nr.:

Bilag 1 Databehandlerinstruks

Informationssikkerhedspolitik for <organisation>

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Informationssikkerhedspolitik

IT-sikkerhedspolitik for Lyngby Tandplejecenter

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

Databehandleraftale 2013

Overordnet it-sikkerhedspolitik for Rødovre Kommune

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Complea A/S CVR-nr.:

Assens Kommune Sikkerhedspolitik for it, data og information

Overordnet organisering af personoplysninger

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Overordnet organisering af personoplysninger

SENTIA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

Databeskyttelsespolitik

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

DATABESKYTTELSESPOLITIK

Region Hovedstadens Ramme for Informationssikkerhed

Overordnet Informationssikkerhedspolitik

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

1 Informationssikkerhedspolitik

IST DANMARK APS ISAE 3000 ERKLÆRING

Sikkerhedspolitik Version d. 3. oktober 2013

Hovmosegaard - Skovmosen

EG Cloud & Hosting

Zentura IT A/S CVR-nr

Overordnet It-sikkerhedspolitik

Fonden Center for Autisme CVR-nr.:

Sikkerhedspolitik Version: 2.4 Dokument startet:

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Plan og Handling CVR-nr.:

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

IT-sikkerhedspolitik for

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

Revisors erklæring vedrørende afdækning af de tekniske og organisatoriske sikringsforanstaltninger i tilknytning til driften af hostingaktiviteter.

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Lector ApS CVR-nr.:

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Vejledning i informationssikkerhedspolitik. Februar 2015

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

1. Ledelsens udtalelse

WWI A/S Indholdsfortegnelse

IT-SIKKERHEDSPOLITIK UDKAST

FYSISK SIKKERHED. Bilag 10-1

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

Transkript:

FEBRUAR 2016 FRONT-DATA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-data Danmarks hostingaktiviteter. RSM plus P/S statsautoriserede revisorer Ellebjergvej 52, 2., 2450 København SV CVR-nr. 34713022. Tlf +45 33 38 98 00 copenhagen@rsmplus.dk. www.rsmplus.dk Afdelinger i: Aalborg, Holstebro, Kolding, København, Odense, Skærbæk, Vordingborg og Aarhus RSM plus er et selvstændigt medlem af RSM International, en uafhængig kæde af selvstændige revisions- og konsulentfirmaer med kontorer i mere end 100 lande

Erklæringsopbygning Kapitel 1: Front-data Danmark A/S ledelseserklæring Kapitel 2: Front-data Danmark A/S beskrivelse af de generelle it-kontroller for driften af hostingaktiviteter. Kapitel 3: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af de generelle it-kontroller, deres udformning og funktionalitet. Kapitel 4: Revisors beskrivelse af kontrolmål, sikkerhedstiltag, test og resultater heraf.

K APITEL 1: Front-data Danmark A/S ledelseserklæring Beskrivelsen af Front-data Danmark generelle it-kontroller i kapitel 2 er udarbejdet til brug for kunder, der har anvendt eller påtænker at anvende Front-data Danmark hostingaktiviteter, og deres revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt, ved vurdering af risiciene for væsentlig fejlinformation i deres regnskaber. Front-data Danmark bekræfter hermed, at (A) Den medfølgende beskrivelse, kapitel 2, giver en retvisende beskrivelse af Front-data Danmark hostingaktiviteters generelle it-kontroller i hele perioden fra 1. januar 2015-31. december 2015. Kriterierne for dette udsagn er, at den medfølgende beskrivelse: (i) redegør for, hvordan kontrollerne var udformet og implementeret, herunder redegør for: de typer af ydelser, der er leveret, når det er relevant de processer i både it- og manuelle systemer, der er anvendt til styring af de generelle it-kontroller relevante kontrolmål og kontroller udformet til at nå disse mål kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af Front-data Danmark, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem og kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for de generelle it-kontroller (ii) indeholder relevante oplysninger om ændringer i Front-data Danmark generelle it-kontroller foretaget i perioden fra 1. januar 2015-31. december 2015. (iii) ikke udelader eller forvansker oplysninger, der er relevante for omfanget af de beskrevne kontroller under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt ved kontroller, som den enkelte kunde måtte anse som vigtig efter deres særlige forhold. (B) de kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra 1. januar 2015-31. december 2015. Kriterierne for dette udsagn er, at: (i) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret (ii) de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrer opnåelsen af de anførte kontrolmål, og (iii) kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra 1. januar 2015-31. december 2015. (C) den medfølgende beskrivelse og de tilhørende kriterier for opnåelse af kontrolmål og kontroller, kapitel 2, er udarbejdet med baggrund i overholdelse af Front-data Danmark standardaftale, grundlaget for hostingaktiviteter og ydelser omkring de generelle it-kontroller. Kriterierne for dette grundlag var: (i) Service Level Agreement version 2015.2 (ii) Vilkår for Hostingaftale version april 2013.1 (iii) IT-sikkerhedspolitik version 8 Viby J., den 4. februar 2016 Front-data Danmark A/S, Søndervangs Alle 20, DK-8260 Viby J, Tel (+45) 8678 3410, CVR: 15883197 /3

