Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1. maj 2013 til 30. november 2013 ISAE 3402, type II WWI A/S REVI-IT A/S
Indholdsfortegnelse Afsnit 1 - WWI A/S ledelseserklæring... 3 Afsnit 2 - WWI A/S beskrivelse af deres interne kontroller i forbindelse med it-hosting... 5 Afsnit 3 - Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet..12 Afsnit 4 - Kontrolmål, udførte kontroller, test og resultater heraf...15 REVI-IT A/S Side 2 af 33
Afsnit 2 - WWI A/S beskrivelse af deres interne kontroller i forbindelse med ithosting Beskrivelse af WWI A/S hostingydelser WWI A/S er et 100% danskejet IT-selskab med fødderne godt plantet i den jyske muld. Dette kan ikke kun ses på vore adresser, men skinner igennem i alt hvad vi tænker og gør. Vi har siden 1993 leveret seriøse og konkurrencedygtige IT-løsninger. Hos os er den rigtige løsning omdrejningspunktet for samarbejdet med vore kunder. Vi sætter en ære i, at give os den rette tid til at forstå behovet og få løsningen fulgt helt til døren! Startskuddet var salg af e-mailadresser, hjemmesider (hosting) og hvad der ellers rørte sig i den første begyndelse for internettets udbredelse til danske virksomheder. I dag udgør hosting stadig en solid grundkerne i virksomheden, men kompetenceniveauet er nu udvidet så hele spektret inden for IT dækkes - derfor kalder vi os også IT Totalleverandør! Vore kompetencer er bl.a.: Konsulentassistance / rådgivning Hosting og outsourcing Sikkerhedsløsninger Kommunikationsløsninger Salg af hardware / software Vi er medlemmer af BFIH, og ser det derigennem som en vigtig opgave at være med til at højne kvalitet, stabilitet og gennemsigtighed i et hostingmarked der er præget af mangeartede løsninger af varierende kvalitet og stabilitet. Vores målsætning er at være virksomhedens foretrukne samarbejdspartner med alt inden for IT. Dette opnår vi ved altid at have en super god kundeservice, stabil og seriøs drift samt højt og professionelt kompetenceniveau. Risikoanalyse og håndtering Ledelsen godkender og revurderer it-sikkerhedspolitikken minimum hvert år, dog altid ved større organisatoriske ændringer med indvirkning på anvendelsen af it i virksomheden. IT-driftsudvalget sikrer, at den overordnede it-sikkerhedspolitik er kommunikeret til alle medarbejdere, samarbejdspartnere samt øvrige personer, der er involveret i anvendelsen af it i virksomheden. It driftsudvalget reviderer og godkender 1 gang årligt risikoanalysen. Ved organisatoriske ændringer revideres og godkendes den ekstraordinært. IT-driftsudvalget sikrer, at sikringsforanstaltninger udvælges på basis af risikoanalysen. REVI-IT A/S Side 5 af 33
Organisering af informationssikkerhed, ansvar og retningslinjer Der afholdes løbende møder i IT-driftsudvalget med fast agenda hvor punkterne fra it-sikkerhedspolitikken vurderes og tages stilling til. Risikoanalysen opdateres og godkendes én gang årligt på driftsudvalgsmøde med mindre der har været organisatoriske ændringer herved revideres den umiddelbart. Organisation og ansvar: Allan Christiansen CEO Henrik Ahlers Andersen CTO Ledelse Administration og økonomi Salgsfunktion Og Rådgivning Teknisk support/hotline IT-drift Hosting-Outsourcing Konsulentbistand Administration Salg Hosting / Outsourcing / Konsulent Organisatorisk er ansvar inddelt efter roller primært følgende: ledelse, itdriftsudvalg og systemejer It-driftsudvalget godkender sammen med ledelsen væsentlige indkøb af IT-udstyr og software. It-driftsudvalget har - såfremt det er relevant - ansvaret for kontakt til myndighederne vedrørende emner inden for it-sikkerhedsområdet. Som en del af vores almindelige drift er vi registreret hos DK-CERT, og har løbende kontakt. Dette også i kraft af vores medlemskab af BFIH Brancheforeningen for IT-hostingvirksomheder i Danmark. It-driftsudvalget sørger løbende for at sikre at DK-CERT har relevante kontaktinformation til WWI A/S. Dette sikres gennem et fast punkt på agendaen til de fast planlagte møder i it-driftsudvalget. Eksterne samarbejdspartnere I samarbejde med it-driftsudvalget har systemejeren ansvaret for, at der udarbejdes en risikoanalyse i forbindelse med samarbejde med eksterne parter, der har adgang til virksomhedens it-aktiver. Systemejeren har ligeledes ansvaret for, at alle formelle samarbejdsaftaler med eksterne parter indeholder de dele af it-sikkerhedspolitikken med tilhørende regler, der gør sig gældende for samarbejdet. REVI-IT A/S Side 6 af 33
Styring af informationsrelaterede aktiver Der vedligeholdes fortegnelsen med oversigt over udstyr placeret i datacenteret. Heri er angivet placering, ejerskab og andre relevante oplysninger for aktiverne. Der forefindes ligeledes fortegnelse over de menneskelige ressourcer. Disse findes som bilag til IT-sikkerhedshåndbogen. Klassifikation af informationer og data Data og informationer er inddelt i 3 klassificeringer. Kundedata, WWI A/S og Intern WWI. Alle typer data behandles med omhu jvf. Itsikkerhedshåndbogen. Medarbejdersikkerhed Sikkerhedsprocedure før ansættelse Der informeres mundtlig ved jobsamtaler omkring it-politik og it-sikkerhedshåndbog samt baggrund for disse. Ved jobsamtalen kvalificeres den faglige viden, og stikprøve vis kontrolleres opgivne referencer. Medarbejdere er under og efter ansættelse kontraktmæssigt pålagt tavshedspligt omkring forhold hos WWI A/S, samt disses kunder. Ansættelsesforholdet Der er i ansættelseskontrakten angivet reference til at medarbejderen skal følge de til enhver tid gældende retningslinjer. Medarbejdere orienteres løbende på møder samt via e-mail omkring it-sikkerhedspolitik og procedurer. Ansættelsens ophør Ledelsen sikrer, at medarbejdere ved fratrædelse informeres om deres pligter bl.a., med reference til tavshedserklæring og juridiske regler. Ligeledes sikrer ledelsen at det bliver meddelt it-driftsudvalget når medarbejdere eller anden form for personale tilknyttet virksomheden fratræder virksomheden, således rettigheder og privilegier kan inddrages. Fysisk sikkerhed Adgang til sikre områder er begrænset af automatisk adgangskontrol og alarm hvor hver enkelt medarbejder er oprettet med egen personlig adgangskode/nøglebrik. Generel adgang til bygning/kontor kræver adgangskode og kod e- brik. Kun personer med arbejdsrelateret behov for at kunne tilgå datacentret har adgang her til. Der er ligeledes etableret videoovervågning af området, samt sikret udeareal hvor eksternt udstyr som dieselgenerator og køling er placeret. Eksternt udstyr er placeret bag aflåst og hærkværkssikret indhegning. Der føres log over oplåsning af døre, samt fra og tilkobling af alarm og zoner. Loggen for adgang er sikret jævnfør gældende sikkerhedspolitikker. Alle driftssystemer er placeret i serverrummet. REVI-IT A/S Side 7 af 33
