Sotea ApS. Indholdsfortegnelse



Relaterede dokumenter
Sotea ApS CVR-nr

Lector ApS CVR-nr.:

Komiteen for Sundhedsoplysning CVR-nr.:

Fonden Center for Autisme CVR-nr.:

GML-HR A/S CVR-nr.:

Plan og Handling CVR-nr.:

GML-HR A/S CVR-nr.:

ISAE 3000 DK ERKLÆRING MARTS RSM plus P/S statsautoriserede revisorer

DFF-EDB a.m.b.a CVR nr.:

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

IDQ A/S CVR-nr.:

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

WWI A/S. Indholdsfortegnelse

Front-data Danmark A/S

frcewtfrhousf(wpers ml

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

Sikkerhedspolitik Version d. 6. maj 2014

IMS A/S ISAE 3402 TYPE 1 ERKLÆRING. CVR-nummer

Sikkerhedspolitik Version d. 3. oktober 2013

1. Ledelsens udtalelse

FYSISK SIKKERHED. Bilag 10-1

DFF EDB a.m.b.a. CVR-nr.:

Zentura IT A/S CVR-nr

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Sikkerhedspolitik Version: 2.4 Dokument startet:

WWI A/S Indholdsfortegnelse

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Sotea A/S. CVR nr.: Marts 2016

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

K e n d el s e : Den 13. juli 2009 blev i sag nr. 46/2007-R. Revisortilsynet. mod

Procedure for tilsyn af databehandleraftale

Præsentation af Curanets sikringsmiljø

b. Indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden 1. januar 2014 til 31.

Registreret revisor B er tidligere ved Revisornævnets kendelse af [dato] tildelt en advarsel for mangler ved erklæringsarbejde.

Timengo DPG A/S CVR-nr

any.cloud A/S REVI-IT A/S statsautoriseret revisionsaktieselskab

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

Manual KlimaC SMS Box. Dioder for fjernbetjening skal pege mod varmepumpen (afstand 6 m.)

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Complea A/S CVR-nr.:

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

Revisionsvejledning til National Standard for Identiteters Sikringsniveauer (NSIS)

ISAE 3402-ERKLÆRING PR. 1

AIC B 39/12 10 DEC AIC B 39/12. Minimumskrav til procedurer og dokumentation for Compliance Audit* under Part M og Part 145.

K e n d e l s e : Den 5. november 2008 blev i sag nr. 29/2008-R. Revisortilsynet. mod

Complea A/S CVR-nr

NOVAX One. Overlad ansvaret til os

Tlf: HUMAN TIME A/S

any.cloud A/S CVR nr.: DK

Notat om Privacy Impact Analyze, Persondata analyse eller blot PIA

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret.

Databehandleraftale 2013

Bilag 1 Databehandlerinstruks

Sotea ApS CVR nr.: DK

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

Sikker adgang til personfølsomme data i Aula

ISAE 3402 TYPE 2 ERKLÆRING

Vejledning til brug af Offentlig RA Revisionsinstruks

Wannafind. ISAE 3402 Type 2

Ballerup Kommune Politik for databeskyttelse

Vejledning til brug af Bank RA Revisionsinstruks

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

Forbrugervalg 2018 Eniig Varme Dokumentation af afstemningsresultat Udskrevet den 25. september 2018 kl. 08:00 Behandlet af: Kasper Pilman Kristensen

BUDGET-ERKLÆRINGER Budget erfa-møde

A/S it-drift og hostingaktiviteter

Revisionsrapport Revision af vederlag for 2018

Politik for informationssikkerheddatabeskyttelse

Afgivelse og modtagelse af revisorerklæringer. Gitte Nielsen, ATP Thomas Gi Scharf, KMD Jess Kjær Mogensen, PwC

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2

K e n d e l s e: Ved skrivelse af 25. august 2008 har Revisortilsynet klaget over J. Revision v/ Jan Rasmussen og registreret revisor Jan Rasmussen.