K APITEL 2: Front-data Danmark A/S beskrivelse af de generelle it-kontroller for driften af hostingaktiviteter. Indledning Formålet med nærværende beskrivelse er at levere information til Front-data Danmark kunder og deres revisorer vedrørende kravene i ISAE 3402, som er den internationale revisorstandard for erklæringsopgaver om kontroller for serviceleverandører, ISAE 3402. Beskrivelsen giver herudover information om de kontroller, der er anvendt for driften i Front-data Danmark hostingaktiviteter i perioden 1. januar 2015 til 31. december 2015. Beskrivelse af Front-data Danmark A/S Front-data Danmark har eksisteret siden 1990 og er i dag en velkonsolideret virksomhed med omkring 30 kompetente medarbejdere. Vi er AAA-rated af Soliditet som et bevis på, at vi er en sund virksomhed. Front-data Danmark holder til i udkanten af Århus i et moderne byggeri, som er etableret med et nyt og sikkert hostingcenter. Vi har de bedste forudsætninger for at levere høj sikkerhed og stabilitet i den IT-drift, vi håndterer for vores kunder. Vi laver IT outsourcing for et bredt udsnit af virksomheder i Danmark, Norden og på Grønland samt filialer og datterselskaber i resten af verden. Vores mål er at have et tæt forhold til vores kunder, som gør at vi forstår deres IT behov, således vi kan understøtte deres forretning bedst muligt. Vores koncept er at levere en total IT løsning til vores kunder, og agerer som var vi kundens egen IT afdeling. Løsningerne bliver skræddersyet til den enkelte kunde, men alle elementer er opbygget ud fra vores udviklede standarder. Dette optimerer mulighederne for høj tilgængelighed og god support. Risikostyring/ it-sikkerhedsstrategi Det er Front-data Danmark politik, at de risici, der følger af selskabets aktiviteter, skal afdækkes eller begrænses til et sådant niveau, at selskabet vil kunne opretholde en normal drift. Front-data Danmark gennemfører risikostyring og interne kontroller på flere områder og niveauer. Der gennemføres en årlig risiko- og trusselvurdering. Direktionen skal sammen med den øvrige ledelse, de ansvarlige for IT driftsplatformen og Hosting Facility manager løbende vurdere risici og konsekvenser vedrørende driftsmiljøet, applikationer, fysiske rammer m.v. Front-data Danmark har gennemført en risikoanalyse over de enkelte serviceydelsers forretningsmæssige påvirkning, og har på denne baggrund udarbejdet en beredskabspolitik med tilhørende Disaster Recovery plan. Som led i ovenstående it-sikkerhedsstrategi arbejder Front-data Danmark med den internationale standard for it-sikkerhed ISO27002:2014 som primær referenceramme for it-sikkerheden. Arbejdsprocessen omkring it-sikkerhed er en kontinuerlig og dynamisk proces, som sikrer, at Front-data Danmark til hver en tid er i overensstemmelse med sine kunders krav og behov. Håndtering af it-sikkerhed Front-data Danmark betragter IT-sikkerhed som et vigtigt element i at levere en professionel hosting ydelse. Kunderne ligger ansvaret for håndtering og opbevaring af fortrolige og kritiske forretningsdata hos os. Dette ansvar stiller krav til en høj grad af sikkerhed. /4

Front-data Danmarks målsætning inden for IT-sikkerhed er, at sikre en god fysisk sikkerhed sikre data fortrolighed og integritet sikre mulighed for genetablering af data og systemer sikre høj tilgængelighed Måden Front-data Danmark har valgt at arbejde med IT-sikkerhed, er at vi gennem redundant opbygning af infrastruktur, kombineret med fastlagte retningslinjer, procedurer og kontroller opretholder hostingcentret i en tilstand, hvor sikkerhed og tilgængelighed er optimalt. Den redundante opbygning af hosting centret omfatter: 2 serverrum med separat forsyning og i adskilte brandceller Forsynings sikkerhed (strøm, netværk) Køling af serverrum Redundering af centrale funktioner i netværk og infrastruktur Front-data Danmark har omkring it-sikkerhedsstrategien valgt at tage udgangspunkt i ISO27002:2014, og har således brugt ISO-metodikken til at implementere de relevante sikringsforanstaltninger inden for følgende områder: Informationssikkerhedspolitikker Organisering af informationssikkerhed Medarbejdersikkerhed Styring af aktiver Adgangsstyring Fysisk sikring og miljøsikring Driftssikkerhed Kommunikationssikkerhed Leverandørforhold Styring af informationssikkerhedsbrud Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring Under bilag 1 fremgår det hvilke kontrolmål og sikkerhedsforanstaltninger Front-data Danmark arbejder med. Organisering af informationssikkerhed IT sikkerhed har ledelsens fokus i Front-data Danmark. Ansvaret er forankret hos den tekniske chef med opbakning fra direktion og den øvrige ledergruppe. Dette omfatter: At relevante sikkerhedsinitiativer aktivt støttes At de nødvendige ressourcer afsættes for at kunne overholde IT-sikkerhedspolitikken At deltage aktivt i den tværorganisatoriske implementering af IT-sikkerhedspolitikken Ledelsen vurderer endvidere løbende behov for ekstern rådgivning ud fra en realistisk bedømmelse af Front-data Danmarks egne erfaringer og kompetencer på IT-sikkerhedsområdet. HR, medarbejdere og uddannelse Alle organisationsmedarbejdere og relevante samarbejdspartner bliver løbende informeret og gjort bevidste om Frontdata Danmark s informationssikkerhed ved hjælp af uddannelse og øvelser. Informationssikkerhedsansvar og -forpligtelser, som også gælder efter ansættelsens ophør eller ændring, er defineret og kommunikeret til medarbejderen/leverandøren og håndhæves af virksomheden. De skal kende deres ansvar og rolle i forbindelse med IT sikkerhed for derigennem at minimere risikoen for menneskelige fejl, tyveri, svindel og misbrug af informationsaktiver. /5

IT-sikkerhedsansvaret er fastlagt gennem diverse materiale: Ansættelsesaftale Ansættelsesvilkår Stillings- og jobbeskrivelse IT sikkerhedspolitik Ledelsen har fastsat retningslinjer for rekruttering, fastholdelse og fratrædelse af personale, herunder at sikre, at kompetencer vedligeholdes, og selskabets it-sikkerhed efterleves. Front-data Danmark følger de fastsatte retningslinjer for håndtering af personale. HR-funktionen understøtter med professionel assistance i alle forhold omkring personalehåndtering. Efterprøvning af alle jobkandidaters baggrund skal udføres i overensstemmelse med relevant love, forskrifter og etiske regler. Dette gælder både for Front-data Danmark s medarbejdere og virksomhedens samarbejdspartnere. Ledelsens kræver, at alle medarbejdere og kontrahenter opretholder informationssikkerhed i overensstemmelse med Front-data Danmark s politikker og procedurer. Alle udførende konsulenter har kompetencer inden for de områder, de beskæftiger sig med. Der stilles krav til deres grundlæggende uddannelse og deres ønsker om videreuddannelse. Styring af aktiver Front-data Danmarks kunder har ejerskabet af egne data, og kan få dem udleveret efter ønske. Licensejerskab er specificeret i den indgåede hostingaftale, hvor det er specificeret hvilke licenser, kunden er ansvarlig for, samt hvilke Front-data Danmark er ansvarlig for. Adgang til data og applikationer er opsat af Front-data Danmark ud fra kundens krav. Oprettelse, ændringer eller sletninger af brugere udføres kun efter skriftlig henvendelse til Front-data Danmark s support, fra personer hos kunden som er bemyndiget til dette. Fysisk sikkerhed Front-data Danmarks bygning har åbne yderdøre fra mandag til fredag fra kl. 08:15 til kl. 16:00. Udenfor dette tidsrum er dørene låste, og hvis bygningen ikke er bemandet er alarmsystem og røgsikringssystem tilkoblet. Alle Front-data Danmark medarbejdere er udstyret med et adgangskort med kode, som er nødvendig for betjening af alarmanlæg og adgang til bygningen. Adgangskortet bruges desuden inde i bygningen, i forhold til at bevæge sig mellem de forskellige sikkerhedszoner bygningen er opdelt i. Bygningen består af fire sikkerhedszoner, hvor sikkerhedszone 4, som omfatter serverrum, er den mest restriktive. I denne zone er der kun tilladt adgang for personale, som har en clearing til at komme i serverrummene. Alt serverudstyr og infrastruktur er placeret i sikre serverrum. Serverrummene er opbygget som selvstændige sikkerhedsceller, som udgør separate brandceller. Disse kan køre uafhængigt af hinanden. Alle servere og infrastruktur er koblet til strøm via et redundant opbygget UPS system med tilstrækkelig kapacitet til minimum 10 minutters drift ved strømudfald. For at undgå driftsforstyrrelser, som følge af længerevarende strømafbrydelser, er der installeret diesel drevet nødstrøms generator, som har kapacitet til at drive hostingcentret incl. kontorlokaler. Primære datalinjer er etableret som redundante linjer. Disse linjer er fremført som uafhængige fibre til 2 forskellige TDC centraler. /6