Køle- og brandslukningsanlæg til sikring af driftsfaciliteterne testes og serviceres jævnligt. Alarmer fra serverrummet sendes automatisk til døgnbemandet kontrolcentral. It-aktiver, der understøtter kritiske processer, er forsynet med UPS og diesel generator til fortsat drift i tilfælde af strømsvigt. Hvilket er tilsvarende for køleanlæg, brandslukning samt rum-overvågning. It-driftsudvalget følger min. 1 gang årligt op på servicering af nævnte udstyr. Der er fast punkt på agendaen til it-driftsudvalgsmøder hvor rapporter mv. gennemgås og kontrolleres. Der udføres løbende inspektion af tekniske sikringsforanstaltninger, samt andre relevante systemer i forbindelse med driften i serverrummet. Denne inspektion dokumenteres og logføres. Alle lagringsmedier slettes (almindelig re-formatering er ikke tilstrækkelig) eller fysisk destrueres inden genbrug eller bortskaffelse. Styring af netværk og drift Procedurer og drift It-driftsudvalget tager stilling til relevante procedurer. Procedurer findes tilgængeligt for relevant personale. Der udføres Change Management på relevante systemer og udstyr. Der er defineret følgende typer af Changes: Projekt, Minor og Major. Nærmere beskrivelse af disse er tilgængelig i IT-sikkerhedshåndbogen. Der forefindes change-log på relevant udstyr/systemer. It-driftsudvalget gennemgår minimum hver 6. måned rapporter fra eksterne serviceleverandører omhandlende hændelser, problemer, fejl, nedbrud og logning. Der indhentes ligeledes revisionserklæring hvor dette er relevant. Der er fast punkt på agendaen til it-driftsudvalgsmøder hvor rapporter mv. gennemgås og kontrolleres. På agendaen er ligeledes fastlagt punkt hvor kapacitetsbehov behandles. På alle relevante servere og maskiner er der installeret antivirus for at sikre mod udefra kommende virus/malware/trusler. Sikkerhedskopiering Der foretages fuld kopiering af alle servere/data jvnf. gældende SLA. Særligt udvalgte systemer kan have flere restorepoints. Kunder kan vælge specialtilpasset backupperioder. Backup foretages i 2 omgange. Primær backup til diskbaseret system i datacentret. Herefter replikeret backup foretaget til diskbaseret system på sekundær site via dedikeret fiberforbindelse. Backuprapport gennemgås løbende for fejl og andre relevante informationer, og der føres log over backuprapporter og hændelser. REVI-IT A/S Side 8 af 33
Der foretages løbende restore-test. Der gendannes vilkårlige data og det kontrolleres at data er intakt og ser ud som forventet. Der foretages logføring af restoretest. Netværk, overvågning og logning Netværk og netværksudstyr overvåges proaktiv via system der løbende kan opsamle data om performance, samt reagere på fejl fra udstyret. Driftsmedarbejdere orienteres automatisk via e-mail eller SMS ved fejl. Overvågning kontrolleres løbende for fejl så der kan følges op på fejl og indmeldinger. Eventuelle åbne fejl leveres i e-mail og præsenteres på oversigtsskærm i kontor for synliggørelse for driftsmedarbejdere. Der opsamles log på systemer for autoriseret og uautoriserede adgangsforsøg. Logs gennemgås periodiske for autoriserede / uautoriserede logins fra brugere med administrative rettigheder. Systemer og netværk overvåges ligeledes proaktivt på relevante parametre for forsøg på misbrug. Logdata gemmes og sikres. Systemer overvåges proaktivt for fejl. Fejl indrapporteres enten via e-mail eller via visuel angivelse på info-skærm. Afhængig af typen af fejl, tager support eller systemejer sig af fejlen og sørger for den bliver rettet. Support eller systemejer rapporterer til it-driftsudvalget hvis fejlen er af en type hvor det findes relevant at tage stilling til hvilke foranstaltninger der kan etableres for at forhindre fejlen i at opstå igen. Systemer og netværksudstyr synkroniserer automatisk tiden via NTP-server fra internettet. Patchning og andre opgraderinger udføres som fastlast i gældende procedurer. Disse dokumenteres ligeledes i Change Management. Via vores medlemskab af BFIH, er vi forpligtede til at sikre, at kritiske sikkerhedsopdateringer implementeres inden for 2 måneder efter frigivelse. Dette sikrer vi ved, at vi efter fastlagte procedurer afvejer alle væsentlige opdateringer og implementerer dem inden for det pågældende tidsrum. Systemdokumentation er tilgængelig for de relevante medarbejdere og sikret via adgangskontrol. Forsendelse af fortrolige data må kun foregå med stærk kryptering, og efter aftale med dataejer. Destruktion af datamedier må kun foregå med garanti for total destruktion af medier, og med dokumentation fra bortskafferen. REVI-IT A/S Side 9 af 33
Adgangsstyring Brugere oprettes som personlige brugeridentiteter. Der vedligeholdes en brugeroversigt for relevante systemer, og denne oversigt revideres løbende for at sikre dens gyldighed. Er der tale om servicebrugere, er muligheden for egentlig log-on så vidt muligt deaktiveret. I tilfælde af ændringer/nedlæggelse/spærring af brugeradgang sørger systemejer for at udføre den pågældende opgave. Adgangsrettigheder gennemgås løbende for relevante systemer og det kontrolleres at der kun er de relevante adgange tildelt. Der er etableret automatisk passwordpolicy der systemmæssigt tvinger brugere til at overholde den gældende politik samt sikre regelmæssig skift af password. Til særligt sikrede systemer er der endvidere etableret 2-faktorvalidering. Der er etableret systempolicy der automatisk sørger for at låse og slå pauseskærm til på alle enheder, så ledes disse sikres hvis de ikke er overvåget. Diagnose- og konfigurationsporte kan kun anvendes ved fysisk tilstedeværelse ved det pågældende udstyr, og er således sikret af den almindelige adgangskontrol. Systemer der kan sidestilles med samme adgangsniveau uden fysisk tilstedeværelse er beskyttet af adgangskontrol med 2-faktorvalidering. Netværket er opdelt i segmenter samt beskyttet af firewalls for at opnå den nødvendige sikkerhed