K e n d e l s e : Den 21. december 2009 blev i sag nr. 59/2008-R. Revisortilsynet. mod

Hillerød Kommune. Fysisk sikkerhed. IT-sikkerhedspolitik Bilag 6. Indholdsfortegnelse. November 2004

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser

5.1.2 Kan IO identificeres i organisati- onen?

Uafhængig revisors erklæring om aktivitet og refusionsberettigede udgifter Kommunal refusion

kv AC Station

Ejerforeningen SeaWest Delområde A. Revisionsprotokollat af 22. februar (side 48-51)

TechBiz ApS CVR-nr.:

Front-data Danmark A/S

IT-Forsyningen I/S. Revisionsprotokollat til årsregnskab regnskabsår

Bilag 6.2 IT-Revision

Informationssikkerhedspolitik. for Aalborg Kommune

Tilbud på revision af [navn på SI]

K e n d e l s e: Erhvervs- og Selskabsstyrelsen har oplyst, at Ole Wanting blev beskikket som registreret revisor den 29. august 1986.

IT-sikkerhedspolitik for

(*): Spørgsmål der er markeret med (*) kan undlades i revisionsvirksomheder hvor erklæringsopgaver med sikkerhed udelukkende udføres af 1 person.

Sankt Mortens Sogns Menighedsråd

Side 1 af 9. [Revisionsvirksomhed] [Revisor(er)] [Måned og årstal]

#Revisionsvirksomhed# #Revisor(er)# #Adresse (kontorsted)# #Postnr./By# #Måned og årstal# Page 1 of 10

PARAGON ε. Brugermanual

IST DANMARK APS ISAE 3000 ERKLÆRING

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Paradigme 1 Regnskaber omfattet af statens regnskabsregler. Standarderne. for offentlig

Når du arbejder for staten. En sikkerhedsinstruks til statens bygninger og digital sikkerhed

GSM port styring 400 brugere

k e n d e l s e: Ved skrivelse af 14. februar 2013 har Revisortilsynet klaget over registreret revisor A, jf. revisorlovens 43, stk. 3.

Transkript:

Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj 2014 ISAE 3000 DK Sotea ApS REVI-IT A/S

Indholdsfortegnelse Afsnit 1: Sotea ApS ledelseserklæring... 3 Afsnit 2: Sotea ApS beskrivelse af den fysiske sikkerhed samt interne kontroller... 4 Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet... 5 Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf... 6 REVI-IT A/S Side 2 af 9

Afsnit 1: Sotea ApS ledelseserklæring Denne erklæring vedrører Sotea ApS efterlevelse af vores politikker og procedurer for den fysiske sikkerhed i vores datacenter for perioden 01. juni 2013 til 31. maj 2014. Erklæringen er udelukkende beregnet for Sotea ApS kunder og deres revisorer. Sotea ApS stiller fysisk plads til rådighed for kunder, som ønsker at placere egne servere i Sotea ApS datacenter. Erklæringen afgrænses af de forhold, som fremgår af afsnit 3. Per dags dato bekræfter vi at revisor har haft adgang til alle dokumenter, og har modtaget alle oplysninger, som har været nødvendige for erklæringsarbejdet. Med baggrund i ovenstående vurderer vi, at vi i alle væsentlige forhold har opretholdt effektive kontroller, der sikrer overholdelsen af vores aftale med kunderne vedr. sikring af deres udstyr. Silkeborg, 11. juni 2014 Med venlig hilsen Sotea ApS Jess Munch Teilmann Direktør REVI-IT A/S Side 3 af 9

Afsnit 2: Sotea ApS beskrivelse af den fysiske sikkerhed samt kontroller Sikre områder Datacenteret (DC) ligger i IT-Huset ved Ferskvandscentret (FVC) på adressen Vejlsøvej 51, 8600 Silkeborg. DC ligger i kælderen af IT-Huset og for at få adgang skal der dels bruges dør-kode samt en chip baseret nøgle, der er programmeret specielt til den enkelte bruger. Ved hovedindgangen til IT-huset kræves der adgang kun via førnævnte nøgle. Hovedindgangen er åben i dagstimerne 07:00-19:00, dørene låses automatisk kl. 19:00 og åbnes igen kl. 7:00. I kælderen er der en dør, der giver adgang til DC yderområder herunder lagerrum/administrationslokale og sanitet samt selve DC. Adgang hertil sker også kun via nøglen. For at komme ind i selve DC indsættes nøglen og hvis den lyser grøn, indtaster man sin personlige kode og låser sig ind. Alene autoriserede personer får adgang til lokaler via den etablerede procedure. Skal eksterne personer have adgang til lokalet, er det i følgeskab med en af vores autoriserede medarbejdere, medmindre der er indgået særskilt aftale om selvstændig adgang via nøgle og kode. Eksterne service tekniker vil efter aftale blive låst ind af Sotea, der også sørger for at der bliver aflåst igen. Adgang til DC kan kun ske vha. elektronisk kodet nøgle og PIN-kode der er udleveret efter aftale og som kræver underskrift af de enkelte personer. I DC er der monteret tyverialarm, i tilfælde af indbrud alarmeres den private vagtcentral, og vagtcentral ringer til Sotea medarbejder jf. prioriteret liste udleveret til vagtcentral - der sendes vagt så snart alarm går. Der er ligeledes monteret brandslukningsudstyr/energen anlæg, som tilsvarende vores tyverialarm er koblet op på vagtcentral. Der er andre alarmer i form af fejl på UPS, Køleanlæg og temperatur, hvor der ved fejl sendes SMS til den Tekniske Chef, Direktøren, Driftschefen og vagttelefonen, samt mail til support@sotea.dk, hvor der automatisk bliver oprettet en ticket på alarmen, som så håndteres af sotea support. Vi anvender til sikring af driftsfaciliteterne køle- og brandanlæg, der periodisk testes og serviceres. Som med tyveri er den private vagtcentral også her tilkoblet og i tilfælde af alarm vil relevante personer hos Sotea blive notificeret. Sikring af udstyr Vores centrale netværksudstyr samt kundernes servere, som har etableret aftale om placering af udstyr hos os, og andet udstyr er, fysisk placeret i aflåst lokale, som har monteret køling og brandslukning mv. Til sikring af forsyning af elektricitet til DC i forbindelse med strømudfald er der monteret UPS og diesel generator. Dette setup er anslået til at kan køre i 6 timer på en fuld tank. En gang i måneden tester vi UPS og generator og en gang årligt udføres der service af ekstern service tekniker. REVI-IT A/S Side 4 af 9

Afsnit 3: Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet Til ledelsen hos Sotea ApS, Sotea ApS kunder og deres revisorer. Omfang Vi har fået til opgave at afgive erklæring om Sotea ApS efterlevelse af de implementerede kontroller i forbindelse med varetagelse af den fysiske sikkerhed for Sotea ApS datacenter for perioden 01. juni 2013 til 31. maj 2014. Ledelsen har ansvaret for overholdelsen af de etablerede kontroller. Vores ansvar er på grundlag af vores udførte arbejde, at udtrykke en konklusion om, hvorvidt Sotea ApS overholder førnævnte forhold. Det udførte arbejde Vi har udført vores arbejde i overensstemmelse med den internationale standard om andre erklæringsopgaver med sikkerhed (ISAE 3000 DK) og yderligere krav ifølge dansk revisorlovgivning. Denne standard kræver, at vi tilrettelægger og udfører vores arbejde med henblik på at opnå høj grad af sikkerhed for, at de implementerede kontroller har været fungerende i perioden. Vores arbejde har omfattet en gennemgang af virksomhedens etablerede kontroller i forbindelse med varetagelsen af den fysiske sikkerhed i virksomhedens datacenter. Virksomheden har etableret kontroller med reference til ISO 27002 s afsnit omkring fysiske forhold. Vores arbejde har i den forbindelse bestået af en gennemgang efter denne standard Vi har udført vores arbejde ved interview, besigtigelse og stikprøvevis undersøgelse af information. I medfølgende afsnit 4 har vi beskrevet etablerede kontroller, vores test og resultatet heraf. Det er vores opfattelse, at det udførte arbejde giver et tilstrækkeligt grundlag for vores konklusion.. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i afsnit 2. Det er vores vurdering at virksomhedens efterlevelse af de etablerede kontroller, i de væsentligste henseender har været opfyldt for perioden 01. juni 2013 til 31. maj 2014 København, 11. juni 2014 REVI-IT A/S Statsautoriseret revisionsaktieselskab Henrik Paaske Statsautoriseret revisor Martin Brogaard Nielsen It-revisor, CISA, adm. direktør REVI-IT A/S Side 5 af 9

Afsnit 4: Kontrolmål, udførte kontroller, test og resultater heraf Den følgende oversigt er udformet for at skabe en forståelse for effektiviteten af de kontroller, som Sotea ApS har implementeret. Vores test af funktionaliteten har omfattet de kontroller, som vi har vurderet nødvendige for at kunne opnå en høj grad af sikkerhed for, at de anførte kontrolmål har været opnået i perioden 01. juni 2013 til 31. maj 2014. Vi har således ikke nødvendigvis testet alle de kontroller, som Sotea ApS har nævnt i sin beskrivelse i afsnit 2. Kontroller, udført hos Sotea ApS kunder, er herudover ikke omfattet af vores erklæring idet kundernes egne revisorer må foretage denne gennemgang og vurdering. Vi har udført vores tests af kontroller hos Sotea ApS via følgende handlinger: Metode Forespørgsel Observation Inspektion Genudførsel af kontrol Overordnet beskrivelse Interview, altså forespørgsel, af udvalgt personale hos virksomheden omkring kontroller Observation af hvordan kontroller udføres Gennemgang og stillingtagen til politikker, procedurer og dokumentation vedrørende kontrollers udførsel. Vi har selv eller observeret en genudførsel af kontroller med henblik på at verificere, at kontrollen fungerer som forventet. Beskrivelse og resultat af vores tests ud fra de testede kontroller fremgår af de efterfølgende skemaer. I det omfang vi har konstateret væsentlige svagheder i kontrolmiljøet eller afvigelser her fra, har vi anført dette. REVI-IT A/S Side 6 af 9

Fysisk sikkerhed Overordnet kontrolmål: At forhindre uautoriseret fysisk adgang til, beskadigelse og forstyrrelse af virksomhedens lokaler og informationer, samt at undgå tab, skade, tyveri eller kompromittering af aktiver og afbrydelse af virksomhedens aktiviteter. ISO 27002 9 Sikre områder 9.1 Nr. Kontrolmål Sotea ApS kontrolforanstaltning REVI-IT s test Resultat af test 01 Fysisk sikkerhedsafgrænsning at sikre, at sikkerhedsafgrænsninger (barrierer som fx vægge, kortstyrede indgangsporte eller bemandede receptioner) anvendes til at beskytte områder, der indeholder informationer og informationsbehandlingsfaciliteter. Datacenteret (DC) ligger i IT-Huset ved Ferskvandscentret (FVC) på adressen Vejlsøvej 51, 8600 Silkeborg. DC ligger i kælderen af IT-Huset og for at få adgang skal der dels bruges dør-kode samt en chip baseret nøgle, der er programmeret specielt til den enkelte bruger. Ved hovedindgangen til IT-huset kræves der adgang kun via førnævnte nøgle. Hovedindgangen er åben i dagstimerne 07:00-19:00, dørene låses automatisk kl. 19:00 og åbnes igen kl. 7:00. I kælderen er der en dør, der giver adgang til DC yderområder herunder lagerrum/administrationslokale og sanitet samt selve DC. Adgang hertil sker også kun via nøglen. For at komme ind i selve DC indsættes nøglen og hvis den lyser grøn, indtaster man sin personlige kode og låser sig ind. Vi har inspiceret de fysiske rammer for Sotea's datacenter i Ferskvandscenteret i Silkeborg 9.1.1 02 Fysisk adgangskontrol at sikre, at sikre områder er beskyttet med passende adgangskontroller for at sikre, at kun autoriseret personale kan få adgang. Alene autoriserede personer får adgang til lokaler via den etablerede procedure. Skal eksterne personer have adgang til lokalet, er det i følgeskab med en af vores autoriserede medarbejdere, medmindre der er indgået særskilt aftale om selvstændig adgang via nøgle og kode. Eksterne service tekniker vil efter aftale blive låst ind af Sotea, der også sørger for at der bliver aflåst igen. Vi har forespurgt om processen og procedurerne ved de fysiske adgangskontroller. Vi har inspiceret procedurerne for den fysiske adgangskontrol. Vi har, stikprøvevis, inspiceret kontrollerne i revisionsperioden. 9.1.2 REVI-IT A/S Side 7 af 9

03 Sikring af kontorer, lokaler og faciliteter at sikre, at sikring af kontorer, lokaler og faciliteter tilrettelægges og etableres. Adgang til DC kan kun ske vha. elektronisk kodet nøgle og PIN-kode der er udleveret efter aftale og som kræver underskrift af de enkelte personer. I DC er der monteret tyverialarm, i tilfælde af indbrud alarmeres den private vagtcentral, og vagtcentral ringer til Sotea medarbejder jf. prioriteret liste udleveret til vagtcentral - der sendes vagt så snart alarm går. Der er ligeledes monteret brandslukningsudstyr/energen anlæg, som tilsvarende vores tyverialarm er koblet op på vagtcentral. Der er andre alarmer i form af fejl på UPS, Køleanlæg og temperatur, hvor der ved fejl sendes SMS til den Tekniske Chef, Direktøren, Driftschefen og vagttelefonen, samt mail til support@sotea.dk, hvor der automatisk bliver oprettet en ticket på alarmen, som så håndteres af sotea support. Vi har inspiceret hvorledes kontorer, lokaler og faciliteter er sikret. Vi har inspiceret proceduren vedr. alarmering og opfølgning heraf. Vi har fået oplyst, at det er muligt at slette de automatisk genererede tickets ved alarmer. Det medfører mangel på sporbarhed i håndteringen af alarmer i perioden og dermed kan vi ikke teste kontrollen. 9.1.3 04 Beskyttelse mod eksterne og miljømæssige trusler at sikre, at fysisk beskyttelse mod skadevirkninger fra brand, oversvømmelser, jordskælv, eksplosioner, civile optøjer og andre former for natur- eller menneskeskabte katastrofer tilrettelægges og etableres. Vi anvender til sikring af driftsfaciliteterne køle- og brandanlæg, der periodisk testes og serviceres. Som med tyveri er den private vagtcentral også her tilkoblet og i tilfælde af alarm vil relevante personer hos Sotea blive notificeret. Vi har inspiceret datacenteret. Vi har inspiceret proceduren for den månedlige gennemgang af datacenteret. 9.1.4 Sikring af udstyr 9.2 07 Placering og beskyttelse af udstyr at sikre, at udstyr placeres eller beskyttes for at nedsætte risikoen for miljøtrusler og farer og for muligheden for uautoriseret adgang. Vores centrale netværksudstyr samt kundernes servere, som har etableret aftale om placering af udstyr hos os, og andet udstyr er, fysisk placeret i aflåst lokale, som har monteret køling og brandslukning mv. Vi har inspiceret datacenteret. 9.2.1 REVI-IT A/S Side 8 af 9

08 Understøttende forsyninger (forsyningssikkerhed) at sikre, at udstyr beskyttes mod strømsvigt og andre forstyrrelser som følge af svigt af understøttende forsyninger. Til sikring af forsyning af elektricitet til DC i forbindelse med strømudfald er der monteret UPS og diesel generator. Dette setup er anslået til at kan køre i 6 timer på en fuld tank. En gang i måneden tester vi UPS og generator og en gang årligt udføres der service af ekstern service tekniker. Vi har inspiceret proceduren for den månedlige gennemgang af datacenteret. Vi har inspiceret dokumentation for service af UPS og dieselgenerator. 9.2.2 10 Vedligeholdelse af udstyr at sikre, at udstyr vedligeholdes korrekt for at sikre dets fortsatte tilgængelighed og integritet. Vi anvender til sikring af driftsfaciliteterne køle- og brandanlæg, der periodisk testes og serviceres. En gang i måneden tester vi UPS og generator og en gang årligt udføres der service af ekstern service tekniker. Vi har forespurgt på procedure for servicering af udstyr. Vi har inspiceret dokumentation for service af UPS, dieselgenerator, køling og brandslukningsanlægget. 9.2.4 11 Sikring af udstyr uden for virksomhedens lokaler at sikre, at der etableres sikring af udstyr uden for virksomheden under hensyntagen til de forskellige risici, der er forbundet med arbejde uden for virksomhedens lokaler. Alt udstyr befinder sig i egne lokaliteter. Vi har inspiceret at alt kritisk udstyr er placeret i datacenteret. 9.2.5 REVI-IT A/S Side 9 af 9

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback