Sikkerhedsinstruks for Navision Stat + ARS + Workflow. hos DANMARKS MILJØUNDERSØGELSER AARHUS UNIVERSITET. Version 1.3. 06.

+ ARS + Workflow Sikkerhedsinstruks for Navision Stat ARS - Workflow hos DANMARKS MILJØUNDERSØGELSER AARHUS UNIVERSITET Version 1.3 06. februar 2009 Baseret på Økonomistyrelsen vejledning Version 3.5 af 31. august 2006 Print af 11-02-2009 12:19:45 Side 1 af 18

+ ARS + Workflow Indholdsfortegnelse x. Version 0. Præambel 1. Formål 2. Ansvar for informationsbehandlingen/it-strategi 2.1. Ledelsens ansvar 2.2. IT-afdelingens ansvarsområde 2.3. System- og dataejerskaber 2.4. Principper for Informationssikkerhed/risikovurdering 3. Dokumentationsmaterialer, funktioner og opbygning 4. Fysisk sikkerhed 4.1. Serverrum 4.2. Brugerlokaler 4.3. Skadeforebyggelse 4.4. Opbevaring af datamedier og systemdokumentation 4.5. Virus og andre uønskede programmer 4.6. Brugernes ansvar 5. Adgangsforhold 5.1. Administrator konto på fysisk server/domaine 5.2. Brugeradministration vedrørende lokalnettet 5.3. Procedure for brugervedligeholdelse i Navision Stat 5.4. Brugeradministration vedrørende banksystem 5.5. Brugeradgang til ØDUP-relaterede mapper 5.6. Interne kontrolprocedurer for brugervedligeholdelse 5.7. Eksternes adgang til institutionernes systemer 6. Afvikling af driftskørsler og periodiske aktiviteter 6.1. Oversigt over periodiske aktiviteter 6.2. Backup/sikkerhedskopiering 6.3. Opbevaring af sikkerhedskopier 6.4. Kontrol af den daglige driftsafvikling 7. Særlige driftskørsler 8. Særligt om anvendelse af eget it-anlæg med egen programmering 9. Særlige kontroller 10. Nødplaner 11. Sikkerhedsmæssige hændelser 12. Kendte Mangler Print af 11-02-2009 12:19:45 Side 2 af 18

Version Dato Rettet af: Versionsnr Ændring 18.11.2008 MASH/BF x.x Ny struktur med reference til Økonomistyrelsens vejledning V3.5 01.12.2008 MASH/BF/LVi 1.0 15.12.2008 MASH/BF/LVi 1.1 Med ændringer i punkt 5.3 aftalt på møde med Rigsrevisionen den 5. dec. 2008. 17.12.2008 MASH/BF/LVi 1.2 Sproglige rettelser 06.02.2009 LVi/SDC/BF 1.3 Instruksen udvidet til at beskrive det samlede kompleks: Navision + ARS + Workflow. Samt en række mindre ændringer. Forhold omkring brugen af 2-faktor validering i forbindelse med Administratorkonti indføjet. Præambel DMU's Navision-installation er på nogle punkter anderledes udformet end andre statslige virksomheders, hvorfor det er fundet formålstjenligt med en kort introduktion til DMU's Navision-installation. DMU's Navision er særlig på to områder: Navision er suppleret med det særlige ARS modul. ARS står for Aktivitets- og Ressourcestyrings- System og er en fuldt integreret add in til Navision Stat, som udvider Navisions funktionalitet fra grundlæggende at være et bogholderisystem til også at være et projektstyringssystem. Navision er suppleret med et CapNordic Workflowsystem, som styrer godkendelses-flowet i forbindelse med indkøb. Integrationen mellem disse 3 del-systemer, Navision, ARS og Workflow, er så gennemført at det er nødvendigt at se på det samlede systems funktioner under ét. Derfor er dette ikke blot en sikkerhedsinstruks for Navision. Dette er en sikkerhedsinstruks for Navision + ARS + Workflow. For kendere af Navision, men som ikke måtte kende ARS og Workflow, kan det måske virke uklart hvor tingene sker, dvs i hvilket del-system, og specielt kan det umiddelbart være vanskeligt at vurdere om der skulle være opretholdt de klassiske funktionsadskillelser som sikrer at den person der godkender, ikke kan være den samme som den der registrerer. Det er derfor fundet formålstjenligt nøjere at beskrive og gennemgå disse forhold. Der skal system- og proceduremæssigt skelnes mellem godkendelse af timer og godkendelse af køb. Godkendelse af timer Den enkelte medarbejder registrerer selv sit timeforbrug på de enkelte projekter, herunder fravær (ferie, sygdom og mange andre arter af fravær). Når der er registreret en uge, lukker medarbejderen ugen, hvilket betyder at ugen låses, hvilket igen betyder at medarbejderen ikke kan rette i sine timer. Når en kalendermåned er gået, kontrollerer en af afdelingschefen udpeget person, typisk afdelingssekretæren, at timeregistreringer er foretaget for den samlede måned (ellers rykkes) og at fraværsregistreringen er korrekt. Når dette er sket, trækker afdelingssekretæren en rapport der oplister afdelingens timeforbrug for hver enkelt medarbejder i den pågældende måned. Med sin underskrift godkender afdelingschefen denne forbrugsoversigt. Herefter godkender afdelingssekretæren systemmæssigt i ARS månedens timeforbrug. Ved denne proces føres de registrerede timer ud på projekterne. Herved er timerne bogførte. Det kan måske undre at alle de projektrelaterede timer (dvs. andre end fraværstimerne) ikke umiddelbart underkastes en reel godkendelse, men godkendes en bloc. En godkendelsen af de projektrelaterede timer kan imidlertid ikke med fornuft gennemføres på dette tidspunkt. Måske vil det være illustrativt at pege på at for en middelstor afdeling vil der i løbet af en måned kunne være genereret op til 10.000 tidsregistreringsposter. Om en given registreret time udført på et projekt kan godkendes eller ikke godkendes, kan i sagens natur ikke vurderes aldeles løsrevet, men må naturligvis ses i sammenhæng med, dels de timer der ellers allerede er registrerede på projektet, dels budgettet for projektet, dels kontrakten der ligger bag projektet. Derfor sker godkendelse/ikke godkendelse af projektførte timer i forbindelse Print af 11-02-2009 12:19:45 Side 3 af 18