Beskyttelse mod eksterne trusler Front-data Danmarks alarmanlæg er opsat, så der alarmeres til et eksternt vagtfirma, såfremt uautoriseret adgang tiltvinges eller ved sabotage. Når alarmen går, er der opsat røgsystem, som fylder gangarealerne med røg. Køl Køling er etableret med et antal uafhængige kølesystemer, som er redundante. Der er etableret miljøovervågning, som konsoliderer måling af temperatur, fugtighed, lækage, strømforbrug pr rack, strømforbrug i alt, status på UPS, kølekapacitet, køleforbrug og status på brandslukningsudstyr. Ud over miljøstatistikker gives der alarm på hændelser via e-mail og SMS. Køleanlægget er designet ud fra N+2 princippet, hvilket betyder, at serverrummet stadig nedkøles såfremt 2 køleenheder skulle blive defekte. Brand Samtlige Front-data Danmarks serverrum er beskyttet af inergen brandbekæmpelsesanlæg. Inergen anlægget reagerer på partikelændringer i luften og slukker ilden ved aktivering. Ved aktivering af Inergen anlægget aktiveres også brandalarmen og brandvæsenet alarmeres. Kontroller Redundans i forsyningssikkerheden samt udstyr der anvendes, kontrolleres med faste intervaller i kontrollerede forhold, for at sikre at alt fungerer. Driftssikkerhed Front-data Danmark har opbygget hostingcentret ved hjælp af anerkendte leverandører og teknologier med fokus på en optimal driftssituation for vores kunder. Dette omfatter blandt andet følgende områder: Styring af kapacitet Løbende kontrol og justering af diskplads, netværks og serverressourcer Antivirus Alle servere er beskyttet mod vira på flere niveauer, ved anvendelse af antivirus software. Der foretages realtidsscanning af alt indkommende trafik og alle indkomne filer. Realtidsscanningen foretages på samtlige servere i driftsmiljøet. Virusdefinitioner opdateres en gang i døgnet på alle servere. E-mail scanningen foretages på dedikerede mailscannere inden e-mails tilgår Front-data Danmark og ved afsendelse af mails. Sikkerhedskopiering Front-data Danmark har sikkerhedskopiering af alle databærende servere. Løsningen bygger på en TSM løsning på et revisionserklæret setup. Der er etableret ekstra sikkerhedskopi på ekstern lokation for disaster recovery. Netværkssikring Hosting centrets netværk er opbygget med redundante centrale routere, switche og firewalls. Netværket er segmenteret i VLAN s for at opnå kontrol af data udveksling mellem servere. Kunder tilgår hosting centret gennem lukkede VPN netværk fra deres kontor lokationer. Dette kan være via Internet forbindelser eller gennem lukkede MPLS netværk. Der er mulighed for opkobling fra andre netværk ved brug af 3-fakter login, med en Token eller SMS Passcode og SSL som transportkryptering. Al datatrafik mellem Front-data Danmark og kunden er krypteret. Sikkerhedshåndtering af servere Front-data Danmark håndterer sikkerhedsopdateringer af servere ud fra en vurdering af de enkelte sikkerheds patches, i forhold til at der forefindes en effektiv skalsikring bestående af flere lag firewall og en opdeling i VLAN. Ved sikkerhedsopdatering tilstræbes altid mindst mulig driftsforstyrrelse på netværket. /7

Logning og overvågning - Fysisk adgang til bygning og mellem sikkerheds zoner logges. - Der udføres maskinel overvågning af servere og netværksudstyr. Såfremt der opstår fejl på udstyret alarmeres driftspersonalet. Overvågning af servere foretages som server, applikations og performance overvågning. - Serverrum er overvåget i forhold til temperatur, lækager, brandudvikling samt forsyning af strøm. Adgangsstyring Alle brugere registreres i de Active directory, hvortil de er tilknyttet i Front-data Danmarks hosting miljø. Der er tildelt administrative rettigheder til medarbejdere ansat i Front-data Danmark teknik. Derudover kan der være 3. parts applikationsansvarlige, som har udvidede rettigheder på en specifik server. I disse tilfælde er der indgået en 3. parts aftale mellem Front-data Danmark, kunden og applikations leverandøren. Der er opsat regler for styring af brugernes kodeord. Opbevaring af kodeord til Front-data Danmarks interne systemer, herunder kodeord der giver fuld adgang til den enkelte kundes hostede servere, opbevares på et lukket system, som kun kan tilgås med personligt login. Kun medarbejdere i Team teknik har adgang til disse kodeord. Brugere med administrative rettigheder revideres ved ændringer i personalemæssige forhold. Derudover gennemføres gennemgang af omfanget af administrative brugere med faste intervaller. Styring af informationssikkerhedsbrud Front-data Danmark overvåger sikkerhedshændelser som virus udbrud samt de mest kendte angreb fra Internettet. Hvis en trussel konstateres, vurderes alvorligheden af denne. På baggrund af denne vurdering kan Front-data Danmark vælge at lukke for adgangen til internettet, indtil truslen er ophørt eller er under kontrol. Ved konstatering af enhver sikkerhedshændelse, skal den tekniske chef underrettes, og der tages på baggrund af hændelsen stilling til hvilken handling der foretages. Sikkerhedshændelser registreres desuden i Front-data Danmarks sags styringssystem. Beredskabsstyring Front-data Danmark har til mål at højne tilgængeligheden til systemer gennem redundans, benyttelse af anerkendte hardware fabrikater, og gennem faste vedligeholdelses procedurer. Ved driftsmæssige hændelser arbejder Front-data Danmark med en graduering af hændelsens alvor og omfang. Ved alvorlige fejl er der etableret faste procedurer for udbedring af fejl samt informationsstrategi i forhold til kunder og omverden. Såfremt en hændelse nødvendiggør reetablering arbejder Front-data Danmark med reetablering på flere niveauer. Reetablering af enkelte servere Der kan opstå fatale fejl på servere f.eks. på baggrund af hardware fejl. For alle servere som Front-data Danmark har driftsansvar på, findes der en procedure for reetablering Reetablering af støre dele af Front-data Danmarks infrastruktur. Dette kan omfatte vitale dele af infrastrukturen som f.eks. storagesystem eller netværk. Her arbejder Front-data Danmark med procedurer for failover, involvering af producenter samt informationsstrategi. Procedurerne skal sikre hurtigst mulig løsningstid, samt at kunder er godt informeret under forløbet. Desuden arbejdes med rækkefølge for opstart af systemer, som sikrer at dette foregår i en rækkefølge, som tilgodeser afhængigheder. Efter opstart findes procedure for kontroller som er med til at sikre tilgængelighed. /8

Reetablering efter større katastrofer En større katastrofe kan f.eks. være brand eller sabotage, som forårsager at en maskinstue bliver beskadiget voldsomt. Her arbejder Front-data Danmark med planer for håndtering af situationen. Disse planer omfatter beredskab, involvering af samarbejdspartnere samt informationsstrategi. Væsentlige ændringer i forhold til it-sikkerhed For erklæringsperioden har der ikke været væsentlige it-sikkerhedsmæssige ændringer. Kundernes ansvar (komplementerende kontroller hos kunderne) Ovenstående beskrivelse er baseret på ovennævnte ramme, hvilket betyder, at der ikke tages højde for den enkelte kundes aftale. Ansvaret for de forretningssystemer og brugersystemer, som drives via Front-data Danmark hostingydelser, er kundernes eget ansvar. Kunderne har ansvaret for at sikre de nødvendige kontroller i forbindelse med systemudvikling, anskaffelse og ændringshåndtering. Front-data Danmark er ikke ansvarlig for adgangsrettigheder, herunder tildeling, ændring og nedlæggelse, i forhold til den enkelte kundes brugere og deres adgange til Front-data Danmark hostingaktiviteter. Kunden er selv forpligtiget til at sikre de nødvendige kontroller i tilknytning til dette kontrolmål. Kunderne er ansvarlige for datatransmission til Front-data Danmark hostingaktiviteter, og det er kundernes ansvar at skabe den nødvendige datatransmission til Front-data Danmark datacenter. Kunden skal selv sikre de nødvendige kontroller i tilknytning til dette kontrolmål. Front-data Danmark beredskabsstyring er konstrueret omkring en overordnet beredskabsplan, som beskriver tilgangsmåde og handlinger ved behov for reetablering af Front-data Danmark hostingaktiviteter. Der kan udarbejdes specifikke beredskabsplaner for den enkelte kunde efter behov i forhold til risiko ved afbrydelse i forretningsprocesser. /9

B ILAG 1: Front-data Danmark har arbejdet med følgende kontrolmål og sikkerhedsforanstaltninger fra ISO27002:2014 5. Informationssikkerhedspolitikker 5.1. Retningslinjer for styring af informationssikkerhed 6. Organisering af informationssikkerhed 6.1. Intern organisering 6.2. Mobilt udstyr og fjernarbejdspladser 7. Medarbejdersikkerhed 7.1. Før ansættelsen 7.2. Under ansættelsen 7.3. Ansættelsesforholdets ophør eller ændringer 12. Driftssikkerhed 12.1. Driftsprocedurer og ansvarsområder 12.2. Malwarebeskyttelse 12.3. Backup 12.4. Logning og overvågning 12.5. Styring af driftssoftware 12.6. Sårbarhedsstyring 13. Kommunikationssikkerhed 13.1. Styring af netværkssikkerhed 15. Leverandørforhold 15.1. Informationssikkerhed i leverandørforhold 15.2. Styring af leverandørydelser 8. Styring af aktiver 8.1. Ansvar for aktiver 8.2. Klassifikation af informationer 8.3. Mediehåndtering 9. Adgangsstyring 9.1. Forretningsmæssige krav til adgangsstyring 9.2. Administration af brugeradgang 9.3. Brugernes ansvar 11. Fysisk sikring og miljøsikring 11.1. Sikre områder 11.2. Udstyr 16. Styring af informationssikkerhedsbrud 16.1. Styring af informationssikkerhedsbrud og forbedringer 17. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring 17.1. Informationssikkerhedskontinuitet 17.2. Redundans 18. Overensstemmelse 18.1. Overensstemmelse med lov- og kontraktkrav 18.2. Gennemgang af informationssikkerhed /10