for systemerne. Sikkerheden er tilpasset den enkelte kundeløsning eller det pågældende system. Adgang til netværk via mobil opkobling sikres via krypteret VPN-forbindelse og 2- faktorvalidering. Alle medarbejdere internt i WWI A/S arbejder via krypterede forbindelser når der benyttes mobil opkobling udefra. Bærbare computere opdateres automatisk med beskyttelse selv om der ikke kan kommunikeres med de centrale servere, og medarbejderes egne PC ere er underlagt den til enhver tid gældende IT-sikkerhedspolitik. Styring af sikkerhedsbrud Sikkerhedshændelser behandles og evalueres som et fast punkt på Itdriftsudvalgets møder. Der føres en sikkerhedshændelseslog der behandler både tekniske samt generelt sikkerhedsmæssige hændelser. It-driftsudvalget vurderer nødvendigheden for at indhente data fra logs fra relevante systemer når it-driftsudvalget finder det relevant. Beredskabsstyring Der forefindes en ledelsesgodkendt beredskabsplan. Denne plan er tilgængelig på papir og i elektronisk form distribueret. Der forefindes ligeledes en ledelsesgodkendt risikoanalyse. Gennemgang og revidering af beredskabsplanen er en fast del af agendaen for itdriftsudvalgets fastlagte møder. Test af beredskabsplanen foretages løbende. REVI-IT A/S Side 10 af 33
Overensstemmelse med lovbestemte krav WWI A/S er ikke underlagt særlig lovgivning i forbindelse med drift af hostingsystemerne. Vores kunder kan dog være underlagt dette, og her vil WWI A/S understøttelse af dette være aftalt særskilt. Der udsendes jævnligt orienterende e-mail til alle medarbejdere med henblik på orientering omkring WWI A/S sikkerhedspolitik samt It-sikkerhedshåndbogen og dertilhørende relaterede procedurer og emner. Èn gang årligt lader vi os undergå uvildig IT-revision med henblik på afgivelse af en 3402 erklæring for overholdelse af kontrollerne nævnt i denne beskrivelse. I kraft af, at vi er medlemmer af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark), skal vi årligt kunne bevise at vi følger rammerne inden for ISO 27002. Omtalte revisorerklæring sikrer dette, ligesom BFIH ønsker ekstern revisors bekræftelse på vores overholdelse af foreningens øvrige krav. Disse omhandler forsikringsforhold, gennemsigtighed i forretningsvilkår, selskabsretlige forhold for virksomheden mv. Disse bekræftelser fra revisor er hjælp til BFIH s certificering af WWI A/S. Komplementerende kontroller WWI A/S kunder er, med mindre andet er aftalt, ansvarlige for at etablere forbindelse til WWI A/S servere. Herudover er WWI A/S kunder, med mindre andet er aftalt, ansvarlige for: at det aftalte niveau for backup dækker brugervirksomhedens behov periodisk gennemgang af brugervirksomhedens egne brugere at der opretholdes sporbarhed i tredjeparts software REVI-IT A/S Side 11 af 33
Afsnit 3 - Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet Til ledelsen hos WWI A/S, WWI A/S kunder og deres revisorer. Omfang Vi har fået til opgave at afgive erklæring om WWI A/S beskrivelse, som er gengivet i afsnit 2. Beskrivelsen, som i afsnit 1 er bekræftet af WWI A/S ledelse, dækker virksomhedens behandling af kunders transaktioner på virksomhedens Hosted Desktop og hosting-infrastrukturydelser i perioden 1. maj 2013 til 30. november 2013 samt udformningen og funktionaliteten af de kontroller der knytter sig til de kontrolmål, som er anført i beskrivelsen. WWI A/S beskrivelse (afsnit 2) indeholder en række forhold som virksomheden skal leve op til jf. virksomhedens medlemskab af BFIH (Brancheforeningen for IThostingvirksomheder i Danmark). Vores revision har omfattet disse forhold, og består udover de fysiske forhold, herunder server hardware, LAN, WAN og firewalls, af: hvorvidt WWI A/S implementerer kritiske sikkerhedsopdateringer inden for 2 måneder fra frigivelse, og hvorvidt WWI A/S kan retablere enheder i datacenter inden for 3 dage. WWI A/S ansvar WWI A/S er ansvarlig for udarbejdelsen af beskrivelsen (afsnit 2) og tilhørende udsagn (afsnit 1), herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret. WWI A/S er herudover ansvarlig for, leveringen af de ydelser, beskrivelsen omfatter, at anføre kontrolmål og udformningen, implementeringen og effektiviteten af fungerende kontroller for at nå de anførte kontrolmål. REVI-IT A/S ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om WWI A/S beskrivelse (afsnit 2) og om udformningen og funktionaliteten af de kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå en høj grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er retvisende, og at kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt. Opgaven med afgivelse af en erklæring med sikkerhed om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system og for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødven- REVI-IT A/S Side 12 af 33
dige for at give en høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere en vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i afsnit 2. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos en serviceleverandør WWI A/S beskrivelse i afsnit 2 er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtige efter sine særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller afdække alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i WWI A/S udsagn i afsnit 2 og det er vores vurdering, (a) (b) (c) (d) at beskrivelsen af interne kontroller i forbindelse med it-hosting, således som det var udformet og implementeret i hele perioden 1. maj 2013 til 30. november 2013, i alle væsentlige henseender er retvisende, og at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra 1. maj 2013 til 30. november 2013, og at kontrollerne for de særlige krav, som er foranlediget af virksomhedens medlemskab af BFIH jf. beskrivelsen i kapitel 2, var hensigtsmæssigt udformet i hele perioden fra 1. maj 2013 til 30. november 2013, og at de testede kontroller, som var de kontroller, der var nødvendige for at give en høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret effektivt i hele perioden 1. maj 2013 til 30. november 2013. REVI-IT A/S Side 13 af 33
Beskrivelse af test af kontroller De specifikke kontroller, der er testet, samt arten, den tidsmæssige placering og resultater af disse tester fremgår i det efterfølgende hovedafsnit (afsnit 4). Tiltænkte brugere og formål Denne erklæring er udelukkende tiltænkt kunder, der har anvendt WWI A/S Hosted Desktopmiljø, og disses revisorer, som har en tilstrækkelig kompetence til at vurdere den medfølgende beskrivelse sammen med anden information, herunder information om kunders egne kontroller. Denne information tjener til opnåelse af en forståelse af kundernes informationssystemer, som er relevante for regnskabsaflæggelsen. København, 31. januar 2013 REVI-IT A/S Statsautoriseret revisionsaktieselskab Henrik Paaske Statsautoriseret revisor Martin Brogaard Nielsen It-revisor, CISA, adm. direktør REVI-IT A/S Side 14 af 33
Afsnit 4 - Kontrolmål, udførte kontroller, test og resultater heraf Den følgende oversigt er udformet for at skabe en forståelse for effektiviteten af de kontroller, som WWI A/S har implementeret. Vores test af funktionaliteten har omfattet de kontroller, som vi har vurderet nødvendige for at kunne opnå en høj grad af sikkerhed for, at de anførte kontrolmål har været opnået i perioden 1. maj 2013 til 30. november 2013. Vi har således ikke nødvendigvis testet alle de kontroller, som WWI A/S har nævnt i sin beskrivelse i afsnit 2. Kontroller, udført hos WWI A/S kunder, er herudover ikke omfattet af vores erklæring idet kundernes egne revisorer må foretage denne gennemgang og vurdering. Vi har udført vores tests af kontroller hos WWI A/S via følgende handlinger: Metode Forespørgsel Observation Inspektion Genudførsel af kontrol Overordnet beskrivelse Interview, altså forespørgsel, af udvalgt personale hos virksomheden omkring kontroller Observation af hvordan kontroller udføres Gennemgang og stillingtagen til politikker, procedurer og dokumentation vedrørende kontrollers udførsel. Vi har selv eller observeret en genudførsel af kontroller med henblik på at verificere, at kontrollen fungerer som forventet. Beskrivelse og resultat af vores tests ud fra de testede kontroller fremgår af de efterfølgende skemaer. I det omfang vi har konstateret væsentlige svagheder i kontrolmiljøet eller afvigelser her fra, har vi anført dette. REVI-IT A/S Side 15 af 33
Risikovurdering og -håndtering Overordnet kontrolmål: Sikring af Implementering, og løbende vedligeholdelse af ledelsesgodkendte retningslinjer for informationssikkerhed i forhold til forretningsstrategien - og i forhold til relevant lovgivning. ISO 27002 4 Risikovurdering 4.1 Kontrolmål WWI A/S kontrolforanstaltning REVI-IT s test Resultat af test at virksomheden periodisk fortager It driftsudvalget reviderer og godkender 1 gang årligt risikoanalysen. Ved organisatoriske ændringer Vi har forespurgt, hvorvidt der findes en opdateret it-risikoanalyse, hvori blandt andet systemer en analyse og vurdering af itrisikobilledet. revideres og godkendes den ekstraordinært. og data er klassificeret. IT-driftsudvalget sikrer, at sikringsforanstaltninger udvælges på basis af risikoanalysen. Vi har inspiceret WWI A/S it-risikoanalyse og påset at systemer og data er klassificeret samt at den årligt gennemgås og godkendes af ledelsen. REVI-IT A/S Side 16 af 33
Sikkerhedspolitik Overordnet kontrolmål: Sikring af Implementering, og løbende vedligeholdelse af ledelsesgodkendte retningslinjer for informationssikkerhed i forhold til forretningsstrategien - og i forhold til relevant lovgivning. ISO 27002 5 It-sikkerhedspolitik 5.1 Kontrolmål WWI A/S kontrolforanstaltning REVI-IT s test Resultat af test It-sikkerhedspolitik Ledelsen godkender og revurderer it-sikkerhedspolitikken minimum hvert år, dog altid ved større Vi har forespurgt, hvorvidt der findes en opdateret og ledelsesgodkendt it-sikkerhedspolitik. at virksomheden har udarbejdet og organisatoriske ændringer med indvirkning på vedligeholder en ledelsesgodkendt anvendelsen af it i virksomheden. Vi har inspiceret WWI A/S it-sikkerhedspolitik it-sikkerhedspolitik. og påset at den er godkendt af ledelsen. IT-driftsudvalget sikrer, at den overordnede itsikkerhedspolitik er kommunikeret til alle medarbejdere, samarbejdspartnere samt øvrige personer, der er involveret i anvendelsen af it i virksomheden. REVI-IT A/S Side 17 af 33
Organisering af informationssikkerhed Overordnet kontrolmål: Håndtering og styring af informationssikkerhed i organisationen, samt opretholde sikkerheden i informationsbehandlingsfaciliteterne, som bliver tilgået, behandlet eller styret af eksterne parter. ISO 27002 6 Intern organisering 6.1 Kontrolmål WWI A/S kontrolforanstaltning REVI-IT s test Resultat af test Formålet med kontrollen er at kontrollere, at håndtering og styring af informationssikkerhed i organisationen, samt opretholde sikkerheden Der afholdes løbende møder i IT-drifts-udvalget med fast agenda hvor punkterne fra it-sikkerhedspolitikken vurderes og tages stilling til. Risikoanalysen opdateres og godkendes én gang årligt på Vi har forespurgt på dokumentation for ledelsens engagement i forhold til informationssikkerheden. i informationsbehandlingsfaciliteterne, som bliver tilgået, behandlet eller styret af eksterne parter. driftsudvalgsmøde med mindre der har været organisatoriske ændringer herved revideres den umiddelbart. Organisatorisk er ansvar inddelt efter roller primært følgende: ledelse, it-driftsudvalg og systemejer It-driftsudvalget godkender sammen med ledelsen væsentlige indkøb af IT-udstyr og software. Vi har forespurgt til koordinering af it-sikkerheden. Vi har forespurgt på formaliseringen af delegering af ansvaret for informationssikkerheden. Vi har forespurgt på fortrolighedsaftaler med samarbejdsparter. Vi har forespurgt på kontakt med særlige interessegrupper. Vi har forespurgt på uafhængig evaluering af informationssikkerheden. Vi har inspiceret relevante dokumenter. Eksterne parter 6.2 at de risici for virksomhedens informationer I samarbejde med it-driftsudvalget har systemejeren ansvaret for, at der udarbejdes en risikoanalyse Vi har forespurgt på identifikation af risici i relation til relevante eksterne parter. Ingen væsentlige afvigelser konstaterethandlingsudstyr, og informationsbe- i forbindelse med samarbejde med eksterne parter, som forretningsprocesser, der involverer eksterne parter, frembyder, skal identificeres, og der iværksættes passende foranstaltninger, inden der gives adgang. der har adgang til virksomhedens it-aktiver. Systemejeren har ligeledes ansvaret for, at alle formelle samarbejdsaftaler med eksterne parter indeholder de dele af it-sikkerhedspolitikken med tilhørende regler, der gør sig gældende for samarbejdet. Vi har stikprøvevis forespurgt på dokumentation. REVI-IT A/S Side 18 af 33