med udfakturering på projektet. Først på dette senere tidspunkt kan man nemlig se på alle disse ting i sammenhæng; ved projektlederens gennemgang af projektet vil han/hun kunne konstatere om der måtte være timer der er registreret på fx Work Package A i stedet for på Work Package B eller på det forkerte projekt eller at der har været brugt for mange timer af en/flere medarbejdere på projektet og at disse timer derfor skal omposteres til projektets særlige Work Package Timer der ikke skal viderefaktureres til kunden. Sådanne ændringer sker naturligvis ved traditionel ompostering som er omfattet DMU's attesteringsregler. Afdelingssekretæren er opsat i ARS med en særlig rettighed, nemlig ARS-TIMEGODKENDER. Almindelige medarbejdere, der måtte vide hvor i systemet man godkender timer, vil således ikke kunne godkende timer for sig selv eller andre. For forståelse af systemet er det vigtigt at gøre sig klart, at ARS ikke er et selvstændigt system der på en eller anden måde korresponderer med Navision. ARS er en integreret add in til Navision, fuldstændig som Købsmodulet eller Salgsmodulet er fuldstændigt integreret i Navision. De oplysninger der ved hjælp af ARS registreres, gemmes dels i Navision egne tabeller, dels i et sæt ARS-specifikke tabeller, der ligger i samme database som Navisions øvrige tabeller. Selve tidsregistreringen foregår ganske vist v.hj.af en web applikation og man kan måske deraf få det indtryk at der er tale om en selvstændig applikation og at data, dvs. timeregistreringerne, ved batch-kørsler eller på anden usikker vis og i ikkesand tid, bliver udvekslet mellem Navision og ARS-timeregistrering. Sådan forholder det sig imidlertid ikke: i samme øjeblik en time måtte blive registreret på webfladen, gemmes registreringen i en tabel i Navision. Godkendelse af køb Købsprocessen understøttes ved hjælp af DMU's workflowsystem, CapNordic. Det er vigtigt at gøre sig klart at workflowsystemet i det store og hele er en digitalisering af den traditionelle, manuelle proces der tidligere har været anvendt. Altså den tidligere proces hvor et fysisk bilag - en faktura for fx et køb af en vare bevægede sig rundt i virksomheden og blev forsynet med underskrift dels af projektleder (som godkendte af varen er korrekt leveret), dels af afdelingschefen som attesterede at varen er relevant i forhold til det projekt den er indkøbt til og i øvrigt overholdt DMU's regler, dels efterfølgende blev konteret af en afdelingsøkonomimedarbejder. Der var således i den tidligere, manuelle proces 3 personer som ved deres signatur godkendte det pågældende indkøb. Workflowsystemet efterligner denne proces, men på digital vis. Før køb af en vare oprettes en rekvisition ved at den der skal købe en vare til et projekt, henvender sig til afdelingens rekvisitør. Rekvisitionen påføres projektnummer, finanskode, moms, mv. Herefter sendes rekvisitionen på en rundtur, først til projektlederen der konstaterer om rekvisitionen indeholder den rigtige information; projektlederen kan godkende/afvise. Godkender projektlederen, fortsætter rekvisitionen til den attestationsberettigede, der godkender/afviser rekvisition. Godkender denne rekvisitionen, fortsætter rekvisitionen til afdelingens økonomimedarbejder der kontrollerer, igen, om de påførte oplysninger er korrekte. Denne rundtur foregår elektronisk via mails til de pågældende og rundturen logges; loggen er låst, dvs man kan ikke ændre i den. På et senere tidspunkt vil der dukke en faktura op, som da den er elektronisk, automatisk dukker op i Navision. Via workflowsystemets logik matches fakturaen op mod den modsvarende rekvisition. Det centrale bogholderi tjekker nu, endnu en gang, at de påførte oplysninger er korrekte, herunder at kreditoroplysninger, betalingsbetingelser er overholdt, mv. Endvidere tjekkes om der er tale om en delleverance. Når alt er fundet i orden, trykker det centrale bogholderi på Bogfør i Navision. Den pågældende transaktion vil nu være lagret i Navision fuldstændig som den ville være lagret ved en bogføring i en Navision uden et workflowsystem. Man kan for hver enkelt bogføring finde tilbage til hvem der har godkendt indkøbet hvornår via den indbyggede log. I workflowsystmet er selve godkendelseshierarkiet sat op med de konkrete personer; denne opsætning følger naturligvis regnskabsinstruksens beskrivelse af hvem der er attestationsberettigede. Kun den ansvarlige kan ændre denne opsætning, fx ved udskiftning af medarbejdere. Der er 4 forskellige roller i workflow-kæden: rekvisitør, projektleder, attestationsberettigede, og den økonomiansvarlige. Der kan være personsammenfald mellem rekvisitør og økonomiansvarlige og i visse tilfælde mellem rekvisitør og projektleder; men der er altid minimum 2 forskellige personer der skal deltage i godkendelsesprocessen. Print af 11-02-2009 12:19:45 Side 4 af 18

Man kunne umiddelbart få den opfattelse at data den enkelte transaktion findes to steder, nemlig i workflowsystemet og i Navision. Det er ikke tilfældet: på et givent tidspunkt eksisterer der kun en repræsentation af data, som enten i begyndelsen af forløbet befinder sig i workflowsystemet eller på et senere tidspunkt i forløbet befinder sig i Navision. Der er altså ikke to datasæt omhandlende det samme og dermed med behov for klassisk afstemning. Der er som nævnt en logbog, hvor man på et hvert tidspunkt kan se hvor i processen (i workflowsystemet eller i Navision) transaktionen aktuelt befinder sig. Mens den primære registrering og den tilhørende godkendelse og det gælder såvel af timer som af køb er beskrevet ovenfor, kan der også være behov for at beskrive om der er mulighed for at en medarbejder efter at de ovennævnte godkendende processer har været gennemført efterfølgende kan omgøre en timeregistrering eller et køb. Det er vigtigt at forstå at ovennævnte registreringer, hvad enten det er timer eller udgifter i øvrigt, er gemt som transaktioner i Navisions tabeller fuldstændig som i en Navision uden ARS eller Workflowsystem. Som bekendt kan man ikke i Navision ændre bogførte beløb ved blot at slette dem fra Navision. Det man kan, er at man naturligvis kan foretage rettelser til tidligere gennemførte transaktioner hvis man fx har opdaget en konteringsfejl. Men en sådan rettelse kan kun ske ved en ompostering. En ompostering gøres ved at udfærdige et særligt omposteringsbilag; dette attesteres efter regnskabsinstruksens regler. 1. Formål Sikkerhedsinstruksen har til formål at beskrive arbejdsgange og ansvar for DMU s IT- sikkerhed, for at sikre: at de administrative IT-systemer fungerer og vedligeholdes efter gældende regelsæt og ITpolitik. data og systemer vedligeholdes i henhold til den rollefordeling, der er defineret for ved det givne programmel. At brugere er sikret imod utilsigtet adgange til data og systemer i henhold til rollefordelingen At data såvel som kopi af data forefindes og er valide via sikker opbevaring At ændringer til IT systemer dokumenteres og opbevares i henhold til regelsæt At der foreligger en redegørelse for nødberedskab ved driftsforstyrrelser eller omfattende nedbrud At sikkerhedsinstruksen er i overensstemmelse med DS 484 Denne sikkerhedsinstruks tager højde for de i DS484 nævnte forhold gennem omfattende hierarkiske referencer til DMUs samlede IT-sikkerhedsdokumentation som er baseret på DS484. 2. Ansvar for informationsbehandlingen/it-strategi I forbindelse med ansvarsfordelingen omkring informationsbehandlingen fordrer vejledningen at følgende forhold beskrives: Ledelsens ansvar IT-afdelingens ansvarsområde System- og dataejerskab for institutionens IT-systemer Principper for Informationssikkerhed i institutionen Disse emner er alle behandlede i DMUs overordnede IT-sikkerhedspolitik som findes i dokumentet ITSU IT-sikkerhedspolitik hoveddokument.doc 2.1 Ledelsens ansvar For så vidt angår Jf. DS 484, 6.1.1 (Ledelsens rolle) er DMUs implementering udførligt beskrevet i dokumentet ITSU DMUs punkt-for-punkt respons til DS484-2005 kap6.doc 2.2 IT-afdelingens ansvarsområde IT-afdelingen er den udførende part fsv. angår driften af de miljøer, som omtales i denne Sikkerhedsinstruks. I henhold til princippet om funktionsadskillelse (se afsnit 5.3, 8, 9) mellem driftsafvikling (IT- Print af 11-02-2009 12:19:45 Side 5 af 18

afdelingen) og institutionens regnskabsopgaver har ingen af IT-afdelingens medarbejdere indsigt i, eller adgang til, egentlige regnskabsmæssige funktioner i Navision Stat systemet. 2.3 System- og dataejerskaber I DMU er ejerskab (jf DS 484, 7.1.2) defineret som en job funktion i dokumentet ITSU Definition af Ejerskab.doc Systemejerskabet for DMUs samlede Navision Stat installation (ensemble) samt dataejerskabet for regnskabsdatabaserne ligger hos Økonomichefen mens dataejerskabet for løndata er placeret hos HRchefen. Kurante indehavere af disse, og andre, roller er oplistet i et særskilt bilag DMU Navision Stat rolleindehavere.doc DMU er ikke servicecenter for andre institutioner. Fakturadatabase og transportlag er omfattet af DMUs registrering af respektive datasamlinger og softwaresystemer. De indgår i ensamblet Navision Stat og da de begge er af økonomisk natur er ejerskabet placeret hos Økonomichefen. 2.4. Principper for Informationssikkerhed/risikovurdering DMU har implementeret DS-484 (Dansk Standard for Informationssikkerhed). IT-sikkerhedsarbejdet skal begrænse konsekvenser af hændelige eller bevidst skadelige handlinger af både ekstern og intern karakter. Dette indebærer etablering af sikkerhedsprocedurer/-arbejdsgange. DMU s medarbejdere har tavshedspligt herunder også mht. følsomme data. Medarbejdere gøres bekendt med denne forpligtigelse ved ansættelse og forpligtiger sig ved underskrift af ansættelseskontrakt. Tavshedspligten er gældende under ansættelsen såvel som efter endt ansættelse. 3. Dokumentationsmateriale, funktioner og opbygning DMU har, i henhold til DS 484, 7.1.1, oprettet en Fortegnelse over Informationsaktiver for hver af de 3 hovedtyper af elektroniske informationsaktiver hardware systemer (eg servere, også virtuelle), software systemer (eg Navision Stat klienten eller Transportlaget) og datasamlinger (eg Navision Stat databasen). For meget komplekse informationssystemer (f.eks. Navision Stat) opereres der med ensembler. Følgende hardware systemer er omfattet af Navision Stat ensemblet: SystemID System navn Systemejer Beskrivelse HW0011 DMUATTAIN ØkoChef Navision produktionsserver HW0012 DMUATTAINTEST ØkoChef Navision testserver (virtuel) HW0013 DMUWAREHOUSE ØkoChef Datawarehouse server HW0014 DMUTIDSREG ØkoChef ARS WEB server (tidsregistrering mv.) HW0015 DMURAPPORTAL ØkoChef Crystal Reports rapportalserver (virtuel) HW0016 DMUNAVDUMP IT-chef Fjernlager af Navision sikkerhedskopier Der henvises til selvstændig dokumentation for hvert af disse hardware-systemer Følgende software systemer er omfattet af Navision Stat ensemblet: SystemID System navn Systemejer Beskrivelse SW0011 Navision Stat prod server ØkoChef Navision Stat produktionsinstallation SW0012 Navision Stat testserver ØkoChef Navision Stat testinstallation SW0013 Navision Stat Transportlag ØkoChef Navision Stat transportlag (kun prod) SW0014 ARSWEB produktion ØkoChef ARS WEB system (prod) SW0015 ARSWEB test ØkoChef ARS WEB system (test) SW0016 CapNordic fakturasystem ØkoChef CapNordic faktura server installation Print af 11-02-2009 12:19:45 Side 6 af 18

SW0017 CapNordic fakturaklient ØkoChef CapNordic klient til rekvisitioner SW0018 Crystal Reports Rapportal ØkoChef Rapportgenereringsportal SW0019 WANS forbindelse ØkoChef Opsætning VANS kommunikation SW0020 Navision Fjernlagring IT-chef Sikring af Navision backup er SW0023 Navision Warehouse ØkoChef Datawarehouse system for Navision SW0024 Navision Batchafvikling ØkoChef Batch afvikling af Navision jobs Der henvises til selvstændig dokumentation for hvert af disse software-systemer Følgende datasamlinger er omfattet af Navision Stat ensemblet: SystemID System navn Dataejer Beskrivelse 34200KONCERN ØkoChef Koncerndatabasen på produktionssystemet DS0016 (Navision Prod) 34200SLSDATA HR Chef Løndatabasen på produktionssystemet DS0017 (Navision Prod) DMU_PROD ØkoChef Den primære produktionsdatabase DS0018 (Navision Prod) DS0019 DMUviews (Navision Prod) ØkoChef Datamart indgang DS0020 NaviWEP (Navision Prod) ØkoChef ARS basen på produktionssystemet DS0021 NemFaktura (Navision Prod) ØkoChef Fakturadatabasen på produktionssystemet udvekslingsdatabase (Navision ØkoChef Udvekslingsdatabase til CapNordic rekvi- Prod) sitionssystemet DS0022 DS0023 workflow (Navision Prod) ØkoChef CapNordic systembase DMU_PROD_TEST (Navision ØkoChef Den primære testdatabase (restore kopi af Test) produktionsbasen) DS0024 DS0025 NaviWEP (Navision Test) ØkoChef ARS basen på testsystemet DMU_SLS_HUS (Warehouse) HR Chef Datawarehouse på Løndatabasen DS0026 DMU_SLS_HUS_EDV HR Chef Datawarehouse på Løndatabasen DS0027 (Warehouse) DS0028 DMUShop (Warehouse) ØkoChef Datamart mod DW_OLVIA2 DS0029 DW_OLIVIA2 (Warehouse) ØkoChef Datawarehouse af produktionsbasen DS0030 FALKON (Warehouse) ØkoChef Datamart mod DW_OLVIA2 DS0031 rapportal (Warehouse) ØkoChef Styringsbase for Rapportalsystem DS0032 Reports1 (Warehouse) ØkoChef Test version af ReportsServer Reports1TempDB (Warehouse) ØkoChef Test version af ReportsServerTempDB DS0033 ØkoChef Opsætningsdatabaser til ØS SQL Reports DS0034 ReportServer (Warehouse) til visning af DMU_SLS_HUS data ReportServerTempDB ØkoChef Opsætningsdatabaser til ØS SQL Reports DS0035 (Warehouse) til visning af DMU_SLS_HUS data DS0036 timextender (Warehouse) ØkoChef Datamart mod DMU_SLS_HUS* DS0037 txdwh (Warehouse) ØkoChef Datamart mod DMU_SLS_HUS* DS0038 txstage (Warehouse) ØkoChef Datamart mod DMU_SLS_HUS* DS0039 biweb_ctrl (Warehouse) ØkoChef Datamart mod DMU_SLS_HUS* Der henvises til selvstændig dokumentation for hver af disse datasamlinger fsv. angår placering, adgangskontrol, backup osv. For så vidt angår DS 484, 10.1.4 (Adskillelse mellem udvikling/test og drift) er det ud fra server- system- og datasamlingsnavne muligt at identificere hvor de gældende versioner af produktionssystemet er installeret idet alle selvstændige test/udviklingssystemer er navngivet med ordet test. Test/udviklingsmiljø holdes, efter behov som en nær-identisk kopi af produktionsmiljøet. (Af indlysende årsager er der ikke mulighed for f.eks. at have en funktionel kopi af transportlaget.) Videre er der ikke selvstændige test/udviklingsservere (hardware) for ARS/timeregistrerings og datawarehouse funktionerne idet test software (Navision Applikation Server) respektive test datasamlinger (MS SQL 2005 databaser) problemløst kan koeksistere med produktionssystemerne. Den kørende version af Navision Stat er installeret i samme bibliotek fra den samme kilde for alle arbejdspladser, som beskrevet i dokumentationen for Installationsobjektet for klientprogrammet. Print af 11-02-2009 12:19:45 Side 7 af 18

Opbygningen af Payment Management funktionaliteten i Navision Stat nødvendiggør en midlertidig mellemlagring af betalingsdata i forbindelse med overførsel af data til officebanksystemet Danske Bank business Online. Vejledningen fordrer at det sikres, at kun bogholderimedarbejdere kan skrive data i dette mellemlager. Dette er i DMU sket ved at oprette en særlig mappe og servershare ( Jyske- Netbank navnet bibeholdes trods ændrede bankleverandør) på DMUATTAIN serveren specielt til formålet. Kun brugere med bogholderrettigheder har adgang til at læse og skrive i denne mappe. Mhp. Elektronisk fakturering og NemKonto integrationen er der etableret et transportlag på serveren, som skal håndtere de e-bilag, som udveksles med omverden, dvs. håndtere modtagelse, afsendelse og lagring af købs- og salgsdokumenter samt betalingsdokumenter. Transportlaget omfatter diverse services på serveren, fakturadatabasen for ind/ud dokumenter, samt en særlig systembruger, der skal læse og skrive i fakturadatabasen og Navision databasen. Jf. Installationsvejledning for transportlaget for både elektronisk fakturering og NemKonto. Der henvises til særskilt dokumentation for software systemet SW0013 hvori det er beskrevet, hvorledes det sikres, at disse services kører, og at systembrugerne har de korrekte rettigheder. DMU har, for at kunne anvende elektronisk fakturering og NemKonto integrationen i Navision Stat indgået en aftale med en VANS leverandør. Aftalen indgår som selvstændigt bilag til sikkerhedsinstruksen. DMU er opmærksom på at der, som følge af betingelserne i aftalen med VANS udbyderen, opstår et krav til maksimal nedetid for modtagelse af dokumenter og nødprocedurer i forbindelse med gensendelse efter nedetid. NemKonto data samt data for elektroniske fakturaer transporteres til og fra institutionen via en opkobling til en VANS udbyderen. I den særskilte dokumentation for software systemet SW0018 beskrives DMUs opkobling til VANS netværket for transport af elektroniske fakturaer og NemKonto betalinger. Dokumentationen indeholder detaljer om kommunikationen (IP-adresser, kryptering, porte, firewall mv. jf. tilslutningsaftalen), og er udarbejdet med skyldig hensyntagen til Installationsvejledning for transportlaget for både elektronisk fakturering og NemKonto. Data for originale dokumenter sendt og modtaget elektronisk lagres permanent i fakturadatabasen hos DMU. Det er datasamlingen DS0021 som anvendes for ind og udgående fakturaer. Denne datasamling er placeret på produktionsserveren, og benyttes af regnskabet Drift. Fakturadatabasen omfattes på linie med alle andre datasamlinger af en backup rutine. Der henvises til den specifikke dokumentation for datasamlingen DS0021 og den generelle dokumentation for backup af SQL datasamlinger. Dokumentation for datasamlingen DS0021 og den generelle dokumentation for systemer med netværksadgang beskriver hvorledes denne datasamling som alle datasamlinger er sikret mod uautoriseret adgang, herunder placering i forhold til firewall mv. 4. Fysisk sikkerhed Vejledningen om sikkerhedsinstruksen fodrer beskrivelse af hvorledes hardware, programmer og data samt sikkerhedskopier af programmer og data sikres i det fysiske miljø. DMU opererer i sit respons til DS484 med et hierarkisk dokumentationssystem for bl.a. den fysiske sikkerhed i form af baselines (og eventuelle begrundede afvigelser herfor). På denne måde sikres det konsistens i forbindelse med ændringer. Således er beskrivelser af hvorledes DMUs serverrum og brugerlokaler er sikret mod tyveri, brand m.v. samt anvendte foranstaltninger til skadeforebyggelse en del af IT-afdelingens dokumentationssamlinger. 4.1. Serverrum Jf. DS 484, 9.1 (Sikreområder), 9.2 (Beskyttelse af udstyr) Der henvises til dokumentet ITSU DMUs punkt-for-punkt respons til DS484-2005 kap9.doc og de heri nævnte dokumenter. 4.2. Brugerlokaler Jf. DS 484, 9.1 (Sikreområder), 9.2 (Beskyttelse af udstyr) Print af 11-02-2009 12:19:45 Side 8 af 18

Der henvises til dokumentet ITSU DMUs punkt-for-punkt respons til DS484-2005 kap9.doc og de heri nævnte dokumenter. 4.3. Skadeforebyggelse Jf. DS 484, 9.1.3 (Sikring af kontorer, lokaler og udstyr), 9.1.4 (Beskyttelse mod eksterne trusler), 9.2 (Beskyttelse af udstyr) Der henvises til dokumentet ITSU DMUs punkt-for-punkt respons til DS484-2005 kap9.doc og de heri nævnte dokumenter. Brand DS 484, 9.1.4 (Beskyttelse mod eksterne trusler), 9.2.1 (Placering af udstyr) DMUs serverrum er sikret mod brand med automatiske alarmerings og brandslukningssystemer, Lynnedslag og fejlstrøm Jf. DS 484, 9.2.2 a-c (Forsyningssikkerhed) DMUs serverrum er udstyret med et nødstrømsanlæg som adskiller serverne fuldstændigt fra den offentlige forsyning (ensretning, akkumulering, vekselretning). Vandskade Jf. DS 484, 9.1.4 (Beskyttelse mod eksterne trusler), 9.2.1 (Placering af udstyr) DMUs serverrum har ingen særlige sikringsforanstaltninger mod vandskade men er hensigtsmæssigt placeret og indrettet. Tyveri og hærværk Jf. DS 484 9.1.1 (Fysisk afgrænsning) DMUs serverrum er aflåst med særlige låse som kun autoriseret personale har nøgler til. DMU serverrum har ingen vinduer og dørene holdes altid aflukket og låst. Uden for normal arbejdstid er DMUs serverrum beskyttet med alarm til hvilken kun autoriseret personale har koder. For at kunne spore udstyr i forbindelse med tyveri er serienumrene på DMUs IT-udstyr registreret og brugerudstyr (arbejdsstationer, skærme mv.) er mærket. 4.4. Opbevaring af datamedier og systemdokumentation Jf. DS 484, 9.2 (Beskyttelse af udstyr), 10.5.1 (Sikkerhedskopier), 10.7.4 (Beskyttelse af systemdokumentation). Der henvises til dokumentet ITSU DMUs punkt-for-punkt respons til DS484-2005 kap9.doc og dokumentet ITSU DMUs punkt-for-punkt respons til DS484-2005 kap10.doc og de heri nævnte dokumenter, specielt ITSU Datamedier.doc. Aktuelle datamedier, f.eks. sikkerhedskopier, programmer og systemkonfigurationer, der er nødvendige ved en eventuel retablering af IT-systemerne opbevares i brandsikrede skabe, jf. ovennævnte selvstændige dokumenter DMU ejer ikke, og opbevarer derfor ikke, kildekoder til systemerne i Navision Stat ensemblet. 4.5. Virus og andre uønskede programmer Jf. DS 484, 10.4 (Skadevoldende programmer og mobil kode) Der henvises til dokumentet ITSU DMUs punkt-for-punkt respons til DS484-2005 kap10.doc og de heri nævnte dokumenter i IT-afdelingens dokumentsamlinger, herunder særligt dokumenterne om konfiguration af anti-virus programmel på servere og arbejdsstationer Uvedkommende indtrængen på netværk Jf. DS 484, 11.4 (Styring af netværksadgang) Der henvises til baseline dokumentet om IT-udstyr med netværksadgang. 4.6. Brugernes ansvar Jf. DS 484, 8.1.1 (Opgaver og ansvar), 11.3 (Brugernes ansvar) Der henvises til dokumentet ITSU DMUs punkt-for-punkt respons til DS484-2005 kap8.doc og dokumentet ITSU DMUs punkt-for-punkt respons til DS484-2005 kap11.doc og de heri nævnte dokumenter, specifikt samlingen af Medarbejder Guides, som indgår på lige fod med de øvrige informatio- Print af 11-02-2009 12:19:45 Side 9 af 18

ner i DMUs personalehåndbog. Brugere af Navision Stat er underlagt Domain Policies om obligatorisk skærmlås efter en nærmere defineret inaktivitetsperiode. 5. Adgangsforhold Adgangsforhold til DMUs IT-systemer er beskrevet overordnet i dokumentet ITSU DMUs punkt-forpunkt respons til DS484-2005 kap11.doc og de heri nævnte dokumenter i IT-afdelingens dokumentsamlinger, herunder særligt dokumentation af DMUs Directory Services. Disse dokumenter dækker de generelle forhold for brugeradministration på lokalnettet (brugeroprettelse, loginprocedurer, password politik osv.). Vejledningen for udarbejdelsen af sikkerhedsinstruks for Navision Stat fordrer detaljeret diskussion af følgende specifikke forhold Brugeradministration vedrørende Navision Stat/SQL Brugeradministration vedr. banksystemet Interne kontrolprocedurer for brugervedligeholdelse DMU har en overordnet politik for Eksternes adgang til institutionens systemer som også gælder for eksempelvis konsulenters adgang til Navision Stat ensemblet. Denne politik forbyder brugen af modems, hvorfor Retningslinier for anvendelse af remote support program ikke er relevant i DMU. 5.1 Administrator konto på fysisk server/domaine Rigsrevisionens IT-revisions anbefaling om individuel identificerbar brug af administratorkonti for driftsansvarlige medarbejdere i IT-afdelingen er i DMU implementeret ved brugen af 2-faktor autentikering. Således benyttes den fælles domæneadministratorkonto ved det primære login, men brugeren afkræves tillige en personlig identifikation som verificeres mod directoriet. Alle logins registeres i DMUs SYSLOG-system inklusive en kort beskrivelse fra medarbejderen om arbejdets formål. Derimod har eksterne konsulenter individuelle konti (med begrænset løbetid: maksimalt 3 måneder plus løbende måned ad gangen), som hvor konsulenten skal udføre privilegeret arbejde tilføjes den/de lokale administrator gruppe(r) på den/de relevante servere. Auditering af serverne Økonomistyrelsens vejledning for udarbejdelsen af sikkerhedsinstrukser for Navision Stat omhandler på et meget overordnet niveau valg af lognings/auditeringsniveau. Anbefalingerne er at det kun er det mest relevante, der skal slås til og at denne logning bør defineres på et så højt niveau som muligt. Vejledningen er forældet idet den omtaler Windows 2000. DMU har valgt at benytte de default værdier som gør sig gældende for Windows 2003 R2 servere som er medlemmer af et Windows 2003 Active Directory. Fsv angår 2-faktor autentikeringen auditeres SYSLOG-systemet regelmæssigt for sikkerhedsmæssige hændelser (fejlet login mv). Listen over godkendte brugere af Administrator-kontoen (en særlig ADgruppe) auditeres tillige. 5.2 Brugeradministration vedrørende lokalnettet Adgangen til alle programmer i DMU, herunder også Navision Stat, betinget af at brugeren er oprettet på lokalnettet og dermed har adgang til de relevante ressourcer i lokalnettets ressourcer (printere, program- og databiblioteker mv.). Som nævnt i indledningen til dette afsnit er der overordnede og detaljerede dokumenter i IT-afdelingens dokumentsamlinger som omhandler procedurerne for oprettelse. Økonomistyrelsens vejledning for udarbejdelsen af sikkerhedsinstrukser for Navision Stat opstiller forslag til minimumskrav for tildeling af password som forekommer arbitrære. DMUs password politik udviser både skærpede og slækkede krav i forhold hertil: Passwords er personlige og fortrolige Fuld overensstemmelse er specifikt omtalt i DMUs Medarbejde Guides om IT-sikkerhed består af mindst 6 tegn DMUs krav er skærpede der skal være 8 tegn eller flere Print af 11-02-2009 12:19:45 Side 10 af 18

skal udskiftes mindst hver 3. måned DMUs krav er slækkede almindelige brugeres password løber i ½ år Password skal endvidere udskiftes, hvis det er eller der er mistanke om, at det er kommet til andres kendskab. Fuld overensstemmelse Hvis der forgæves forsøges login til et brugernavn mere end 3 gange i træk, skal brugerens adgang til systemet automatisk lukkes. DMUs limit for intrusion detection er højere Indtastning af password skal ske i et ikke læsbart felt. Trivielt opfyldt af alle operativsystemer. Økonomistyrelsens vejledning for udarbejdelsen af sikkerhedsinstrukser for Navision Stat diskuterer de dele af Navision Stats sikkerhedsforanstaltninger som bygger på funktioner i arbejdspladsens operativsystem. Disse foranstaltninger (håndhævelse af passwordpolitik, skærmlås m.v.) er baseret på AD domænemedlemskab. DMU understreger at alt sædvanligt arbejde med Navision Stat foregår fra Windows miljøer (Windows XP eller nyere PC er og/eller Windows 2003 eller nyere Terminal Services) som alle er medlemmer af DMU AD et, og login sker alene med brugernavne fra AD et, idet kun disse har rettigheder i Navision Stat som er konfigureret til at benytte NT-authentification. Fsv. angår transportlaget til modtagelse og afsendelse af elektroniske fakturaer samt udveksling af NemKonto data, er der oprettet en særlig konto (DMU\NemKonto) som kan foretage læsning og skrivning i fakturadatabasen og Navision databasen, i henhold til Installationsvejledning for transportlaget for både elektronisk fakturering og NemKonto. For detaljer henvises til systemdokumentation for softwaresystemet SW0013 Navision Stat Transportlag 5.3. Brugervedligeholdelse vedrørende Navision Stat og SQL-server Administration af brugere af Navision Stat/SQL er omfattet af funktionsadskillelse og foretages af Økonomichefen (eller dennes delegerede) gennem rollen som Navision Stat sikkerhedsadministrator. Der benyttes alene Windows domæne logins for almindelige brugere (hvorved de automatisk oprettes i SQL-serveren), og disse tildeles de relevante roller og rettigheder som svarer til de jobfunktioner de skal kunne varetage. (SQL logins benyttes udelukkende til særlige servicefunktioner f.eks. i ARS, Rapportal og CapNordic systemerne.) Ved tiltrædelse af ny medarbejder der skal have adgang til Navision, træffer Økonomichefen beslutning om hvilke roller den ny skal tildeles. Oprettelsen heraf i Navision sker ved en medarbejder i Sekretariatet. Denne trækker en Navision-rapport, Brugerliste, hvoraf den ny medarbejder roller/profiler fremgår. Denne således seneste udgave af Brugerliste opbevares i den nedenfor nævnte mappe. Ved tiltrædelse af en ny medarbejder der skal have adgang til ARS, tildeles rollen ARS BASIS. Denne rolle i sammenhæng med rollen ARS-PROJEKT giver mulighed for at oprette/ændre/slette projekter i ARS og giver mulighed for at budgettere og ændre i budgettering af projekter i ARS (for en god ordens skyld nævnes, at er der først bogført poster på et projekt, kan projektet ikke slettes). Økonomimedarbejdere tildeles således begge roller: ARS BASIS og ARS PROJEKT. Arkitekterne bag ARS har af uklare grunde valgt at opdele dels projektoprettelse dels budgettering i to forskellige roller; dette giver imidlertid ingen mening i en DMU-sammenhæng. Det vil således ikke efter DMU's forretningslogik være formålstjenligt at lave en funktionsadskillelse mellem projektoprettelse og projektbudgettering. Derfor er afdelingsøkonomimedarbejdere tildelt begge roller. Den særlige rolle ARS OPS (for ARS Opsætning) er tildelt den særlige ARS ansvarlige (se nedenfor under punkt 7.b) og den hvem denne udpeger. ARS OPS muliggør adgang til konfigurering af de forskellige ARS faciliteter. Alle ny medarbejdere skal tildeles rettighed til at kunne tidsregistrere; tidsregistreringen er funktionsmæssigt en del af ARS. Administrationen heraf varetages af samme medarbejder som ovenfor som tilsvarende sørger for at afgåede medarbejderes rettigheder fjernes. Print af 11-02-2009 12:19:45 Side 11 af 18

Periodisk opfølgning på, at tildelte roller/rettigheder er korrekte i forhold til brugernes funktion. Økonomichefen har opsat i sin kalender, at der ved månedens udgang erindres om Kontrol af roller/rettigheder. Navision standardrapporten over roller/rettigheder udprintes. Oversigten gennemgås; er der siden sidste måned sket ændringer som følge af afgang af medarbejdere, fjernes roller/rettigheder i Navision. Det skal dog bemærkes at dette gøres alene af ordensmæssige hensyn; muligheden for uberettiget brug af Navision fjernes allerede i og med at den pågældende ved aftrædelsen noteres som aftrådt i AD en. Der opbevares på Økonomichefens kontor en mappe indeholdende de seneste print af standardrapporten Brugerliste. SQLserver 2005 Som udgangspunkt benyttes der kun Windows login til brugernes sædvanlige arbejde med Navision Stat. En række services på DMU's servere anvender også Windows-login, herunder NemKonto som tidligere nævnt, og konti til afvikling af Navision Application Server (ARS Web). Disse Windowslogins er ikke kendt af brugerne. Til øvrige funktioner og integration mellem forskellige systemer er der oprettet et stærkt begrænset antal SQL-logins: Login Funktion Rettigheder Kendt af SQL (øvrige) Navision fra SQL ars_bruger ARS afviklingskonto Læse på Læse Rapport programmører relevante BATCH Navision Batchafviklingskonto - Public Bogholderiet capnordic Work flow masterkonto - dbo Produktleverandør civitas Konsulent konto - dbo Konsulenthus naviwep ARS Web masterkonto dbo på dbo Produktleverandør relevante sa SQL Server masterkonto dbo dbo IT-afdelingens SQL ansvarlige super Navision masterkonto - Alle Økonomichefen og dennes delegerede sa brugeren benyttes kun i særlige tilfælde (SQL server vedligehold) og har ingen Navisionrettigheder. DMU har valgt ikke at dele super password et mellem 2 personer. Login capnordic, civitas og naviwep kobles op via VPN-adgang, som hver gang åbnes af DMU's IT-sikkerhedskoordinator. Denne konto er således spærret medmindre andet er aftalt med ITsikkerhedskoordinator og økonomichefen eller dennes delegerede. 5.4. Brugeradministration vedrørende banksystemet Administration af brugere i banksystemet er, for så vidt angår adgang til sharet JyskeNetbank til mellemlagring, at bogholderimedarbejdere gennem medlemskab af Windows domæne gruppe Jyske Netbank Users får læse- og skriverettigheder. IT-afdelingen er sædvanligvis udførende part på indmeldelse i denne gruppe, men Økonomichefen kan også administrere medlemskab af gruppen. For så vidt angår oprettelse af logins hos bankforbindelse og administration af nøgler mv. henvises til aftalen om DMUs brug af banksystemet. Aftalen med Danske Bank er indgået centralt ved Århus Universitet - der samtidig administrer brugeradgange og opsætning med Danske Bank. Der er således DMU s ansvar at oplyse Regnskabskontoret i Århus Universitet om evt. ændringer mht. brugeradgange og rettigheder, samtidig med Danske Bank. Print af 11-02-2009 12:19:45 Side 12 af 18

I forbindelse med udsøgning af betalinger til Dansk Bank, sker prokurahåndteringen i Navision. Der er oprettet prokuragrupper (Bogholdere og Kasserer) og prokurabrugere i Navision. Det er muligt fra Navision, at sende betalinger til Danske Bank via NKS (Nemkontosystemet). NKS aftale nummer med DMU er nr.100045. Regnskabsafdelingen opbevarer data for rolleprofiler og oprettede brugere. DMU er tilsluttet TDC som udsteder certifikater til brug for bl.a. Nemkonto. For at være tilsluttet NKS skal brugerne være oprettet som autoriserede brugere med digtital sigantur. 5.5 Brugeradgang til ØDUP-relaterede mapper Den følgende tabel lister viser NTFS-rettighederne til relevante mapper Mappe Rettighed Ødup-katalog med underliggende System modify partneraftaler, C:\OedupNS, på Service_Account - modify DMUATTAIN Admin_Account modify Der henvises i øvrigt til dokumentation for Transportlaget. 5.6 Interne kontrolprocedurer for brugervedligeholdelse Der henvises til afsnit 5.3 5.7 Eksternes adgang til institutionens systemer DMUs IT-sikkerhedsudvalg har fastsat regler for, hvilke eksterne personer, der kan få adgang til institutionens systemer, hvilke systemer og data der kan være tale om, hvilke betingelser det kan ske på, og hvor længe adgang tillades. Fjernadgang rekvireres af systemejeren gennem IT-afdelingen og der udfyldes en blanket med anmodning om VPN adgang med præcis angivelse af arbejdets omfang (herunder hvilke servere der skal opnås administratoradgang til), arbejdets (forventede) længde, kontaktperson og den ansvarlige sponsor i DMU (altid system- eller dataejeren) som i en sikkerhedsmæssig sammenhæng har ansvaret for de handlinger, konsulenten udfører som om de var udført af sponsoren. Til Navision Stat er der eksempelvis oprettet fjernadgang til revisorer, systemkonsulenter og supportmedarbejdere på de omliggende systemer (CapNordic rekvisitionssystemet, ARS ressourcestyringssystemet m.fl.). Såvel oprettelse som forlængelse af adgang skal baseres på et revisionsspor. Forlængelser (aldrig mere en 3 måneder plus løbende måned) kan ske via e-mail. Ændring af adgangsforholdene (udvidelse/ændring til andre projekter, andre servere/services osv.) fordrer fornyet blanket. ITafdelingen kan på anfordring udtrække lister over kurante konsulentkonti. Økonomistyrelsens vejledning for udarbejdelsen af sikkerhedsinstrukser for Navision Stat omtaler Økonomistyrelsens evt. anvendelse af fjernstyringssystemet NetOp. DMU tillader ikke brugen af nogen form for fjernstyringsprogrammer udover RDP (Remote Desktop Protol) via VPN. Der er derfor ikke relevant at omtale NetOp opsætning i dette dokument. 6. Afvikling af driftskørsler og periodiske aktiviteter 6.1 Oversigt over periodiske aktiviteter Nedenfor er angivet en oversigt over periodiske aktiviteter og edb-kørsler i forhold til DMU s regnskabssystemer. Oversigt over periodiske aktiviteter Frekvens Tidspunkt Aktivitet Udføres af Dagligt Overførsel af betalingsdata til Danske Bank Kassere/Bogholder Dagligt Efter overførsel af betalingsoplysninger Kontrol af betalingsdata og frigivelse af Kassere/Bogholder til Danske Bank godkendte posteringer og opfyldning af udbetalingskonto Dagligt Registrering og klarmelding af kassebilag Kasserer Dagligt Efter reg. af kassebilag Kontrol af klarmeldte kassebilag og bogføring af godkendte kassebilag Bogholder Print af 11-02-2009 12:19:45 Side 13 af 18