K APITEL 3: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af de generelle it-kontroller, deres udformning og funktionalitet. Omfang Vi har fået som opgave at afgive erklæring om Front-data Danmark beskrivelse i kapitel 2 (inkl. bilag 1), som er en beskrivelse af de generelle it-kontroller, som udføres i forbindelse med driften af Front-data Danmark hostingaktiviteter i perioden 1. januar 2015-31. december 2015, og om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Erklæringen er afgivet efter helhedsmetoden, hvilket betyder, at denne erklæring også omfatter de it-sikkerhedsmæssige kontroller og kontrolaktiviteter, som er tilknyttet i forbindelse med anvendelse af eksterne samarbejdspartnere. Front-data Danmark anvender eksterne samarbejdspartnere i forbindelse med driften af deres hostingaktiviteter. De eksterne samarbejdspartnere dækker følgende områder: Remote backup med tilhørende fysiske opbevaring af backupdata på sekundært site. Front-data Danmark er medlem af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark), hvilket medfører en række forhold, som virksomheden skal overholde for at opnå retten til at bruge BFIH s kvalitetsmærke Certificeret IT-hosting. Vores erklæring omfatter også disse forhold, som består ud over de fysiske forhold såsom server, hardware, LAN, WAN og firewall af en konklusion om: hvorvidt Front-data Danmark har implementeret kritiske sikkerhedsopdateringer inden for 2 mdr. fra frigivelse, og hvorvidt Front-data Danmark kan reetablere enheder i datacenter inden for 3 dage. Erklæringen dækker ikke kundespecifikke forhold. Desuden dækker erklæringen ikke de komplementerende kontroller og kontrolaktiviteter, som udføres af brugervirksomheden, jf. virksomhedsbeskrivelsen kapitel 2, afsnittet om komplementerende kontroller. Front-data Danmark ansvar Front-data Danmark er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udsagn i kapitel 2 (inkl. bilag 1), herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret; for leveringen af de ydelser beskrivelsen omfatter, for at anføre kontrolmålene samt for udformningen, implementeringen og effektivt fungerende kontroller for at nå de anførte kontrolmål. Revisors ansvar Vores ansvar er, på grundlag af vores handlinger, at udtrykke en konklusion om Front-data Danmark beskrivelse samt om udformningen og funktionen af kontroller, der knytter sig til kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlig henseender er hensigtsmæssigt udformet og fungerer effektivt. En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelse, udformning og funktionalitet af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En /11

erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden i de heri anførte mål samt hensigtsmæssigheden af de kriterier, som Front-data Danmark har specificeret og beskrevet i kapitel 2 (inkl. bilag 1). Det er RSM plus opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos Front-data Danmark Front-data Danmark beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtig efter deres særlige forhold. Endvidere vil kontroller hos Front-data Danmark, som følge af deres art, muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos serviceleverandører kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er kriterier, der er beskrevet i kapitel 1 i ledelsens erklæring. Det er vores opfattelse, a) at beskrivelsen af de af Front-data Danmark generelle it-kontroller til hostingaktiviteter, således som det var udformet og implementeret i hele perioden fra 1. januar 2015-31. december 2015, i alle væsentlige henseender er retvisende, og b) at kontrollerne, som knyttede sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra 1. januar 2015-31. december 2015, og c) at de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden fra 1. januar 2015-31. december 2015. d) at kontrollerne i forhold til de særlige krav, som er tilknyttet Front-data Danmark medlemskab af BFIH jf. virksomhedsbeskrivelsen i kapitel 2, var hensigtsmæssigt udformet og har fungeret effektivt i hele perioden fra 1. januar 2015-31. december 2015. Vi skal bemærke, at der for de enkelte kunder kan være specifikke forhold, som gør, at den generelle konklusion ikke er dækkende. Hvis det er aftalt mellem kunden og Front-data Danmark, at der udarbejdes en specifik erklæring vedrørende kundens kontrakt, vil forholdene fremgå heraf. Beskrivelse af test kontroller De specifikke kontroller, der er testet, samt arten, den tidsmæssige placering og resultater af disse test, fremgår af kap.4. Tiltænkte brugere og formål Denne erklæring og beskrivelsen af test af kontroller under kapitel 4 er udelukkende tiltænkt Front-data Danmark kunder og deres revisorer, som har en tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om kunders egne kontroller, når de vurderer risiciene for væsentlige fejlinformationer i deres regnskaber. København, den 4. februar 2016 RSM plus P/S statsautoriserede revisorer Kim Larsen Statsautoriseret revisor Jesper Aaskov Pedersen Head of IT Assurance & Advisory /12

KAPITEL 4: Revisors beskrivelse af kontrolmål, sikkerhedstiltag, test og resultater heraf Vi har struktureret vores arbejde i overensstemmelse med IASE 3402 erklæring med sikkerhed om kontroller hos en serviceleverandør. For hvert kontrolmål indleder vi med et kort resumé af kontrolmålet, som det er beskrevet i referencerammen ISO27002:2014. Derefter opremser vi i første kolonne de aktiviteter, som Front-data Danmark jf. sin dokumentation har iværksat for at leve op til kontrolmålene, i anden kolonne hvordan vi har valgt at teste, om det forholder sig som beskrevet, og i tredje kolonne, hvad resultatet af vores test har været. Hvad angår periode har vi i vores test forholdt os til, om Front-data Danmark har levet op til kontrolmålene i perioden 1. januar 2015-31. december 2015. INDLEDENDE KONTROLMÅL: Risikovurdering og håndtering Risikovurdering skal identificere og prioritere risici med udgangspunkt i driften af hostingaktiviteter. Resultatet skal bidrage til at fastlægge og prioritere de nødvendige ledelsesindgreb og sikringsforanstaltninger for at imødegå relevante risici. Front-data Danmark kontroller Revisors test af kontroller Resultat af test Gennem en risikovurdering er der sket identificering og prioritering af risici. Udgangspunkt for vurderingen er de i beskrivelsen definerede hostingaktiviteter. Resultatet bidrager til at fastlægge og prioritere de nødvendige ledelsesindgreb og sikringsforanstaltninger for at imødegå relevante risici. Vi har forespurgt og indhentet det relevante materiale ifm. revisionen af risikohåndteringen. Vi har kontrolleret, at der for hostingaktiviteter arbejdes med en løbende risikovurdering, som opstår som følge af de forretningsmæssige forhold og dennes udvikling. Vi har kontrolleret, at risikovurderingen er forankret ned igennem de organisatoriske forhold. Vi har kontrolleret, at der sker løbende behandling af virksomhedens risikobillede, og med dertil hørende løbende tilpasning af konsekvenser og sandsynlighed. /13

KONTROLMÅL 5: Informationssikkerhedspolitikker Ledelsen skal udarbejde en informationssikkerhedspolitik, som bl.a. skal indeholde ledelsens sikkerhedsmålsætning, -politik og overordnede handlingsplan. Informationssikkerhedspolitikken vedligeholdes under hensyn til den aktuelle risikovurdering. Front-data Danmark kontroller Revisors test af kontroller Resultat af test Det er en skriftlig strategi, som bl.a. indeholder ledelsens sikkerhedsmålsætning, -politik og overordnede handlingsplan. It-sikkerhedspolitikken og de tilhørende støttepolitikker er godkendte af virksomhedens ledelse, og efterfølgende forankret ned gennem virksomhedens organisation. Politikken er tilgængelig for alle relevante medarbejdere. Politikken revurderes efter planlagte intervaller. Vi har indhentet og revideret Front-data Danmark seneste it-sikkerhedspolitik. Gennem revisionen har vi kontrollet, at der sker løbende vedligeholdelse af it-sikkerheds-politikken. Samtidig har vi ved revisionen kontrolleret, at de underliggende støttepolitikker er implementeret. Vi har kontrolleret, at politikken er godkendt og underskrevet af virksomhedens bestyrelse og direktion, og den er gjort tilgængelig for medarbejderne via Front-data Danmark intranet. /14

KONTROLMÅL 6: Organisering af Informationssikkerhed Der skal etableres en styring af it-sikkerheden i virksomheden. Der skal være placeret et organisatorisk ansvar for it-sikkerheden med passende forretningsgange og instrukser. Den it-sikkerhedsansvarliges rolle skal bl.a. sikre overholdelse af sikringsforanstaltninger, herunder løbende ajourføring af den overordnede risikovurdering. Ved anvendelse af mobilt udstyr og/ eller fjernarbejdspladser skal ledelsen fastsætte og implementere passende politikker samt sikkerhedsforanstaltninger. Front-data Danmark kontroller Revisors test af kontroller Resultat af test Der er placeret et organisatorisk ansvar for it-sikkerhed, og det er dokumenteret og implementeret. It-sikkerheden er koordineret på tværs af virksomhedens organisatoriske rammer. Der foreligger passende forretningsgange for medarbejdere omkring angivelse af tavshedserklæring. Gennem inspektion og test har vi sikret, at det organisatoriske ansvar for it-sikkerhed er dokumenteret og implementeret. Vi har kontrolleret, at it-sikkerheden er forankret på tværs af organisation i forhold til hostingaktiviteter. Ved interview har vi kontrolleret, at den it-sikkerhedsansvarlige har kendskab til rollen og de tilhørende ansvarsområder. Gennem forespørgsler og stikprøve på ansættelsesaftale har vi kontrolleret, at medarbejdere i Front-data Danmark er bekendte med deres tavshedspligt. Risici i relation til anvendelse af mobil udstyr og fjernarbejdspladser er identificeret, og sikkerhedsforhold i relation til kunder er håndteret. Det er kontrolleret, at der findes formelle politikker i forbindelse med anvendelse af mobilt udstyr og fjernarbejdspladser. Vi har stikprøvevis inspiceret, at politikken er implementeret i forhold til medarbejdere med mobilt udstyr. Ifm. anvendelsen af fjernarbejdspladser hos Frontdata Danmark har vi gennemgået, hvorvidt der er implementeret passende sikkerhedsforanstaltninger, således at området er afdækket i forhold til risikovurderingen for området. /15

KONTROLMÅL 7 : Medarbejdersikkerhed Der skal sikres, at alle nye medarbejdere er opmærksomme på deres særlige ansvar og rolle i forbindelse med virksomhedens informationssikkerhed for derigennem at minimere risikoen for menneskelige fejl, tyveri, svindel og misbrug af virksomhedens informationsaktiver. Front-data Danmark kontroller Revisors test af kontroller Resultat af test Via fastlagte arbejdsprocesser og procedurer er det sikret, at alle nye medarbejdere får oplyst deres særlige ansvar og rolle i forbindelse med ansættelse i Front-data Danmark. Herunder de fastlagte rammer for deres arbejde og den omkringliggende it-sikkerhed. Eventuelle sikkerhedsansvar er fastlagt, og nærmere beskrevet gennem stillingsbeskrivelse og i form af vilkår i ansættelseskontrakten. Medarbejderne er bekendte med deres tavshedspligt via en underskrevet ansættelseskontrakt og via Front-data Danmark personalepolitik. Vi har kontrolleret, at de af ledelsen udarbejdede forretningsgange og procedurer i forbindelse med ansættelse og ansættelsesophør er overholdt. Gennem stikprøver har vi testet, om ovenstående forretningsgange og procedurer er overholdt både i forhold til ansættelse og ansættelsesophør. Ved interview har vi kontrolleret, at væsentlige medarbejdere for hostingaktiviteter er bekendt med deres tavshedspligt. Vi har gennemgået centrale medarbejderes stillingsbeskrivelser, og efterfølgende testet den enkelte medarbejders kendskab til arbejdsmæssige roller og tilhørende sikkerhedsansvar. Revision har påset, at Front-data Danmark personalepolitik er nemt tilgængelig, og har et afsnit omkring vilkår for fortrolighed, som følge af information opnået ifm. arbejde udført hos Front-data Danmark. /16

KONTROLMÅL 8 : Styring af aktiver Aktiver i forbindelse med driften af hostingaktiviteterne skal være identificeret og der skal være passende ansvarsområder til beskyttelse heraf. En klassificering af information skal sikre passende beskyttelse af information, der står i forhold til informationens betydning for organisationen. Der skal være fast forretning for håndtering af medier som er tilknyttet hostingaktiviteter for derigennem at forhindre uautoriseret offentliggørelse, ændring, fjernelse eller destruktion af informationer på medier. Front-data Danmark kontroller Revisors test af kontroller Resultat af test Alle informationsaktiver er identificeret, og der er etableret en ajourført fortegnelse over alle væsentlige aktiver. Der er udpeget en ejer for alle væsentlige aktiver i forbindelse med driften af hostingaktiviteter. Vi har gennemgået og kontrolleret virksomhedens centrale it-register for væsentlige it-enheder i tilknytning til driften af Front-data Danmark hostingaktiviteter. Gennem observation og kontrol har vi kontrolleret relationer over til de centrale knowhow systemer for driften af hostingaktiviteter. Vi har ved observationer og forespørgsler kontrolleret, at Front-data Danmark overholder de væsentligste sikringsforanstaltninger for området i henhold til sikkerhedsstandarden. Informationer og data i relation til hostingaktiviteter og den efterfølgende drift af hostingcenter er klassificeret på grundlag af forretningsmæssig værdi, følsomhed og behovet for fortrolighed. Vi har kontrolleret, at der er passende opdeling og tilhørende procedurer/forretningsgange ifm. beskyttelse omkring ejerskab mellem applikationer og data samt øvrige enheder i forhold til Frontdata Danmark drift af hostingaktiviteter. Vi har kontrolleret, at kontrakter og SLA anvendes som et centralt værktøj til at sikre definitionen, adskillelse og afgrænsning mellem Front-data Danmark ansvarsområder og overgangen til kundens ansvarsområde ifm. adgang til informationer og data. Derved påhviler det typisk kunden et eget ansvar at sikre, at der er et passende beskyttelsesniveau på egne informationer og data. Der er procedurer for, hvorledes der skal ske destruktion af databærende medier. Vi har: forespurgt ledelsen om hvilke procedurer/ kontrolaktiviteter, der udføres i forhold til flytbare medier. stikprøvevist gennemgået procedurerne for destruktion af databærende medier, til bekræftelse af at de er formelt dokumenterede. /17