Styring af informationsrelaterede aktiver Overordnet kontrolmål: Systemer, data og enheder skal sikres og dokumenteres betryggende. Ansvar for aktiver 7.1 Kontrolmål WWI A/S kontrolforanstaltning REVI-IT s test Resultat af test at alle aktiver identificeres entydigt, og der udarbejdes og vedligeholdes en fortegnelse over alle vigtige aktiver. Der vedligeholdes fortegnelsen med oversigt over udstyr placeret i datacenteret. Heri er angivet placering, ejerskab og andre relevante oplysninger for aktiverne. Vi har forespurgt på fortegnelse over aktiver. Vi har forespurgt på ejerskab af aktiver. Der forefindes ligeledes fortegnelse over de menneskelige ressourcer. Disse findes som bilag til ITsikkerhedshåndbogen. Vi har forespurgt på beskrivelse af acceptabelt brug af aktiver. Vi har inspiceret relevante dokumenter. ISO 27002 7 Klassifikation af information 7.2 at informationer klassificeres efter deres værdi, lovmæssige krav og efter, hvor følsomme og kritiske informationerne er for virksomheden. Data og informationer er inddelt i 3 klassificeringer. Kundedata, WWI A/S og Intern WWI. Alle typer data behandles med omhu jvf. It-sikkerhedshåndbogen. Vi har forespurgt på politik for klassifikation af data. Vi har inspiceret relevante dokumenter. REVI-IT A/S Side 19 af 33
Medarbejdersikkerhed Overordnet kontrolmål: Sikring af, at alle i virksomheden er bekendte med deres roller og ansvar herunder også underleverandører og 3. parter, og at alle er kvalificerede og egnede til at udføre deres rolle ISO 27002 8 Inden ansættelse 8.1 Kontrolmål WWI A/S kontrolforanstaltning REVI-IT s test Resultat af test at efterprøvning af alle jobkandidaters, underleverandørers og eksterne brugeres baggrund udføres i overensstemmelse med relevante love, forskrifter og etiske regler og skal stå i forhold til de forretnings- Der informeres mundtlig ved jobsamtaler omkring it-politik og it-sikkerheds-håndbog samt baggrund for disse. Ved jobsamtalen kvalificeres den faglige viden, og stikprøve vis kontrolleres opgivne referencer. Vi har forespurgt på beskrivelse af opgaver og ansvar. Vi har forespurgt til formaliseringen af ansættelsesforhold. Vi har inspiceret relevante dokumenter. mæssige krav, klassifikationen af den information, der skal gives adgang til, og de relevante risici. Medarbejdere er under og efter ansættelse kontraktmæssigt pålagt tavshedspligt omkring forhold hos WWI A/S, samt disses kunder. Under ansættelsen 8.2 at ledelsen sikre, at medarbejdere, Der er i ansættelseskontrakten angivet reference til at medarbejderen skal følge de til enhver tid Vi har forespurgt på beskrivelse af ledelsens ansvar. underleverandører og eksterne gældende retningslinjer. Medarbejdere orienteres brugere opretholder sikkerhed i løbende på møder samt via e-mail omkring itsikkerhedspolitik Vi har forespurgt på beskrivelse og proces for overensstemmelse med virksomhedens fastlagte politikker og procedurer. og procedurer. undervisning og uddannelse. Vi har inspiceret relevante dokumenter. Ophør eller ændring af ansættelse 8.3 at ansvar for at bringe et ansættelsesforhold til ophør eller ændre et ansættelsesforhold er tydeligt defineret og tildelt. Vi har forespurgt på beskrivelse af ledelsens ansvar. Vi har inspiceret relevante dokumenter. Ledelsen sikrer, at medarbejdere ved fratrædelse informeres om deres pligter bl.a., med reference til tavshedserklæring og juridiske regler. Ligeledes sikrer ledelsen at det bliver meddelt it-driftsudvalget når medarbejdere eller anden form for personale tilknyttet virksomheden fratræder virksomheden, således rettigheder og privilegier kan inddrages. Vi har stikprøves kontrolleret rettidig inddragelse af rettigheder. REVI-IT A/S Side 20 af 33
Fysisk sikkerhed Overordnet kontrolmål: At forhindre uautoriseret fysisk adgang til, beskadigelse og forstyrrelse af virksomhedens lokaler og informationer, samt at undgå tab, skade, tyveri eller kompromittering af aktiver og afbrydelse af virksomhedens aktiviteter. ISO 27002 9 Sikre områder 9.1 Kontrolmål WWI A/S kontrolforanstaltning REVI-IT s test Resultat af test Adgang til sikre områder er begrænset af automatisk adgangskontrol og alarm hvor hver enkelt A/S. ret. Vi har inspiceret de fysiske rammer hos WWI Ingen væsentlige afvigelser konstate- at sikkerhedsafgrænsninger (barrierer som fx vægge, kortstyrede indgangsporte eller bemandede recepgangskode/nøglebrik. Generel adgang til by g- Vi har inspiceret relevant dokumenter. medarbejder er oprettet med egen personlig adtioner) anvendes til at beskytte ning/kontor kræver adgangskode og kodebrik. områder, der indeholder informationer og informationsbehandlingsfaciliteter. Kun personer med arbejdsrelateret behov for at kunne tilgå datacentret har adgang her til. Der er ligeledes etableret videoovervågning af området, samt sikret udeareal hvor eksternt udstyr som dieselgenerator og køling er placeret. Eksternt udstyr er placeret bag aflåst og hærkværkssikret indhegning. Der føres log over oplåsning af døre, samt fra og tilkobling af alarm og zoner. Loggen for adgang er sikret jævnfør gældende sikkerhedspolitikker. Alle driftssystemer er placeret i serverrummet. REVI-IT A/S Side 21 af 33
Sikring af udstyr 9.2 Køle- og brandslukningsanlæg til sikring af driftsfaciliteterne testes og serviceres jævnligt. A/S. ret. Vi har inspiceret de fysiske rammer hos WWI Ingen væsentlige afvigelser konstate- at udstyr placeres eller beskyttes for at nedsætte risikoen for miljøtrusler og farer og for muligheden Alarmer fra serverrummet sendes automatisk til Vi har forespurgt på anvendelsen af væsentlige for uautoriseret adgang. døgnbemandet kontrolcentral. serviceleverandør. It-aktiver, der understøtter kritiske processer, er forsynet med UPS og diesel generator til fortsat drift i tilfælde af strømsvigt. Hvilket er tilsvarende for køleanlæg, brandslukning samt rumovervågning. It-driftsudvalget følger min. 1 gang årligt op på servicering af nævnte udstyr. Der er fast punkt på agendaen til it-driftsudvalgsmøder hvor rapporter mv. gennemgås og kontrolleres. Der udføres løbende inspektion af tekniske sikringsforanstaltninger, samt andre relevante systemer i forbindelse med driften i serverrummet. Denne inspektion dokumenteres og logføres. Alle lagringsmedier slettes (almindelig re-formatering er ikke tilstrækkelig) eller fysisk destrueres inden genbrug eller bortskaffelse. Destruktion af datamedier må kun foregå med garanti for total destruktion af medier, og med dokumentation fra bortskafferen. Vi har forespurgt på politik for bortskaffelse af hardware. Vi har inspiceret relevant dokumenter. REVI-IT A/S Side 22 af 33
Styring af netværk og drift Overordnet kontrolmål: At sikre korrekt og sikker drift af informationsbehandlingsudstyr, implementere og opretholde et passende niveau af informationssikkerhed og serviceydelser i overensstemmelse med aftaler om ydelser fra tredjeparter, minimere risikoen for systemnedbrud, beskytte integriteten af software og informationer samt afsløre uautoriserede informationsbehandlingsaktiviteter. ISO 27002 10 Operationelle procedurer og ansvarsområder 10.1 Kontrolmål WWI A/S kontrolforanstaltning REVI-IT s test Resultat af test at driftsprocedurer dokumenteres, vedligeholdes og gøres tilgængelige for alle brugere, der har brug for dem. It-driftsudvalget tager stilling til relevante procedurer. Procedurer findes tilgængeligt for relevant personale. Der udføres Change Management på relevante Vi har forespurgt på procedurer og vejledninger til anvendelse i forbindelse med drift, ændringshåndtering, etablering og retablering af centrale driftsmæssige funktioner. systemer og udstyr. Der er defineret følgende typer af Changes: Projekt, Minor og Major. Nærmere beskrivelse af disse er tilgængelig i IT-sikkerhedshåndbogen. Vi har stikprøvevis inspiceret vejledninger. procedurer og Der forefindes change-log på relevant udstyr/systemer. Styring af serviceydelser fra tredjepart 10.2 It-driftsudvalget gennemgår minimum hver 6. Vi har forespurgt på formelle aftaler med serviceleverandørerret. Ingen væsentlige afvigelser konstate- at tredjeparten iværksætter, gennemfører måned rapporter fra eksterne serviceleverandører og opretholder sikker- omhandlende hændelser, problemer, fejl, nedbrud hedsforanstaltninger, servicebeskrivelser og logning. Der indhentes ligeledes revisionserklæring Vi har forespurgt på dokumentation for løbende og leveringsniveauer, der er omfattet af aftalen om ydelser fra tredjeparter. hvor dette er relevant. evaluering af de leverede services. REVI-IT A/S Side 23 af 33
Systemplanlægning og systemaccept 10.3 at anvendelsen af ressourcer skal styres og tilpasses, og der foretages fremskrivninger af fremtidige kapacitetskrav for at sikre, at systemet fungerer som krævet. Der er fast punkt på agendaen til it-driftsudvalgsmøder hvor rapporter mv. gennemgås og kontrolleres. På agendaen er ligeledes fastlagt punkt hvor kapacitetsbehov behandles. Vi har forespurgt på overvågning af systemerne i forhold til performance og kapacitet. Vi har stikprøvevis forespurgt på dokumentation. Beskyttelse mod skadevoldende programmer og mobil kode 10.4 at der iværksættes foranstaltninger til detektering, forhindring og gendannelse for at beskytte mod skadevoldende kode. På alle relevante servere og maskiner er der installeret antivirus for at sikre mod udefra kommende virus/malware/trusler. Vi har forespurgt på anvendelsen af antivirus. Vi har stikprøvevis forespurgt på dokumentation for anvendelse og løbende overvågning. REVI-IT A/S Side 24 af 33
Sikkerhedskopiering (backup) 10.5 at der tages sikkerhedskopier af informationer og software, og disse skal testes regelmæssigt i overensstemmelse med den aftalte politik for sikkerhedskopiering. Der foretages fuld kopiering af alle servere/data jvnf. gældende SLA. Særligt udvalgte systemer kan have flere restorepoints. Kunder kan vælge specialtilpasset backupperioder. Vi har forespurgt på formel aftale om opsætning og afvikling af backup. Vi har forespurgt på dokumentation for opsætning af backup. Backup foretages i 2 omgange. Primær backup til diskbaseret system i datacentret. Herefter replikeret backup foretaget til diskbaseret system på sekundær site via dedikeret fiberforbindelse. Backuprapport gennemgås løbende for fejl og andre relevante informationer, og der føres log over backuprapporter og hændelser. Vi har forespurgt på løbende overvågning af backupløsninger. Vi har forespurgt på opbevaring af backup. Vi har stikprøvevis forespurgt på dokumentation for overvågning. Der foretages løbende restore-test. Der gendannes vilkårlige data og det kontrolleres at data er intakt og ser ud som forventet. Der foretages logføring af restore-test. Vi har forespurgt på periodisk test af backupløsning. Vi har stikprøvevis forespurgt på dokumentation for test af backup. REVI-IT A/S Side 25 af 33
Styring af netværkssikkerhed 10.6 at netværk styres og kontrolleres tilstrækkeligt til at beskytte dem mod trusler og til at opretholde sikkerhed for systemer og applikationer, Netværk og netværksudstyr overvåges proaktiv via system der løbende kan opsamle data om performance, samt reagere på fejl fra udstyret. Driftsmedarbejdere orienteres automatisk via e-mail eller SMS ved fejl. Vi har forespurgt på styring af sikkerheden på netværket. Vi har stikprøvevis forespurgt på dokumentation. der anvender netværket, herunder information under overførelse. Overvågning kontrolleres løbende for fejl så der kan følges op på fejl og indmeldinger. Eventuelle åbne fejl leveres i e-mail og præsenteres på oversigtsskærm i kontor for synliggørelse for driftsmedarbejdere. Systemer og netværk overvåges ligeledes proaktivt på relevante parametre for forsøg på misbrug. Logdata gemmes og sikres. Systemer overvåges proaktivt for fejl. Fejl indrapporteres enten via e-mail eller via visuel angivelse på info-skærm. Afhængig af typen af fejl, tager support eller systemejer sig af fejlen og sørger for den bliver rettet. Mediehåndtering 10.7 at der er etableret procedurer til Bærbare computere opdateres automatisk med beskyttelse selv om der ikke kan kommunikeres Vi har forespurgt på politik til styring af bærbare medier. styring af bærbare medier samt med de centrale servere, og medarbejderes egne opdatering af procedurerne. PC ere er underlagt den til enhver tid gældende ITsikkerhedspolitik. Vi har forespurgt på sikring af systemdokumentation. Vi har forespurgt på dokumentation. REVI-IT A/S Side 26 af 33
Informationsudveksling 10.7 at der foreligger formelle politikker, procedurer og foranstaltninger for at beskytte informationsudvekslingen. Forsendelse af fortrolige data må kun foregå med stærk kryptering, og efter aftale med dataejer. Vi har forespurgt på politik for informationsudveksling. Vi har forespurgt på informationsudveksling i perioden. Vi har forespurgt på dokumentation. Overvågning 10.10 at auditlogning til registrering af Der opsamles log på systemer for autoriseret og uautoriserede adgangsforsøg. Logs gennemgås Vi har forespurgt på opsætning af log. brugeraktiviteter, undtagelser og periodiske for autoriserede / uautoriserede logins Vi har stikprøvevis inspiceret dokumentation for informationssikkerhedshændelser udføres og opbevares i et aftalt tidsrum af hensyn til fremtidige undersøgelser og overvågning af adgangskontrol. fra brugere med administrative rettigheder. Systemer og netværk overvåges ligeledes proaktivt på relevante parametre for forsøg på misbrug. Logdata gemmes og sikres løbende overvågning af log. Vi har forespurgt på tidsynkronisering på netværket Vi har inspiceret relevant dokumentation. REVI-IT A/S Side 27 af 33
Adgangsstyring Overordnet kontrolmål: At sikre autoriserede brugeres adgang og forhindre uautoriseret adgang til informationssystemer, driftssystemer samt netværkstjenester. Forretningsmæssige krav til adgangsstyring 11.1 Kontrolmål WWI A/S kontrolforanstaltning REVI-IT s test Resultat af test at en politik for adgangsstyring udarbejdes, dokumenteres og evalueres på grundlag af forretningsog sikkerhedsmæssige krav til adgang. Brugere oprettes som personlige brugeridentiteter. Der vedligeholdes en brugeroversigt for relevante systemer, og denne oversigt revideres løbende for at sikre dens gyldighed. Er der tale om servicebrugere, er muligheden for egentlig log-on så vidt muligt deaktiveret. Vi har forespurgt på politik for tildeling af adgang. Vi har inspiceret relevante dokumenter. I tilfælde af ændringer/nedlæggelse/spærring af brugeradgang sørger systemejer for at udføre den pågældende opgave. ISO 27002 11 Administration af brugeradgang 11.2 at der er etableret en formel procedure for registrering af til tildeling og afbrydelse af adgang til samtlige informationssystemer og -tjenester. I tilfælde af ændringer/nedlæggelse/spærring af brugeradgang sørger systemejer for at udføre den pågældende opgave. Vi har forespurgt på procedurer for tildeling af adgange. Vi har inspiceret udvalgte løsninger. Adgangsrettigheder gennemgås løbende for relevante systemer og det kontrolleres at der kun er de relevante adgange tildelt. Vi har stikprøvevis inspiceret dokumentation for tildeling af adgange. Vi har forespurgt på politik for periodisk gennemgang. Vi har inspiceret relevant dokumentation. Brugeransvar 11.3 at det er et krav, at brugere følger god sikkerhedspraksis ved valg og anvendelse af adgangskoder. Der er etableret automatisk passwordpolicy der systemmæssigt tvinger brugere til at overholde den gældende politik samt sikre regelmæssig skift af password. Til særligt sikrede systemer er der endvidere etableret 2-faktorvalidering. Vi har forespurgt på krav til anvendelse af adgangskode. Vi har inspiceret relevant dokumentation. REVI-IT A/S Side 28 af 33
Styring af netværksadgang 11.4 at brugere kun må få adgang til de tjenester, som de specifikt er autoriseret til at benytte. Vi har forespurgt på autentifikation af brugere med ekstern forbindelse. Vi har forespurgt på opdeling af netværket. Diagnose- og konfigurationsporte kan kun anvendes ved fysisk tilstedeværelse ved det pågældende udstyr, og er således sikret af den almindelige adgangskontrol. Systemer der kan sidestilles med samme adgangsniveau uden fysisk tilstedeværelse er beskyttet af adgangskontrol med 2-faktorvalidering. Vi har forespurgt på styringen af netværkstrafikken. Adgang til netværk via mobil opkobling sikres via krypteret VPN-forbindelse og 2-faktorvalidering. Alle medarbejdere internt i WWI A/S arbejder via krypterede forbindelser når der benyttes mobil opkobling udefra. Vi har stikprøvevis inspiceret relevant dokumentation. Styring af adgang til driftssystemer 11.5 at adgang til driftssystemer styres af en procedure for sikker log-on. Vi har forespurgt på procedurer for sikker log on. Adgang til netværk via mobil opkobling sikres via krypteret VPN-forbindelse og 2-faktorvalidering. Alle medarbejdere internt i WWI A/S arbejder via krypterede forbindelser når der benyttes mobil opkobling udefra. Brugere oprettes som personlige brugeridentiteter. Der vedligeholdes en brugeroversigt for relevante systemer, og denne oversigt revideres løbende for at sikre dens gyldighed. Er der tale om servicebrugere, er muligheden for egentlig log-on så vidt muligt deaktiveret. Vi har forespurgt på politik for låsning af arbejdsstationer. Vi har inspiceret relevant dokumentation af løsningerne. Mobilt udstyr og fjernarbejdspladser 11.7 at der er etableret en formel politik, og passende sikkerhedsforanstaltninger er iværksat for at beskytte mod de risici, som anvendelse af mobilt udstyr og kommunikationsudstyr indebærer. Adgang til netværk via mobil opkobling sikres via krypteret VPN-forbindelse og 2-faktorvalidering. Alle medarbejdere internt i WWI A/S arbejder via krypterede forbindelser når der benyttes mobil opkobling udefra. Vi har forespurgt til politik for anvendelse af mobiltelefoner med adgang til mail og lignende. Vi har stikprøvevis inspiceret dokumentation for anvendelse. REVI-IT A/S Side 29 af 33
Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer Overordnet kontrolmål: At forhindre fejl, tab, uautoriseret ændring eller misbrug af informationer i forretningssystemer, beskytte fortrolighed, autenticitet og integritet af informationer ved hjælp af kryptografiske metoder samt opretholde sikkerheden af systemsoftware og informationer i forretningssystemer. ISO 27002 12 Sikring af systemfiler 12.4 Kontrolmål WWI A/S kontrolforanstaltning REVI-IT s test Resultat af test at der er etableret procedurer for styring af softwareinstallation og opdatering på driftssystemerne. Patchning og andre opgraderinger udføres som fastlast i gældende procedurer. Disse dokumenteres ligeledes i Change Management. Via vores medlemskab af BFIH, er vi forpligtede til at sikre, at Vi har forespurgt på styring af software og rettidig opdatering. Vi har stikprøvevis forespurgt på dokumentation. kritiske sikkerhedsopdateringer implementeres inden for 2 måneder efter frigivelse. Dette sikrer vi ved, at vi efter fastlagte procedurer afvejer alle væsentlige opdateringer og implementerer dem inden for det pågældende tidsrum. Sikkerhed i udviklings- og hjælpeprocesser 12.5 at implementeringen af ændringer styres ved hjælp af formelle procedurer for ændringsstyring. Patchning og andre opgraderinger udføres som fastlast i gældende procedurer. Disse dokumenteres ligeledes i Change Management Vi har forespurgt på procedurer. Vi har stikprøvevis inspiceret dokumentation for anvendelse. Styring af tekniske sårbarheder 12.6 at der indsamles rettidig information om tekniske sårbarheder i anvendte informationssystemer. G raden hvori virksomheden er udsat for sådanne sårbarheder skal evalueres, og der skal iværksættes passende Via vores medlemskab af BFIH, er vi forpligtede til at sikre, at kritiske sikkerhedsopdateringer implementeres inden for 2 måneder efter frigivelse. Dette sikrer vi ved, at vi efter fastlagte procedurer afvejer alle væsentlige opdateringer og implementerer dem inden for det pågældende tidsrum. Vi har forespurgt på kontrol med tekniske sårbarheder. Vi har stikprøvevis inspiceret dokumentation for løbende kontrol. foranstaltninger for at håndtere den tilhørende risiko. REVI-IT A/S Side 30 af 33
Styring af sikkerhedshændelser Overordnet kontrolmål: At sikre, at informationssikkerhedshændelser og svagheder i forbindelse med informationssystemer kommunikeres på en sådan måde, at der kan iværksættes korrigerende handlinger rettidigt, samt sikre en ensartet og effektiv metode til styring af informationssikkerhedsbrud. ISO 27002 13 Rapportering af informationssikkerhedshændelser og svagheder 13.1 Kontrolmål WWI A/S kontrolforanstaltning REVI-IT s test Resultat af test Sikkerhedshændelser behandles og evalueres som Vi har forespurgt på procedure for rapportering at informationssikkerhedshændelser et fast punkt på It-driftsudvalgets møder. Der føres af hændelser. rapporteres ad passende ledel- seskanaler så hurtigt som muligt. en sikkerhedshændelseslog der behandler både tekniske samt generelt sikkerhedsmæssige hændelser. Vi har stikprøvevis forespurgt på dokumentation. Styring af informationssikkerhedsbrud og forbedringer 13.2 at ledelsens ansvar og procedurer fastlægges for at sikre hurtig, effektiv og planmæssig håndtering af informationssikkerhedsbrud. It-driftsudvalget vurderer nødvendigheden for at indhente data fra logs fra relevante systemer når it-driftsudvalget finder det relevant. Vi har forespurgt på ansvarstildeling. Vi har inspiceret relevante dokumenter. REVI-IT A/S Side 31 af 33
Beredskabsstyring Overordnet kontrolmål: At modvirke afbrydelser af forretningsaktiviteter og at beskytte kritiske forretningsprocesser mod virkningerne af større ned brud af informationssystemer eller katastrofer og at sikre rettidig retablering. ISO 27002 14 Informationssikkerhedsaspekter ved beredskabsstyring 14.1 Kontrolmål WWI A/S kontrolforanstaltning REVI-IT s test Resultat af test at hændelser, der kan forårsage afbrydelser af forretningsprocesser, identificeres sammen med sandsynligheden for og virkningen af sådanne afbrydelser og deres konsekvenser for informationssikkerheden. Der forefindes en ledelsesgodkendt beredskabsplan. Denne plan er tilgængelig på papir og i elektronisk form distribueret. Der forefindes ligeledes en ledelsesgodkendt risikoanalyse. Gennemgang og revidering af beredskabsplanen er en fast del af agendaen for it-driftsudvalgets fastlagte møder. Test af beredskabsplanen foretages løbende. Vi har forespurgt på beredskabsplanlægning. Vi har forespurgt på ramme for beredskabsplanlægning og revurdering. Vi har forespurgt på forhold omkring test. Vi har inspiceret relevant dokumentation. REVI-IT A/S Side 32 af 33
Overensstemmelse med love og interne politikker Overordnet kontrolmål: At undgå brud på love, lovbestemte, forskriftsmæssige eller kontraktlige forpligtelser og på sikkerhedskrav, sikre, at systemer opfylder kravene i virksomhedens sikkerhedspolitikker og sikkerhedsstandarder samt sikre, at systemer opfylder kravene i virksomhedens sikkerhedspolitikker og sikkerhedsstandarder. ISO 27002 15 Identifikation af gældende lovgivning 15.1 Kontrolmål WWI A/S kontrolforanstaltning REVI-IT s test Resultat af test at ledere sikrer, at alle sikkerhedsprocedurer inden for deres ansvarsområde efterleves korrekt for at opnå overensstemmelse med sikkerhedspolitikker WWI A/S er ikke underlagt særlig lovgivning i forbindelse med drift af hosting-systemerne. Vores kunder kan dog være underlagt dette, og her vil WWI A/S understøttelse af dette være aftalt særskilt. Vi har forespurgt på identifikation af gældende lovgivning. Vi har forespurgt på dokumentation. Ingen væsentlige afvigelser konstateretstandarder. og sikkerheds- Overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder samt teknisk overensstemmelse 15.2 at ledere sikrer, at alle sikkerhedsprocedurer inden for deres ansvarsområde efterleves korrekt for at opnå overensstemmelse med sikkerhedspolitikker Der udsendes jævnligt orienterende e-mail til alle medarbejdere med henblik på orientering omkring WWI A/S sikkerhedspolitik samt It-sikkerhedshåndbogen og dertilhørende relaterede procedurer og emner. Vi har forespurgt på sikring af overholdelse af politikker og standarder. Vi har forespurgt på kontrol af de tekniske løsninger. Ingen væsentlige afvigelser konstateretstandarder. og sikkerheds- Èn gang årligt lader vi os undergå uvildig ITrevision med henblik på afgivelse af en 3402 erklæring for overholdelse af kontrollerne nævnt i denne beskrivelse. I kraft af, at vi er medlemmer af BFIH (Brancheforeningen for IT-hostingvirksomheder i Danmark), skal vi årligt kunne bevise at vi følger rammerne inden for ISO 27002. Omtalte revisorerklæring sikrer dette, ligesom BFIH ønsker ekstern revisors bekræftelse på vores overholdelse af foreningens øvrige krav. Disse omhandler forsikringsforhold, gennemsigtighed i forretningsvilkår, selskabsretlige forhold for virksomheden mv. Disse bekræftelser fra revisor er hjælp til BFIH s certificering af WWI A/S. Vi har stikprøvevis forespurgt på dokumentation. REVI-IT A/S Side 33 af 33