Frekvens Tidspunkt Aktivitet Udføres af Løbende Overførsel og bogføring af indbetalingsdata Kasserer fra Danske Bank Månedlig Afstemning af bankkonti Kasserer Hver 14. dag Efter lønkørsler Indlæsning af data fra SLS Regnskabsfunktionen Månedlig Ved DMU s månedsafslutninsion Udskrivning af månedsrapporter fra Navi- Bogholder/afdelinger Stat Kvartalsvis Inden udgangen af et Kontrol af procedure for brugervedligeholdelse Regnskabsfunktionen kvartal i Navision Stat Årlig Ved finansårs start Gennemførsel af års opstartsprocedurer Regnskabsfunktionen Årlig Efter afslutning af regnskabsperiode Gennemførsel af års afslutningsprocedurer Regnskabsfunktionen 12 Løbende Kontrol af udfyldte rekvisitioner for brugere Systemansvarlig og tildelte rettigheder i deres respektive systemer Hvert halve år Udskiftning af passwords Alle brugere 6.2 Backup/sikkerhedskopiering Formålet med backup/sikkerhedskopieringen er at kunne retablere et kørende regnskabssystem efter hændelser, der har medført tab af data. DMUs IT-afdeling opretholder et fleksibelt centrals backupsystem hvis procedurer tilpasses de enkelte system- og datatypers særlige behov. Der henviser til ITafdelingens dokumentsamling om backup og arkivering. For hver enkelt system (hardware, software, datasamling) aftales omfanget med ejeren, og denne aftale fremgår af systemdokumentationen. Økonomistyrelsens vejledning for udarbejdelsen af sikkerhedsinstrukser for Navision Stat opstiller visse minimumskrav til DMUs forretningsgange og procedurer vedrørende sikkerhedskopieringen: Som følge af elektronisk fakturering skal fakturadatabasen, der indeholder de modtagne originale OIO xml dokumenter inkl. et eventuelt TIFF billede af den skannede faktura/kreditnota, samt den filmappe, (jf. Installationsvejledning for transportlaget for både elektronisk fakturering og NemKonto ) de elektroniske dokumenter bliver gemt i, indgå i den backup rutine, som institutionen har vedtaget for driftsmiljøet. De omtalte filer lagres i et katalog på systemdisken af Navision-sercveren. Der foretages daglig backup af dette katalog Kravene til fakturadatabasens sikkerhed er mindst på samme niveau som kravene til Navision databasen. Der foretages den relevante backup af denne base, jf. systemdokumentationen for datasamling DS0021 Økonomistyrelsens vejledning (Microsoft SQL server installationsvejledning) indeholder standardopsætninger for SQL-serverens automatiske sikkerhedskopieringsfunktioner. Hvis disse er anvendt, skal institutionens sikkerhedsinstruks referere til disse. Hvis andre indstillinger er anvendt, skal sikkerhedsinstruksen indeholde en beskrivelse af baggrunden for de valgte indstillinger. Der er adskillige afvigelser fra standardinstallationen. De valgte indstillinger for backup er angivet i systemdokumentationen for hver enkelt base. Print af 11-02-2009 12:19:45 Side 14 af 18

Opbevaring af sikkerhedskopier Økonomistyrelsens vejledning for udarbejdelsen af sikkerhedsinstrukser for Navision Stat opstiller visse minimumskrav til DMUs forretningsgange og procedurer vedrørende opbevaring af sikkerhedskopier: Der skal til enhver tid opbevares mindst 10 generationer af daglige kopier svarende til alle hverdage i mindst to uger, mindst 3 generationer af månedskopier samt minimum årskopier for de forudgående 5 år. Se dokumentationen for de enkelte baser samt hardware systemet HW0016 og softwaresystemet SW0020. DMU har implementeret en løsning i hvilket det natlige dump af databaserne (som efterfølgende skrives til bånd) kopieres til en server i en brandmæssigt adskilt bygning. Det overvåges at kopieringen er gået godt, og der gemmes 14 sæt (dvs. 10 arbejdsdage uanset weekends), idet dog månedskopier arkiveres. Daglige kopier kan anbringes på internt arkiv. Uge-, måneds- og årskopier skal anbringes på eksternt arkiv. Se ovenstående Sikkerhedskopier skal opbevares på en sikker måde, så de er beskyttet mod fysisk skade og tab. Se ovenstående Sikkerhedskopier skal endvidere opbevares fysisk adskilt fra it-udstyret. Se ovenstående Kontrol af den daglige driftsafvikling Økonomistyrelsens vejledning for udarbejdelsen af sikkerhedsinstrukser for Navision Stat opstiller visse minimumskrav til DMUs forretningsgange og procedurer vedrørende kontrol af den daglige driftsafvikling.: Kontrol af den daglige driftsafvikling skal omfatte en kontrol af, at sikkerhedskopiering er foretaget, og at sikkerhedskopierne er anvendelige. IT-afdelingen driftspersonale kontrollerer dagligt om sikkerhedskopieringen har fungeret Det skal fremgå af institutionens sikkerhedsinstruks, hvem der foretager, og hvornår der foretages kontrol af den daglige driftsafvikling Se ovenstående Der føres daglig særskilt driftslog for Navision Stat sikkerhedskopiering. Driftsloggen genereres af backupsystemet. Institutionens sikkerhedsinstruks skal desuden omfatte en nærmere beskrivelse af proceduren vedrørende kontrol af den daglige driftsafvikling. Sikkerhedsinstruksen skal tillige beskrive institutionens kontrol af retableringsprocedure med henblik på at kontrollere, at retablering kan foretages på grundlag af de eksisterende sikkerhedskopier. Fsv. angår kontrol af sikkerhedskopiers anvendelighed henvises til IT-afdelingens generelle dokumentation om sikkerhedskopiering. Fsv. angår Navision Stat benyttes den regelmæssige opdatering af test/udviklingsmiljøet til at sikre at sikkerhedskopierne fra produktionsmiljøet er anvendelige. 7. Særlige driftskørsler Opdatering med nye programversioner, servicepacks og hotfixes. Opdateringer kommer fra flere kilder Økonomistyrelsen fsva Navision Print af 11-02-2009 12:19:45 Side 15 af 18

fra NaviCom A/S og Topsolutions fsva ARS fra CapNordic fsva Workflowsystem 7.a Opdateringer fra Økonomistyrelsen Økonomistyrelsen distribuerer med mellemrum programopdateringer til Navision Stat-institutionerne, der hentes via ØS s hjemmeside http://www.oes.dk/sw1178.asp (Der udsendes Navision Stat nyhed). En programopdatering kan bestå af følgende: Opdatering af Navision Stat-databasen Opdatering af relaterede systemer til Navision Stat (f.eks. Transportlaget eller ØDUPintegrationen) DMU er forpligtet til at indlæse obligatoriske og nye opdateringer og servicepacks i produktionsdatabasen inden for 90 kalenderdage efter at denne er modtaget. Hotfixes der indeholder kritiske fejlrettelser, indlæses inden for 5 arbejdsdage. Tidsfristerne er fastsat i de idriftsættelsesaftaler/leveringsaftaler, der indgås mellem institutionerne og Økonomistyrelsen. Vedlagt programopdateringen er en kort beskrivelse af, hvilke områder og moduler der er blevet ændret, og hvilke nye eller ændrede funktionaliteter, institutionen skal forberede sig på at bruge. Disse testes i DMU's eget testmiljø forinden ibrugtagning. Indlæsning af alle objektændringer sker ved tilkaldelse af ekstern konsulent, pt. Civitas i KMDgruppen. Når indlæsningen er foretaget sikrer DMU's eksterne konsulent at der gives besked til Økonomistyrelsen. DMU har etableret faste procedurer ifm opdatering af Navision Stat. DMU har etableret et testmiljø, hvor en kopi af den aktuelle produktionsdatabase til Navision Stat er indlæst. Her testes opgraderingen forinden overførslen til produktionsdatabasen. I øvrigt kan brugerne her frit eksperimentere med de forskellige funktionaliteter i systemet, uden at det påvirker de rigtige regnskabsdata. Brugerne har således en periode til at blive fortrolige med nye eller ændrede funktionaliteter i nye Navision Stat versioner, inden de indlæses i produktionsdatabasen. 7.b Opdateringer vedr. ARS fra Topsolutions/Navicom Begge firmaer er Microsoft Business Solutions Partnere; arbejdet er delt mellem de to firmaer ved at Topsolutions hovedsageligt tager sig af udvikling, mens NaviCom tager sig implementering. Med mellemrum foretages opdatering af ARS. Beslutning herom foretages i fællesskab i et særligt ARS forum under forsæde af Økonomistyrelsen og med deltagere af alle statslige ARS brugere. Udvikling foretages af Topsolutions, der har rettighederne til ARS. Implementering af opdateringen kan foretages af Microsoft certificerede Navision-partnere; DMU bruger pt. NaviCom A/S. DMU har udpeget en ARS ansvarlig. Denne godkender opdateringen skal finde sted. Implementering foregår ved indlægning af ændringerne i DMU's testdatabase. Det bemærkes at ARS er integreret i Navision; der er således tale om den samme testdatabase som bruges ved Navision-opgraderinger. Når evt. fejl er rettede og den ARS ansvarlige har kontrolleret dette, gives besked til NaviCom A/S om at opdateringen kan overføres til produktionsdatabasen. Den ARS ansvarlige sørger for at der udarbejdes en ARS vejledning for den ny funktionalitet. Vejledningen lægges på DMU's intranet, på den særlige side der er forbeholdt ARS vejledninger. 7.c Opdateringer vedr. Workflowsystem fra CapNordic Der er udpeget en CapNordic ansvarlig. Med mellemrum vil denne efter aftale med Økonomichefen beslutte opdatering af systemet. Systemleverandør er CapNordic, som ligeledes varetager system vedligehold. Den CapNordic ansvarlige bestiller ændringen hos CapNordic, som ved fjernadgang udfører ændringen i en testudgave af produktionsudgaven. Den CapNordic ansvarlige tjekker ændringen og frigiver denne, hvorefter systemleverandøren overfører opgraderingen til produktionssystemet. Den CapNordic ansvarlige vil i fornødent omfang sørge for opdatering af vejledningsmaterialet. Seneste udgaver af vejledninger ligger på DMU's intranet, den særlige side for CapNordic vejledninger. Print af 11-02-2009 12:19:45 Side 16 af 18

8. Særligt om anvendelse af eget it-anlæg med egen programmering DMU har en rapportgenereringsportal (der henvises til SW0018), hvorfra man får vist og udskrevet en lang række rapporter over økonomidata fra ARS/Navision. Portalen er en Crystal Enterprise og rapporterne er udviklet i Crystal Reports. Rapporterne er helt overvejende egenudviklede. Adgangen til rapporterne styres via AD en og der er givet adgang til alle medarbejdere i DMU. DMU er opmærksom på at der en risiko for at medarbejdere herved kan få adgang til personfølsomme data (læs: cpr-numre). Der er ikke udviklet rapporter der viser cpr-numre. 9. Særlige kontroller IT-afdelingen er personmæssigt adskilt i forhold til regnskabsfunktionerne, derfor er det ikke aktuelt med særlige kontroller. 9.1 Modtagelse af fakturaer/kreditnotaer/retursvar fra NemKonto DMU kører med et system, med meget høj oppetid. Der kan således løbende modtages elektroniske dokumenter. Ved nedbrud opbevares dokumenterne til senere afsendelse eller modtagelse. 9.2 Afsendelse af fakturaer/kreditnotaer Hver nat genstartes de services der står for afsendelse af dokumenter, for at sikre servicen kører. jf. dokumentation for softwarestystemet SW0013. Dokumenter der ikke afsendes som følge af fejl genfremsendes efterfølgende af Navision brugeren. 9.3 Afsendelse af betalinger til NemKonto En Navision bruger, der bruger Nemkonto som betalingsmetode, kontrollerer for modtagne retursvar og foretager den nødvendige overvågning. 10. Nødplaner Jf. DS 484, Kap. 4 (Risikovurdering- og håndtering) + 14 (Beredskabsstyring) Der henvises til dokumenterne ITSU DMUs punkt-for-punkt respons til DS484-2005 kap4.doc og ITSU DMUs punkt-for-punkt respons til DS484-2005 kap14.doc og de heri nævnte dokumenter. Fsv angår Navision Stat ensemblet er de omfattede systemer betydningsvurderet i forbindelse med den forretningsmæssige risikovurdering på lige fod med alle andre informationsaktiver i DMU. Denne betydningsvurdering ligger til grund for beredskabsstyringens prioritering af genopbygningen efter en katastrofesituation. 11. Sikkerhedsmæssige hændelser Jf. DS 484, 10.10 + evt. kapitel 13 (Styring af sikkerhedshændelser) Der henvises til dokumenterne ITSU DMUs punkt-for-punkt respons til DS484-2005 kap410doc og ITSU DMUs punkt-for-punkt respons til DS484-2005 kap143doc og de heri nævnte dokumenter. Fsv angår Navision Stat ensemblet er de omfattede systemer blandt de få i DMU hvis klassificering er følsom eller højere. Sikkerhedsmæssige hændelser vil derfor altid blive behandlet af ITsikkerhedskoordinatoren i forening med formanden eller næstformanden for IT-sikkerhedsudvalget. 12. Kendte mangler DMUs IT-sikkerhedsudvalg har endnu ikke behandlet en nødbredskabsplan eller kravsspecificeret et formaliseret system til styring af sikkerhedsmæssige hændelser. Fsv. angår nødberedskabet er en foreløbig plan under udarbejdelse og vil kunne forelægges Rigsrevisionen i løbet af januar måned 2009. Fsv. angår styringen af sikkerhedsmæssige hændelser benyttes et ad-hoc system hvor alle hændelser går via IT-sikkerhedskoordinatoren som vurderer om der er behov for orientering til ledelsen og evt. yderligere eskalering. Det er aftalt, som angivet i Sikkerhedsinstruksen for Navision Stat, at alle hændelser vedrørende systemer hvis klassificering er følsom eller højere altid bliver behandlet af ITsikkerhedskoordinatoren i forening med formanden eller næstformanden for IT-sikkerhedsudvalget. Print af 11-02-2009 12:19:45 Side 17 af 18

I øvrigt gælder at IT-afdelingens dokumentsamlinger (som der henvises til mange steder) er under hastig opbygning og udvikling. Såfremt Rigsrevisionen ønsker indsigt i en eller flere af disse dokumentsamlinger kan henvendelse rettes til IT-sikkerhedskoordinatoren. Print af 11-02-2009 12:19:45 Side 18 af 18