KONTROLMÅL 9 : Adgangsstyring Adgangen til virksomhedens systemer, informationer og netværk skal styres med udgangspunkt i de forretningsog lovgivningsbetingede krav. Autoriserede brugeres adgang skal sikres og uautoriseret adgang skal forhindres. Front-data Danmark kontroller Revisors test af kontroller Resultat af test Der foreligger dokumenterede og ajourførte retningslinjer for Frontdata Danmark adgangsstyring. Vi har: forespurgt ledelsen, om der er etableret procedurer for adgangsstyring i Front-data Danmark. stikprøvevist påset, at procedurer for adgangsstyring eksisterer og er implementeret jf. Front-data Danmark retningslinjer. gennem interview af nøglepersoner samt ved stikprøvevis inspektion påset, at adgangsstyring til driftsmiljøet følger Front-data Danmark retningslinjer, og at autorisationer tildeles i henhold til aftale. Der er en formaliseret forretningsgang for tildeling og afbrydelse af brugeradgang. Tildeling og anvendelse af udvidede adgangsrettigheder er begrænset og overvåges. Vi har forespurgt ledelsen, om der er etableret procedurer for adgangsstyring i Front-data Danmark. Vi har ved stikprøvevis inspektion påset, at der anvendes passende autorisationssystemer i relation til adgangsstyring i Front-data Danmark. at den formaliserede forretningsgang for tildeling og afbrydelse i brugeradgang er implementeret i Front-data Danmark systemer, og at der foretages løbende opfølgning på registrerede brugere. Interne brugeres adgangsrettigheder gennemgås regelmæssigt efter en formaliseret forretningsgang. Vi har ved stikprøvevis inspektion påset, at der eksisterer en formaliseret forretningsgang for opfølgning på kontrol af autorisationer i henhold til retningslinjerne, herunder: at der foretages løbende formel ledelsesmæssig opfølgning på registrerede brugere med udvidede rettigheder hver 3. måned at der foretages løbende formel ledelsesmæssig opfølgning på registrerede brugere med almindelige rettigheder hver 6. måned. /18

Tildeling af adgangskoder styres gennem en formaliseret og kontrolleret proces, som bl.a. sikrer at der sker skift af standard password. Vi har forespurgt ledelsen, om der er etableret procedurer for tildeling af adgangskoder i Frontdata Danmark. Vi har ved stikprøvevis inspektion påset, at der ved tildeling af adgangskode sker en automatisk systemmæssig kontrol af, at password skiftes ved første login. at standard password ved implementering af systemsoftware mv. skiftes. hvor dette ikke er muligt, at procedurer sikrer, at der sker manuelt skift af standard password. Adgange til operativsystemer og netværk er beskyttet med password. Der er opsat kvalitetskrav til password, således at der kræves en minimumslængde (12 tegn), krav til kompleksitet og maksimal løbetid (max 90 dage), ligesom password opsætninger medfører, at password ikke kan genbruges (husker de seneste 24 versioner). Endvidere bliver brugeren lukket ude ved gentagne fejlslagne forsøg på login. Vi har forespurgt ledelsen, om der er etableret procedurer, der sikrer kvalitetspassword i Frontdata Danmark. Vi har ved stikprøvevis inspektion påset, at der er etableret passende programmerede kontroller for sikring af kvalitetspassword, der sikrer efterlevelse af politikker for: minimum længde for password minimum levetid for password maksimal levetid for password minimum historik for password lockout efter fejlede login forsøg /19

KONTROLMÅL 11: Fysisk sikkerhed Der skal være beskyttelse af virksomhedens lokaler og informationsaktiver mod uautoriseret fysisk adgang samt fysiske skader og forstyrrelser. Der skal opbygges sikkerhedstiltag, som sikrer, at der undgås tab af, skader på eller kompromittering af virksomhedens informationsaktiver samt forstyrrelser af virksomhedens forretningsaktiviteter. Beskyttelsesforanstaltningerne skal også omfatte destruktion af forældet eller beskadiget udstyr samt nødvendige forsyninger som el, vand og ventilation samt kabelinstallationer. Front-data Danmark kontroller Revisors test af kontroller Resultat af test Der er etableret en sikker fysisk afgrænsning, som beskytter de områder, hvorfra hostingaktiviteter driftes. De sikre områder er beskyttet med adgangskontrol, så kun autoriserede personer kan få adgang. Der er etableret overvågning af områder til af- og pålæsning samt øvrige områder, hvortil offentligheden har adgang. Jf. serviceleverandørers beskrivelse er den fysiske adgangssikkerhed bl.a. gennemgået og kontrolleret med udgangspunkt i de af ledelsen fastsatte krav. Vi har gennemgået og kontrolleret de fysiske adgange til begge datacentre, som bl.a. sikres via et nøglesystem kombineret med personlig kode, som sikrer begrænset adgang til Front-data Danmark datacenter. Via besøg, interview og observation er det kontrolleret, at adgangen til begge Front-data Danmark datacenter er i overensstemmelse med ovenstående forretningsgange omkring adgangsbegrænsning. Vi har stikprøvevis gennemgået procedurer for fysisk sikkerhed vedrørende sikrede områder for at vurdere, om adgang til disse områder forudsætter dokumenteret ledelsesmæssig godkendelse, samt at personer uden godkendelse til sikrede områder skal registreres og ledsages af medarbejder med behørig godkendelse. Vi har stikprøvevis gennemgået medarbejdere med adgang til sikre områder og påset, at de er oprettet i henhold til de fastlagte procedurer. Udstyr som er placeret i datacenter beskyttes mod fysiske trusler såsom brand, vandskade, strømafbrydelse, tyveri eller hærværk. Datacenteret er sikret mod forsyningssvigt som elektricitet, vand, varme og ventilation. Der er installeret udstyr til overvågning af indeklima, såsom luftfugtighed. Kabler til brug for datakommunikation og elforsyning er beskyttet imod uautoriserede indgreb. Vi har gennemgået og kontrolleret, at begge Front-data Danmark datacenter overholder de af ledelsen fastsatte krav. Revisionen har kontrolleret overholdelsen af de nødvendige sikringsforanstaltninger jf. ISO 27002 afsnit 11 i forholdene til beskyttelse mod skader, forårsaget af fysiske forhold som f.eks. brand, vandskade, strømafbrydelse, tyveri eller hærværk. Konkret har vi: påset tilstedeværelse af brandbekæmpelsessystemer og køling i datacenter. gennemgået og kontrolleret dokumentation for vedligeholdelse til bekræftelse af, at UPS og dieselgenerator løbende vedligeholdes og testes. /20

Udstyret til brug for hostingaktiviteter vedligeholdes efter forskrifterne for at sikre dets tilgængelighed og pålidelighed. Det udstyr, der benyttes uden for datacenteret, beskyttes efter samme retningslinjer, som gælder for udstyr inden i datacenter, under hensyntagen til de særlige risici ved ekstern anvendelse. Alt udstyr med lagringsmedier kontrolleres for at sikre, at kritiske/følsomme informationer og licensbelagte systemer er fjernet eller overskrevet, når udstyret bortskaffes eller genbruges. observeret under besøg i datacenter, at der foretages monitering af UPS og dieselgenerator. påset tilstedeværelse af udstyr til overvågning af indeklima i datacentre. påset sikring af kabler for datakommunikation og elforsyning. stikprøvevis gennemgået dokumentationen for vedligeholdelse af udstyr til beskyttelse med fysiske trusler sker ved løbende vedligeholdelse. gennemgået og kontrolleret de af ledelsen udarbejdede procedurer til bortskaffelse af udstyr tilknyttet driften af hostingaktiviteter. I forbindelse med anvendelse af datacenter 2 skal sikkerhedstiltagene være ligestillet med kravene til Front-data Danmarks eget datacenter. Gennem revision har vi testet, at datacenter 2 indeholder og overholder de samme tiltag for Frontdata Danmarks eget datacenter. /21

KONTROLMÅL 12: Driftssikkerhed Delkontrolmål: Driftsprocedurer og ansvarsområder En korrekt og betryggende driftsafvikling af virksomhedens styresystemer skal sikres. Risikoen for teknisk betingede nedbrud skal minimeres. En vis grad af langtidsplanlægning er påkrævet for at sikre tilstrækkelig kapacitet. Der skal derfor foretages en løbende kapacitetsfremskrivning baseret på de forretningsmæssige forventninger til vækst og nye aktiviteter og de heraf afledte kapacitetskrav. Front-data Danmark kontroller Revisors test af kontroller Resultat af test Der er dokumenteret driftsafviklingsprocedure for forretningskritiske systemer, og de er tilgængelige for personale med et arbejdsbetinget behov. Ledelsen har implementeret politikker og procedurer til sikring af tilfredsstillende funktionsadskillelse. Vi har: forespurgt ledelsen om alle relevante driftsprocedurer er dokumenteret. i forbindelse med revisionen af de enkelte driftsområder stikprøvevis kontrolleret, at der foreligger dokumenterede procedurer, samt at der er overensstemmelse mellem dokumentationen og de handlinger, som faktisk udføres. foretaget inspektion af brugere med administrative rettigheder, til verificering af at adgange er begrundet i et arbejdsbetinget behov og ikke kompromitterer funktionsadskillelsen. Der er etableret en styring af driftsmiljøet for at minimere risikoen for teknisk betingede nedbrud. Der foretages en løbende kapacitetsfremskrivning baseret på de forretningsmæssige forventninger til vækst og nye aktiviteter og de heraf afledte kapacitetskrav. Vi har: forespurgt ledelsen om de procedurer/ kontrolaktiviteter, der udføres. stikprøvevist gennemgået, at ressourceforbruget i driftsmiljøet bliver overvåget og tilpasset i forhold til det forventede og nødvendige kapacitetsbehov. /22

Delkontrolmål: Malwarebeskyttelse Der skal beskyttes mod skadevoldende programmer, som eksempelvis virus, orme, trojanske heste og logiske bomber. Der skal træffes foranstaltninger til at forhindre og konstatere angreb af skadevoldende programmer. Front-data Danmark kontroller Revisors test af kontroller Resultat af test Der er etableret både forebyggende, opklarende og udbedrende sikrings- og kontrolforanstaltninger, herunder den nødvendige uddannelses- og oplysningsindsats for virksomhedens brugere af informationssystemer mod skadevoldende programmer. Vi har: forespurgt og inspiceret de procedurer/ kontrolaktiviteter, der udføres i tilfælde af virusangreb eller udbrud. forespurgt og inspiceret de aktiviteter, som skal gøre medarbejdere opmærksomme på forholdsregler ved virusangreb eller udbrud. kontrolleret at servere har installeret antivirusprogrammer, inspiceret signaturfiler, der dokumenterer, at de er opdateret. Delkontrolmål: Backup Den ønskede tilgængelighed til virksomhedens informationsaktiver skal sikres. Der skal være etableret faste procedurer for sikkerhedskopiering og løbende afprøvning af kopiernes anvendelighed. Front-data Danmark kontroller Test/ revisionshandlinger Resultat af test Der foretages sikkerhedskopiering af alle virksomhedens væsentlige informationsaktiver, herunder eksempelvis parameteropsætninger og anden driftskritisk dokumentation, i henhold til fastlagte retningslinjer. Vi har: forespurgt ledelsen om de procedurer/ kontrolaktiviteter, der udføres. stikprøvevist gennemgået backupprocedurer, til bekræftelse af at de er formelt dokumenterede. stikprøvevis gennemgået backup-log vedrørende backup, for bekræftelse af at backup er gennemført succesfuldt og at tilfælde af mislykkede backup håndteres rettidigt. gennemgået fysisk sikkerhed (bl.a. adgangsbegrænsning) for intern opbevaringslokation, til bekræftelse af, at backup opbevares betryggende. /23

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback