Uafhængig revisors erklæring med sikkerhed om
beskrivelsen af kontroller, deres udformning og
funktionalitet i forbindelse med hostingydelse i
perioden 1. maj til 30. november 2013
ISAE 3402, type II
any.cloud A/S
REVI-IT A/S
any.cloud A/S
Indholdsfortegnelse
Afsnit 1 – any.cloud A/S’ ledelseserklæring
Afsnit 2 – any.cloud A/S’ beskrivelse af hostingydelse og interne kontroller
Afsnit 3 – Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning og funktionalitet
Afsnit 4 – Bilag: Kontrolmål, udførte kontroller, tests og resultater heraf
REVI-IT A/S
Side 2 af 56
any.cloud A/S
(Afsnit 2)
any.cloud A/S’ beskrivelse af hostingydelse samt interne kontroller
REVI-IT A/S
Side 5 af 56
any.cloud A/S
REVI-IT A/S
Side 6 af 56
any.cloud A/S
•
•
•
•
•
•
•
•
•
•
•
REVI-IT A/S
Side 7 af 56
any.cloud A/S
REVI-IT A/S
Side 8 af 56
any.cloud A/S
REVI-IT A/S
Side 9 af 56
any.cloud A/S
REVI-IT A/S
Side 10 af 56
any.cloud A/S
REVI-IT A/S
Side 11 af 56
any.cloud A/S
•
•
•
•
•
•
REVI-IT A/S
Side 12 af 56
any.cloud A/S
REVI-IT A/S
Side 13 af 56
any.cloud A/S
REVI-IT A/S
Side 14 af 56
any.cloud A/S
REVI-IT A/S
Side 15 af 56
any.cloud A/S
REVI-IT A/S
Side 16 af 56
any.cloud A/S
REVI-IT A/S
Side 17 af 56
any.cloud A/S
REVI-IT A/S
Side 18 af 56
any.cloud A/S
REVI-IT A/S
Side 19 af 56
any.cloud A/S
REVI-IT A/S
Side 20 af 56
any.cloud A/S
•
•
•
•
•
REVI-IT A/S
Side 21 af 56
any.cloud A/S
(Afsnt 3)
Uafhængig revisors erklæring om beskrivelsen af kontroller, deres udformning
og funktionalitet
Til ledelsen hos any.cloud A/S, any.cloud A/S’ kunder og deres revisorer.
Omfang
Vi har fået til opgave at afgive erklæring om any.cloud A/S’ beskrivelse, som er
gengivet i afsnit 2. Beskrivelsen, som i afsnit 1 er bekræftet af any.cloud A/S’ ledelse, dækker virksomhedens hostingydelser i perioden 1. maj til 30. november 2013
samt udformningen og funktionaliteten af de kontroller der knytter sig til de kontrolmål, som er anført i beskrivelsen.
any.cloud A/S’ beskrivelse (afsnit 2) indeholder en række forhold som virksomheden skal leve op til jf. virksomhedens medlemskab af BFIH (Brancheforeningen for
IT-hostingvirksomheder i Danmark). Vores revision har omfattet disse forhold, og
består udover de fysiske forhold, herunder server hardware, LAN, WAN og
firewalls, af:
•
•
hvorvidt any.cloud A/S implementerer kritiske sikkerhedsopdateringer inden for 2 måneder fra frigivelse, og
hvorvidt any.cloud A/S kan retablere enheder i datacenter inden for 3 dage.
any.cloud A/S’ ansvar
any.cloud A/S er ansvarlig for udarbejdelsen af beskrivelsen (afsnit 2) og tilhørende
udsagn (afsnit 1), herunder fuldstændigheden, nøjagtigheden og måden, hvorpå
beskrivelsen og udsagnet er præsenteret. any.cloud A/S er herudover ansvarlig, for
leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmål og for udformningen, implementeringen og effektiviteten af fungerende kontroller for at
nå de anførte kontrolmål.
REVI-IT A/S’ ansvar
Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om
any.cloud A/S’ beskrivelse (afsnit 2) og om udformningen og funktionaliteten af de
kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har
udført vores arbejde i overensstemmelse med ISAE 3402, ”Erklæringer med sikkerhed om kontroller hos en serviceleverandør”, som er udstedt af IAASB. Denne
standard kræver, at vi overholder etiske krav samt planlægger og udfører vores
handlinger for at opnå en høj grad af sikkerhed for, at beskrivelsen i alle væsentlige henseender er retvisende, og at kontrollerne i alle væsentlige henseender er
hensigtsmæssigt udformet og fungerer effektivt.
Opgaven med afgivelse af en erklæring med sikkerhed om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system og for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vur-
REVI-IT A/S
Side 22 af 56
any.cloud A/S
deringen af risiciene for, at beskrivelsen ikke er retvisende, og at kontrollerne ikke
er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har
omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give en høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter
endvidere en vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier,
som serviceleverandøren har specificeret og beskrevet i afsnit 2..
Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne
grundlag for vores konklusion.
Begrænsninger i kontroller hos en serviceleverandør
any.cloud A/S’ beskrivelse i afsnit 2 er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for
vigtige efter sine særlige forhold. Endvidere vil kontroller hos en serviceleverandør
som følge af deres art muligvis ikke forhindre eller afdække alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige
eller svigte.
Konklusion
Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de
kriterier, der er beskrevet i any.cloud A/S’ udsagn i afsnit 2 og det er på den baggrund vores vurdering,
(a) at beskrivelsen af hostingydelsen, således som det var udformet og implementeret i hele perioden 1. maj til 30. november 2013, i alle væsentlige henseender er retvisende, og
(b) at kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i
alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra
1. maj til 30. november 2013, og
(c) at kontrollerne for de særlige krav, som er foranlediget af virksomhedens medlemskab af BFIH jf. beskrivelsen i kapitel 2, var hensigtsmæssigt udformet i hele perioden fra , og
(d) at de testede kontroller, som var de kontroller, der var nødvendige for at give
en høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle
væsentlige henseender, har fungeret effektivt i hele perioden 1. maj til 30. november 2013.
(e)
Beskrivelse af test af kontroller
De specifikke kontroller, der er testet, samt arten, den tidsmæssige placering og
resultater af disse tester fremgår i det efterfølgende hovedafsnit (afsnit 4).
Tiltænkte brugere og formål
Denne erklæring er udelukkende tiltænkt kunder, der har anvendt any.cloud A/S’
hostingydelse, og disses revisorer, som har en tilstrækkelig kompetence til at vur-
REVI-IT A/S
Side 23 af 56
any.cloud A/S
dere den medfølgende beskrivelse sammen med anden information, herunder information om kunders egne kontroller. Denne information tjener til opnåelse af
en forståelse af kundernes informationssystemer, som er relevante for regnskabsaflæggelsen.
København, 30. december 2013
REVI-IT A/S
Statsautoriseret revisionsaktieselskab
Henrik Paaske
Statsautoriseret revisor
REVI-IT A/S
Martin Brogaard Nielsen
It-revisor, CISA, adm. direktør
Side 24 af 56
any.cloud A/S
(Afsnit 4)
Kontrolmål, udførte kontroller, test og resultater heraf
Den følgende oversigt er udformet for at skabe en forståelse for effektiviteten af
de kontroller, som any.cloud A/S har implementeret. Vores test af funktionaliteten
har omfattet de kontroller, som vi har vurderet nødvendige for at kunne opnå en
høj grad af sikkerhed for, at de anførte kontrolmål har været opnået i perioden 1.
maj til 30. november 2013.
Vi har således ikke nødvendigvis testet alle de kontroller, som any.cloud A/S har
nævnt i sin beskrivelse i afsnit 2.
Kontroller, udført hos any.cloud A/S’ kunder, er herudover ikke omfattet af vores
erklæring idet kundernes egne revisorer må foretage denne gennemgang og vurdering.
Vi har udført vores tests af kontroller hos any.cloud A/S via følgende handlinger:
Metode
Forespørgsel
Observation
Inspektion
Genudførsel
af kontrol
Overordnet beskrivelse
Interview, altså forespørgsel, af udvalgt personale hos
virksomheden omkring kontroller
Observation af hvordan kontroller udføres
Gennemgang og stillingtagen til politikker, procedurer
og dokumentation vedrørende kontrollers udførsel.
Vi har selv – eller observeret – en genudførsel af kontroller med henblik på at verificere, at kontrollen fungerer som forventet.
Beskrivelse og resultat af vores tests ud fra de testede kontroller fremgår af de efterfølgende skemaer. I det omfang vi har konstateret væsentlige svagheder i kontrolmiljøet eller afvigelser her fra, har vi anført dette.
REVI-IT A/S
Side 25 af 56
any.cloud A/S
Risikovurdering og -håndtering
Overordnet kontrolmål: Sikring af Implementering, og løbende vedligeholdelse af ledelsesgodkendte retningslinjer for informationssikkerhed i forhold til forretningsstrategien - og i forhold til relevant lovgivning.
Risikovurdering
Nr.
Kontrolmål
01
It-risikoanalyse
Formålet med kontrollen er
at sikre, at virksomheden
periodisk fortager en analyse
og vurdering af itrisikobilledet.
Håndtering af sikkerhedsrisici
02
Procedure for risikohåndtering
Formålet med kontrollen er
at sikre, at Virksomheden har
udarbejdet faste procedurer
for behandling af risici.
any.cloud A/S’ kontrolforanstaltning
Vi har procedurer for løbende risikovurdering af
vores forretning og specielt vores Cloud tjenester.
Dermed kan vi sikre, at de risici, som er forbundet
med de services og ydelser, vi stiller til rådighed, er
minimeret til et acceptabelt niveau.
REVI-IT’s test
Vi har forespurgt til vurdering af risici i any.cloud
A/S
Risikovurdering foretages periodisk samt når vi
foretager ændringer eller implementerer nye systemer, som vi vurderer at have relevante til at
revurdere vores generelle risikovurdering.
Ansvaret for risikovurderinger er hos virksomhedens CTO og skal efterfølgende forankres og godkendes hos ledelsen.
Vi har forespurgt til kontroller for periodisk revurdering af risici.
Resultat af test
Ingen væsentlige afvigelser
konstateret.
Ingen væsentlige afvigelser
konstateret.
Overordnet kontrolmål: Sikring af Implementering, og løbende vedligeholdelse af ledelsesgodkendte retningslinjer for informationssikkerhed i forhold til forretningsstrategien - og i forhold til relevant lovgivning.
REVI-IT A/S
any.cloud A/S’ kontrolforanstaltning
Sikkerhedspolitikken er udarbejdet efter
any.cloud’s ISO certificering og revideres årligt af
REVI-IT.
4.1
Vi har inspiceret den udarbejdede risikovurdering.
Sikkerhedspolitik
It-sikkerhedspolitik
Nr.
Kontrolmål
01
It-sikkerhedspolitik
Formålet med kontrollen er
at sikre, at Virksomheden har
udarbejdet en ledelsesgodkendt it-sikkerhedspolitik.
ISO
27002
4
REVI-IT’s test
Vi har forespurgt til udarbejdelse af itsikkerhedspolitik.
Vi har inspiceret den udarbejdede itsikkerhedspolitik.
Resultat af test
It-sikkerhedspolitikken er
ikke opbygget i forhold til
ISO 27002.
4.2
ISO
27002
5
5.1.1
Side 26 af 56
any.cloud A/S
02
Evaluering af i-tsikkerhedspolitikken
Formålet med kontrollen er
at sikre, at Virksomheden
vedligeholder itsikkerhedspolitikken, samt
sikre, at sikkerhedspolitikken
publiceres til og er tilgængelig for relevante interessenter.
Sikkerhedspolitikken er udarbejdet efter
any.cloud’s ISO certificering og revideres årligt af
REVI-IT.
Vi har forespurgt til procedure for periodisk
gennemgang af it-sikkerhedspolitikken.
Ingen væsentlige afvigelser
konstateret.
Organisering af informationssikkerhed
Overordnet kontrolmål: Håndtering og styring af informationssikkerhed i organisationen, samt opretholde sikkerheden i informationsbehandlingsfaciliteterne, som bliver
tilgået, behandlet eller styret af eksterne parter.
Intern organisering
Nr.
Kontrolmål
01
Ledelsens forpligtelse til
informationssikkerhed
Formålet med kontrollen er
at sikre, at ledelsen aktivt
understøtter sikkerheden i
virksomheden ved tydeligt at
vise retning, engagement,
præcis opgavefordeling og
anerkendelse af ansvar for
informationssikkerhed.
02
Koordinering af informations-sikkerhed
Formålet med kontrollen er
at sikre, at informationssikkerhedsaktiviteter koordineres af repræsentanter fra
forskellige dele af virksomheden med relevante roller
og jobfunktioner.
REVI-IT A/S
5.1.2
ISO
27002
6
6.1
any.cloud A/S’ kontrolforanstaltning
Det er ledelsen der godkender retningslinjerne for
politikker og procedurer, og det er ledelsen der
periodisk godkender opdateringer hertil. Årligt
foretages der review heraf for at sikre en opdateret
politik.
REVI-IT’s test
Vi har forespurgt til ledelsens forpligtigelse til
informationssikkerhed.
Resultat af test
Ingen væsentlige afvigelser
konstateret.
Vi har etableret it-sikkerhedspolitik der beskriver
hvordan vi overordnet skal håndteres vores forretning og vores leverance. Alle medarbejdere kender
til denne via intranettet og informeres, når ledelsen godkender opdateringer til politikken.
Vi har forespurgt til koordinering af informationssikkerhed.
Ingen væsentlige afvigelser
konstateret.
6.1.1
6.1.2
Vi har inspiceret dokumentation.
Vi har en klart opdelt organisation hvad ansvar
angår, og har udførlige ansvars- og rollebeskrivelser på alle niveauer lige fra ledelsesniveau til de
enkelte driftsmedarbejdere.
Side 27 af 56
any.cloud A/S
03
Delegering af ansvar for
informationssikkerhed
Formålet med kontrollen er
at sikre, at alt ansvar for
informationssikkerhed er
klart defineret.
Vi har en klart opdelt organisation hvad ansvar
angår, og har udførlige ansvars- og rollebeskrivelser på alle niveauer lige fra ledelsesniveau til de
enkelte driftsmedarbejdere.
Vi har forespurgt til delegering af ansvar.
04
Godkendelsesproces for
informationsbehandlingsfaciliteter
Formålet med kontrollen er
at sikre, at en styringsproces
for godkendelse af nyt informationsbehandlingsudstyr defineres og implementeres.
Vi har en klart opdelt organisation hvad ansvar
angår, og har udførlige ansvars- og rollebeskrivelser på alle niveauer lige fra ledelsesniveau til de
enkelte driftsmedarbejdere.
05
Fortrolighedsaftaler
Formålet med kontrollen er
at sikre, at krav til aftaler om
fortrolighed eller hemmeligholdelse, der afspejler virksomhedens behov for at
beskytte informationer, skal
identificeres og evalueres
regelmæssigt.
Kontakt med særlige interessegrupper
Formålet med kontrollen er
at sikre, at der opretholdes
passende kontakt med særlige interessegrupper eller
andre faglige sikkerhedsfora
og faglige organisationer.
07
REVI-IT A/S
Ingen væsentlige afvigelser
konstateret.
6.1.3
Vi har forespurgt til proces for godkendelse af
nye faciliteter.
Ingen væsentlige afvigelser
konstateret.
6.1.4
Der er etableret fortrolighed generelt for alle involverede i vores forretning. Dette sker via ansættelseskontrakter eller samarbejdsaftaler med underleverandører og samarbejdspartnere.
Vi har forespurgt til fortrolighedsaftaler.
Ingen væsentlige afvigelser
konstateret.
6.1.5
Vi holder os fagligt opdaterede vha. producenters
supporthjemmesider, debatfora mv. for konstaterede svagheder i de systemer, vi benytter og tilbyder.
Vi har forespurgt til kontakt med interessegrupper.
Ingen væsentlige afvigelser
konstateret.
6.1.7
Vi har inspiceret dokumentation.
Vi har inspiceret dokumentation for fortrolighed.
Vi har inspiceret dokumentation for kontakt med
DK-Cert
Via vores medlemskab af BFIH (Brancheforeningen
for IT-hostingvirksomheder i Danmark) har vi etableret kontakt til hotline hos DK-CERT, hvor vi gensidigt har aftale om orientering ved væsentlige sikkerhedsrelaterede forhold vedrørende internettrafik.
Side 28 af 56
any.cloud A/S
08
Uafhængig evaluering af
informationssikkerhed
Formålet med kontrollen er
at sikre, at virksomhedens
metode til styring af informationssikkerhed og implementeringen af den (dvs.
styringsmål, foranstaltninger, politikker, processer og
procedurer for informationssikkerhed) evalueres uafhængigt og separat med
planlagte mellemrum eller i
tilfælde af væsentlige ændringer af sikkerhedsimplementeringen.
Eksterne parter
09
Identifikation af risici i relation til eksterne parter
Formålet med kontrollen er
at sikre, at de risici for virksomhedens informationer og
informationsbehandlingsudstyr, som forretningsprocesser, der involverer eksterne
parter, frembyder, skal identificeres, og der iværksættes
passende foranstaltninger,
inden der gives adgang.
10
Sikkerhedsforhold i relation
til kunder
Formålet med kontrollen er
at sikre, at alle identificerede
sikkerhedskrav er afklaret,
inden kunder får adgang til
virksomhedens informationer eller aktiver.
REVI-IT A/S
Vi har en intern it-sikkerhedsorganisation, som
sikrer at politikker og procedurer ajourføres og
bidrager til optimering af det aktuelle sikkerhedsniveau i any.cloud A/S.
Vi har forespurgt til uafhængig evaluering af
informationssikkerhed.
Ingen væsentlige afvigelser
konstateret.
6.1.8
Vi har observeret, at der foretages en uafhængig
evaluering af informationssikkerhed.
Der foretages løbende og minimum årligt en uafhængig evaluering af informationssikkerheden,
som foretages af vores interne revision. Derudover
foretages evalueringen af en ekstern it-revisor
samt i forbindelse med udarbejdelse af de årlige
ISAE 3402 erklæringer.
Vi har i vores politik defineret hvordan vi samarbejder med eksterne parter. Er der tale om parter
som er en integreret del af vores leverancer, skal vi
føre tilsyn med underleverandørens etablerede
kontroller. For hvert samarbejde har vi udarbejdet
en risikovurdering for vurdering af risici, som samarbejdet kan medføre i forhold til vores ydelse til
kunderne, herunder sikkerheden hos de enkelte
leverandører, dataudveksling, eksterne adgange
mm.
Vi har forespurgt til identifikation af risici i relation til eksterne parter.
Vores tekniske og logiske sikkerhedsmodel kan
ikke afviges. Ønsker kunder ændringer, der efter
vores opfattelse slækker på deres eller på vores,
eller andre kunders systemer, tager vi en dialog
med kunden om en tilsvarende løsning. Dette kan
være web-services, kodeordspolitik, IP-forhold mv.
Vi har forespurgt til sikkerhedsforhold i relation
til kunder.
Ingen væsentlige afvigelser
konstateret.
6.2
6.2.1
Vi har inspiceret dokumentation.
Ingen væsentlige afvigelser
konstateret.
6.2.2
Vi har inspiceret dokumentation.
Side 29 af 56
any.cloud A/S
11
Håndtering af sikkerhed i
aftaler med tredjemand
Formålet med kontrollen er
at sikre, at aftaler med tredjemand om adgang, behandling, kommunikation eller
håndtering af virksomhedens
informationer eller informationsbehandlingsudstyr eller
om tilvejebringelse af produkter eller tjenester til informationsbehandlingsudstyr dækker alle relevante
sikkerhedskrav.
Vores tekniske og logiske sikkerhedsmodel kan
ikke afviges. Ønsker kunder ændringer, der efter
vores opfattelse slækker på deres eller på vores,
eller andre kunders systemer, tager vi en dialog
med kunden om en tilsvarende løsning. Dette kan
være web-services, kodeordspolitik, IP-forhold mv.
Vi har forespurgt til håndtering af sikkerhed med
tredjemand.
Ingen væsentlige afvigelser
konstateret.
Vi har inspiceret dokumentation.
ISO
27002
7
Styring af informationsrelaterede aktiver
Overordnet kontrolmål: Systemer, data og enheder skal sikres og dokumenteres betryggende.
Ansvar for aktiver
Nr.
Kontrolmål
01
Fortegnelse over aktiver
Formålet med kontrollen er
at sikre, at alle aktiver identificeres entydigt, og der udarbejdes og vedligeholdes en
fortegnelse over alle vigtige
aktiver.
02
Ejerskab af aktiver
Formålet med kontrollen er
at sikre, at alle informationer
og aktiver i relation til informationsbehandlingsudstyr
"ejes" af en udpeget part i
virksomheden.
REVI-IT A/S
6.2.3
7.1
any.cloud A/S’ kontrolforanstaltning
Systemer, data og enheder, herunder medarbejdere, m.m. skal sikres og dokumenteres betryggende.
Software, servere og netværksudstyr inkl. konfiguration er registreret til brug ved dokumentation,
overblik over udstyr mv.
Via ansvarsfordeling og rollebeskrivelser, er centrale netværksenheder, servere, periferienheder,
systemer og data tilegnet systemansvarlige i vores
virksomhed.
Kunders data og systemer er tilegnet kundens
kontaktperson. Vi arbejder med ejerskab for at
sikre, at ingen enheder, systemer eller data bliver
glemt ift. sikkerhedsopdatering, klassifikation, drift
og vedligehold.
REVI-IT’s test
Vi har forespurgt til fortegnelse over aktiver.
Resultat af test
Ingen væsentlige afvigelser
konstateret.
7.1.1
Vi har inspiceret dokumentation.
Vi har forespurgt til ejerskab af aktiver.
Ingen væsentlige afvigelser
konstateret.
7.1.2
Vi har inspiceret dokumentation.
Side 30 af 56
any.cloud A/S
03
Accepteret brug af aktiver
Formålet med kontrollen er
at sikre, at regler for accepteret brug af informationer og
aktiver i relation til informationsbehandlingsudstyr
identificeres, dokumenteres
og implementeres.
Klassifikation af information
04
Retningslinjer for klassifikation
Formålet med kontrollen er
at sikre, at informationer
klassificeres efter deres værdi, lovmæssige krav og efter,
hvor følsomme og kritiske
informationerne er for virksomheden.
05
Mærkning og håndtering af
informationer
Formålet med kontrollen er
at sikre, at der udarbejdes og
implementeres et passende
sæt af procedurer til mærkning og håndtering af informationer i overensstemmelse med den klassifikationsplan, som virksomheden har
vedtaget.
REVI-IT A/S
Vi har etableret it-sikkerhedspolitik der beskriver
hvordan vi overordnet skal håndteres vores forretning og vores leverance. Alle medarbejdere kender
til denne via intranettet og informeres, når ledelsen godkender opdateringer til politikken.
Vi har forespurgt til retningslinjer for brug af
aktiver.
Ingen væsentlige afvigelser
konstateret.
Ingen formel procedure
Vi har forespurgt til retningslinjer for klassifikation.
Ingen væsentlige afvigelser
konstateret.
Ingen formel procedure
Vi har forespurgt til mærkning og håndtering af
informationer.
Ingen væsentlige afvigelser
konstateret.
7.1.3
Vi har inspiceret dokumentation.
7.2
7.2.1
7.2.2
Vi har observeret opbevaring og mærkning af
informationer.
Side 31 af 56
any.cloud A/S
Medarbejdersikkerhed
Overordnet kontrolmål: Sikring af, at alle i virksomheden er bekendte med deres roller og ansvar – herunder også underleverandører og 3. parter, og at alle er kvalificerede og
egnede til at udføre deres rolle
Inden ansættelse
Nr.
Kontrolmål
01
Opgaver og ansvar
Formålet med kontrollen er
at sikre, at medarbejderes,
underleverandørers og eksterne brugeres sikkerhedsopgaver og sikkerhedsansvar
defineres og dokumenteres i
overensstemmelse med
virksomhedens informationssikkerhedspolitik.
02
Screening
Formålet med kontrollen er
at sikre, at efterprøvning af
alle jobkandidaters, underleverandørers og eksterne
brugeres baggrund udføres i
overensstemmelse med
relevante love, forskrifter og
etiske regler og skal stå i
forhold til de forretningsmæssige krav, klassifikationen af den information, der
skal gives adgang til, og de
relevante risici.
REVI-IT A/S
ISO
27002
8
8.1
any.cloud A/S’ kontrolforanstaltning
Vi vil sikre, at alle i virksomheden er bekendte med
deres roller og ansvar – herunder også vores underleverandører og 3. parter, og at alle er kvalificerede og egnede til at udføre deres rolle.
REVI-IT’s test
Vi har forespurgt til ansættelsesprocessen.
Resultat af test
Ingen væsentlige afvigelser
konstateret.
8.1.1
Vi har forespurgt til udarbejdelse af rolle og ansvarsbeskrivelser.
Vi har inspiceret procedurer og dokumentation.
Vi har procedurer for ansættelse af medarbejdere
og etablering af samarbejde med eksterne, hvor vi
sikrer, at vi ansætter den rigtige kandidat ift. baggrund og kompetence.
Vi har forespurgt til ansættelsesprocessen.
Ingen væsentlige afvigelser
konstateret.
8.1.2
Vi har forespurgt til screening af medarbejdere
inden ansættelse.
Side 32 af 56
any.cloud A/S
03
Ansættelsesforhold
Formålet med kontrollen er
at sikre, at medarbejdere,
underleverandører og eksterne brugere, som led i den
kontraktlige forpligtelse,
indgår og underskriver betingelserne i ansættelseskontrakten, der skal angive deres
og virksomhedens ansvar for
informationssikkerhed.
Under ansættelsen
04
Ledelsens ansvar
Formålet med kontrollen er
at sikre, at ledelsen kræver, at
medarbejdere, underleverandører og eksterne brugere
opretholder sikkerhed i overensstemmelse med virksomhedens fastlagte politikker
og procedurer.
05
Bevidsthed om, uddannelse
og træning i informationssikkerhed
Formålet med kontrollen er
at sikre, at alle virksomhedens medarbejdere og, hvor
det er relevant, underleverandører og eksterne brugere
bevidstgøres om sikkerhed
og regelmæssigt holdes ajour
med virksomhedens politikker og procedurer, i det omfang det er relevant for deres
jobfunktion.
REVI-IT A/S
Generelle vilkår for ansættelse, herunder fortrolighed om egne og kunders forhold, er beskrevet i
hver medarbejders ansættelseskontrakt hvor forhold omkring alle sider af ansættelsen, herunder
ophør og sanktioner ved evt. sikkerhedsbrud, er
angivet.
Vi har forespurgt til medarbejderes ansættelsesforhold og leverandørs kontrakter.
Alle i vores virksomhed skal leve op til den rolle,
som er tilegnet dem samt følge vores procedurer jf.
vores it-sikkerhedspolitik samt ansvars og rollefordeling.
Vi har forespurgt til ledelsens ansvar i forhold til
politikker og procedurer.
Der afholdes løbende, dog minimum årligt, kurser,
foredrag samt andre relevante aktiviteter til sikring af, at relevante medarbejdere og evt. eksterne
samarbejdspartnere holdes ajour med sikkerhed
og bevidstgøres om evt. nye trusler.
Vi har forespurgt til uddannelse af brugere i itsikkerhed.
Ingen væsentlige afvigelser
konstateret.
8.1.3
Vi har inspiceret udvalgte ansættelseskontrakter
og kontrakter med leverandører.
Ingen væsentlige afvigelser
konstateret.
8.2
8.2.1
Vi har inspiceret kontroller og dokumentation.
Ingen væsentlige afvigelser
konstateret.
8.2.2
Vi har inspiceret proceduren for uddannelse af
medarbejdere.
Medarbejdere, og eksterne parter hvor det er relevant at inkludere disse under vores sikkerhedsretningslinjer, bliver periodisk orienteret om vores
sikkerhedsretningslinjer samt når der sker ændringer.
Side 33 af 56
any.cloud A/S
06
Sanktioner
Formålet med kontrollen er
at sikre, at der forefindes en
formel sanktionsproces for
medarbejdere, der har begået sikkerhedsbrud.
Generelle vilkår for ansættelse, herunder fortrolighed om egne og kunders forhold, er beskrevet i
hver medarbejders ansættelseskontrakt hvor forhold omkring alle sider af ansættelsen, herunder
ophør og sanktioner ved evt. sikkerhedsbrud, er
angivet.
Vi har forespurgt til retningslinjer for sanktioner.
Ved ophør af en ansættelse har vi en udførlig procedure, som skal følges, for at sikre, at medarbejderne indleverer alle relevante aktiver, herunder
bærbare medier mm, samt sikre at alle medarbejderes adgange til bygninger, systemer og data
inddrages. Det overordnede ansvar for sikring af
alle kontroller i fratrædelsesprocessen ligger hos
it-chefen.
Vi har forespurgt til ansvar ved ophør af medarbejdere.
Tilbagelevering af aktiver
Formålet med kontrollen er
at sikre, at alle medarbejdere,
underleverandører og eksterne brugere afleverer alle
virksomhedsaktiver, der er i
deres besiddelse, når deres
ansættelse, kontrakt eller
aftale ophører.
Ved ophør af en ansættelse har vi en udførlig procedure, som skal følges, for at sikre, at medarbejderne indleverer alle relevante aktiver, herunder
bærbare medier mm, samt sikre at alle medarbejderes adgange til bygninger, systemer og data
inddrages. Det overordnede ansvar for sikring af
alle kontroller i fratrædelsesprocessen ligger hos
it-chefen.
Vi har forespurgt til procedure ved ophør af
medarbejdere.
Inddragelse af adgangsrettigheder
Formålet med kontrollen er
at sikre, at alle medarbejderes, underleverandørers og
eksterne brugeres adgangsrettigheder til informationer
og informationsbehandlingsudstyr skal inddrages,
når deres ansættelsesforhold, kontrakt eller aftale
ophører, eller skal tilpasses
efter en ændring.
Ved ophør af en ansættelse har vi en udførlig procedure, som skal følges, for at sikre, at medarbejderne indleverer alle relevante aktiver, herunder
bærbare medier mm, samt sikre at alle medarbejderes adgange til bygninger, systemer og data
inddrages. Det overordnede ansvar for sikring af
alle kontroller i fratrædelsesprocessen ligger hos
it-chefen.
Vi har forespurgt til procedure ved ophør af
medarbejdere.
Ophør eller ændring af ansættelse
07
Ansvar ved ophør
Formålet med kontrollen er
at sikre, at ansvar for at bringe et ansættelsesforhold til
ophør eller ændre et ansættelsesforhold er tydeligt
defineret og tildelt.
08
09
REVI-IT A/S
Ingen væsentlige afvigelser
konstateret.
8.2.3
Vi har inspiceret retningslinjer.
Ingen væsentlige afvigelser
konstateret.
8.3
8.3.1
Vi har inspiceret retningslinjer.
Ingen væsentlige afvigelser
konstateret.
8.3.2
Ingen væsentlige afvigelser
konstateret.
8.3.3
Vi har stikprøvevis inspiceret proceduren.
Vi har stikprøvevis inspiceret proceduren.
Side 34 af 56
any.cloud A/S
Fysisk sikkerhed
Overordnet kontrolmål: At forhindre uautoriseret fysisk adgang til, beskadigelse og forstyrrelse af virksomhedens lokaler og informationer, samt at undgå tab, skade, tyveri
eller kompromittering af aktiver og afbrydelse af virksomhedens aktiviteter.
Sikre områder
Nr.
Kontrolmål
01
Fysisk sikkerhedsafgrænsning
Formålet med kontrollen er
at sikre, at sikkerhedsafgrænsninger (barrierer som
fx vægge, kortstyrede indgangsporte eller bemandede
receptioner) anvendes til at
beskytte områder, der indeholder informationer og
informationsbehandlingsfaciliteter.
02
Fysisk adgangskontrol
Formålet med kontrollen er
at sikre, at sikre områder er
beskyttet med passende
adgangskontroller for at
sikre, at kun autoriseret personale kan få adgang.
REVI-IT A/S
ISO
27002
9
9.1
any.cloud A/S’ kontrolforanstaltning
Vores servere er fysisk placeret i aflåst lokale, som
har monteret køling og brandslukning mv. Alene
autoriserede personer får adgang til lokalet via
den etablerede procedure, og vi følger periodisk,
minimum årligt, op på hvilke personer, der har
denne adgang. Skal eksterne personer (leverandører eller kunder) have adgang til lokalet, er det i
følgeskab med en af vores autoriserede medarbejdere.
InterXion køle- og brandanlæg bliver efterset periodisk, ligesom InterXion’s nødstrømsanlæg (UPS)
halvårligt får foretaget eftersyn. InterXion har
opsat systemer således, at der overvågers temperature og strømspændinger i serverrummet.
Serverrummet indeholder vores centrale netværksudstyr, og er således sikret på samme vis som
servere.
REVI-IT’s test
Vi har forespurgt til den fysiske sikkerhedsafgrænsning hos any.cloud's leverandør.
Alene autoriserede personer får adgang til lokalet
via den etablerede procedure, og vi følger periodisk, minimum årligt, op på hvilke personer, der har
denne adgang. Skal eksterne personer (leverandører eller kunder) have adgang til lokalet, er det i
følgeskab med en af vores autoriserede medarbejdere.
Vi har forespurgt til retningslinjer for fysisk adgangskontrol hos any.cloud og deres leverandør.
Resultat af test
Ingen væsentlige afvigelser
konstateret.
9.1.1
Vi har inspiceret kontrakten med any.cloud's
leverandør og erklæring fra Interxion.
Vi har inspiceret den fysiske sikkerhedsafgrænsning hos any.cloud.
Ingen væsentlige afvigelser
konstateret.
9.1.2
Vi har inspiceret kontrakten med any.cloud's
leverandør og erklæring fra Interxion.
Vi har inspiceret kontroller og dokumentation.
Side 35 af 56
any.cloud A/S
03
04
Sikring af kontorer, lokaler og
faciliteter
Formålet med kontrollen er
at sikre, at sikring af kontorer, lokaler og faciliteter
tilrettelægges og etableres.
Vores kontorlokaler er monteret med tyverialarm,
som på samme vis som ved alarmering i vores
serverrum, alarmerer relevante personer hos os.
Ingen uvedkommende vil kunne gå uhindret omkring i vores kontorer, idet vores reception er bemandet.
Vi har etableret mulighed for, at vores medarbejdere kan arbejde hjemmefra af hensyn til bl.a. driftsvagt, og vi har politik for, at udstyr (bærbare mv.)
ikke benyttes til andet end arbejdsrelaterede forhold, ikke efterlades uden opsyn mv.
Vi har forespurgt til sikring af kontorer, lokaler og
faciliteter hos any.cloud.
Beskyttelse mod eksterne og
miljømæssige trusler
Formålet med kontrollen er
at sikre, at fysisk beskyttelse
mod skadevirkninger fra
brand, oversvømmelser,
jordskælv, eksplosioner,
civile optøjer og andre former for natur- eller menneskeskabte katastrofer tilrettelægges og etableres.
Vi har aftale med vores underleverandør om housing af vores egne servere, og der er implementeret
tilsvarende foranstaltninger mod tyveri, brand,
vand og temperatur.
Vi har forespurgt til beskyttelse mod eksterne og
miljømæssige trusler hos any.cloud’s leverandør.
Vores servere er fysisk placeret i aflåst lokale, som
har monteret køling og brandslukning mv.
InterXion køle- og brandanlæg bliver efterset periodisk, ligesom InterXion’s nødstrømsanlæg (UPS)
halvårligt får foretaget eftersyn. InterXion har
opsat systemer således, at der overvågers temperature og strømspændinger i serverrummet.
Serverrummet indeholder vores centrale netværksudstyr, og er således sikret på samme vis som
servere.
Vi har forespurgt til placering og beskyttelse af
udstyr hos any.cloud og deres leverandør.
Sikring af udstyr
07
Placering og beskyttelse af
udstyr
Formålet med kontrollen er
at sikre, at udstyr placeres
eller beskyttes for at nedsætte risikoen for miljøtrusler og
farer og for muligheden for
uautoriseret adgang.
REVI-IT A/S
Ingen væsentlige afvigelser
konstateret.
9.1.3
Ingen væsentlige afvigelser
konstateret.
9.1.4
Vi har inspiceret faciliteterne hos any.cloud.
Vi har inspiceret kontrakten med any.cloud's
leverandør og erklæring fra Interxion
Ingen væsentlige afvigelser
konstateret.
9.2
9.2.1
Vi har inspiceret kontrakten med any.cloud's
leverandør og erklæring fra Interxion.
Side 36 af 56
any.cloud A/S
08
10
11
12
Understøttende forsyninger
(forsyningssikkerhed)
Formålet med kontrollen er
at sikre, at udstyr beskyttes
mod strømsvigt og andre
forstyrrelser som følge af
svigt af understøttende forsyninger.
Vores servere er fysisk placeret i aflåst lokale, som
har monteret køling og brandslukning mv.
InterXion køle- og brandanlæg bliver efterset periodisk, ligesom InterXion’s nødstrømsanlæg (UPS)
halvårligt får foretaget eftersyn. InterXion har
opsat systemer således, at der overvågers temperature og strømspændinger i serverrummet.
Serverrummet indeholder vores centrale netværksudstyr, og er således sikret på samme vis som
servere.
Vi har forespurgt til understøttende forsyninger
hos any.cloud's leverandør.
Vedligeholdelse af udstyr
Formålet med kontrollen er
at sikre, at udstyr vedligeholdes korrekt for at sikre dets
fortsatte tilgængelighed og
integritet.
Vores servere er fysisk placeret i aflåst lokale, som
har monteret køling og brandslukning mv.
InterXion køle- og brandanlæg bliver efterset periodisk, ligesom InterXion’s nødstrømsanlæg (UPS)
halvårligt får foretaget eftersyn. InterXion har
opsat systemer således, at der overvågers temperature og strømspændinger i serverrummet.
Serverrummet indeholder vores centrale netværksudstyr, og er således sikret på samme vis som
servere.
Vi har forespurgt til vedligeholdelse af udstyr hos
any.cloud's leverandør.
Sikring af udstyr uden for
virksomhedens lokaler
Formålet med kontrollen er
at sikre, at der etableres
sikring af udstyr uden for
virksomheden under hensyntagen til de forskellige risici,
der er forbundet med arbejde
uden for virksomhedens
lokaler.
Vores servere er fysisk placeret i aflåst lokale, som
har monteret køling og brandslukning mv.
InterXion køle- og brandanlæg bliver efterset periodisk, ligesom InterXion’s nødstrømsanlæg (UPS)
halvårligt får foretaget eftersyn. InterXion har
opsat systemer således, at der overvågers temperature og strømspændinger i serverrummet.
Serverrummet indeholder vores centrale netværksudstyr, og er således sikret på samme vis som
servere.
Vi har forespurgt til retningslinjer for sikring af
udstyr udenfor any.cloud’s lokaler.
Sikker bortskaffelse eller
genbrug af udstyr
Formålet med kontrollen er
at sikre, at alt udstyr med
lagringsmedier kontrolleres
for at sikre, at følsomme data
og licensbeskyttet software
er slettet eller sikkert overskrevet inden bortskaffelse.
Alt databærende udstyr destrueres inden bortskaffelse for at sikre, at data ikke er tilgængeligt.
Vi har forespurgt til retningslinjer for bortskaffelse af udstyr.
REVI-IT A/S
Ingen væsentlige afvigelser
konstateret.
9.2.2
Ingen væsentlige afvigelser
konstateret.
9.2.4
Ingen væsentlige afvigelser
konstateret.
9.2.5
Ingen væsentlige afvigelser
konstateret.
9.2.6
Vi har inspiceret kontrakten med any.cloud's
leverandør og erklæring fra Interxion.
Vi har inspiceret kontrakten med any.cloud's
leverandør og erklæring fra Interxion.
Vi har inspiceret retningslinjer.
Vi har inspiceret retningslinjer.
Side 37 af 56
any.cloud A/S
Styring af netværk og drift
Overordnet kontrolmål: At sikre korrekt og sikker drift af informationsbehandlingsudstyr, implementere og opretholde et passende niveau af informationssikkerhed og serviceydelser i overensstemmelse med aftaler om ydelser fra tredjeparter, minimere risikoen for systemnedbrud, beskytte integriteten af software og informationer samt afsløre uautoriserede informationsbehandlingsaktiviteter.
Operationelle procedurer og ansvarsområder
Nr.
Kontrolmål
any.cloud A/S’ kontrolforanstaltning
01
Dokumenterede driftsproceGennem løbende dokumentation og processer
durer
sikrer vi at kunne udelukke eller minimere nøgleFormålet med kontrollen er
personsafhængighed. Opgaver tildeles, fastsættes
at sikre, at driftsprocedurer
og via procedurer for styring af den operative drift.
dokumenteres, vedligeholdes
og gøres tilgængelige for alle
brugere, der har brug for
dem.
02
Ændringsstyring
Formålet med kontrollen er
at sikre, at ændringer af informationsbehandlingsudstyr og -systemer styres og
dokumenteres.
Vi har defineret en proces for ændringshåndtering
for at sikre, at ændringer sker efter aftale med
kunder og tilrettelagt hensigtsmæssigt i forhold til
interne forhold. Ændringer sker alene baseret på
en kvalificering af opgaven, kompleksiteten og
vurdering af påvirkning af andre systemer. Herudover følges en proces omkring udvikling og test, og
accept fra både os og fra kundens side.
Uanset hvilken ændring, der er tale om, sikres det
altid, som minimum, at;
•
•
•
•
•
•
REVI-IT A/S
ISO
27002
10
10.1
REVI-IT’s test
Vi har forespurgt til udarbejdelse af driftsprocedurer.
Resultat af test
Ingen væsentlige afvigelser
konstateret.
10.1.1
Vi har inspiceret udvalgte driftsprocedurer.
Vi har forespurgt til procedure for håndtering af
ændringer.
Ingen væsentlige afvigelser
konstateret.
10.1.2
Vi har inspiceret proceduren.
Vi har stikprøvevis inspiceret ændringer.
Alle ændringer drøftes, prioriteres og
godkendes af ledelsen
Alle ændringer testes
Alle ændringer godkendes før idriftsættelse
Alle ændringer idriftsættes på et fastsat
tidspunkt efter aftale med forretningen
og kunder
Der fortages fallback-planlægning, som
sikrer, at ændringer kan rulles tilbage eller annulleres, hvis den ikke fungerer
Systemdokumentationen opdateres med
den nye ændring, såfremt det vurderes
nødvendigt
Side 38 af 56
any.cloud A/S
03
Funktionsadskillelse
Formålet med kontrollen er
at sikre, at funktioner og
ansvarsområder adskilles for
at nedsætte muligheden for
uautoriseret eller utilsigtet
ændring eller misbrug af
virksomhedens aktiver.
Selvom vores organisation ikke nødvendigvis gør,
at vi kan have overlap inden for alle opgaver og
systemer, sikrer vi via dokumentationer og beskrivelser – og via kompetente og flittige medarbejdere – at medarbejdere eller nye medarbejdere kan
påbegynde et arbejde på et system, som vedkommende ikke har operationel og historisk erfaring
med. Vi opererer med dobbeltroller på alle systemer således, at den primære ansvarlige medarbejder har ansvar for at kommunikere praktiske forhold til kollegaer.
Styring af serviceydelser fra tredjepart
05
Levering af services
Hvor vi bruger underleverandører fører vi tilsyn
Formålet med kontrollen er
med de aftalte leverancer, idet disse skal efterleve
at sikre, at tredjeparten
vores egne politikker for ydelseslevering, herunder
iværksætter, gennemfører og vores forretningsvilkår med vores kunder.
opretholder sikkerhedsforanstaltninger, servicebeskrivelser og leveringsniveauer,
der er omfattet af aftalen om
ydelser fra tredjeparter.
06
Overvågning og evaluering af
serviceydelser fra tredjeparter
Formålet med kontrollen er
at sikre, at de serviceydelser,
rapporter og registreringer,
som tredjeparten leverer,
overvåges og evalueres løbende, og der foretages regelmæssige revision.
REVI-IT A/S
Hvor vi bruger underleverandører fører vi tilsyn
med de aftalte leverancer, idet disse skal efterleve
vores egne politikker for ydelseslevering, herunder
vores forretningsvilkår med vores kunder.
Vi har forespurgt til funktionsadskillelse i
any.cloud.
Ingen væsentlige afvigelser
konstateret.
10.1.3
Vi har inspiceret retningslinjer.
Vi har forespurgt til levering af services fra tredjepart.
Ingen væsentlige afvigelser
konstateret.
10.2
10.2.1
Vi har inspiceret dokumentation.
Vi har forespurgt til overvågning af services fra
leverandører.
Ingen væsentlige afvigelser
konstateret.
10.2.2
Vi har observeret den etablerede overvågning.
Side 39 af 56
any.cloud A/S
07
Styring af ændringer af serviceydelser fra tredjeparter
Formålet med kontrollen er
at sikre, at ændringer i tilvejebringelsen af serviceydelser, herunder vedligeholdelse
og forbedring af eksisterende
informationssikkerhedspolitikker, -procedurer og foranstaltninger, styres under hensyntagen til, hvor
kritiske de involverede forretningssystemer og processer er, og til en revurdering af risici.
Når der sker ændringer internt i organisationen,
herunder politikker og procedurer, samt ændringer
til vores ydelser eller ydelser fra vores eksterne
samarbejdspartnere, foretages der altid en risikovurdering for at afdække om ændringerne får indflydelse på vores aftale med kunderne.
Systemplanlægning og systemaccept
08
Kapacitetsstyring
Via vores generelle overvågningssystem, har vi sat
Formålet med kontrollen er
grænseværdier for hvornår vores overordnede
at sikre, at anvendelsen af
systemer, og dermed vores kunders systemer, skal
ressourcer skal styres og
skaleres op af hensyn til elektronisk plads, svartitilpasses, og der foretages
der mv. Når vi opsætter nye systemer foretages
fremskrivninger af fremtidige test af funktionalitet og herunder kapacitet- og
kapacitetskrav for at sikre, at
performancetest.
systemet fungerer som krævet.
Beskyttelse mod skadevoldende programmer og mobil kode
10
Foranstaltninger mod skadeVi har implementeret scannings- og overvågningsvoldende kode
systemer til at sikre mod kendt skadevoldende
Formålet med kontrollen er
kode, dvs. hvad vi og vores kunder – via vores platat sikre, at der iværksættes
forme – kan risikere at blive inficeret med på interforanstaltninger til detektenettet, via mails mv. Vi har antivirus-systemer,
ring, forhindring og gendansystemer til overvågning af internetbrug, trafik og
nelse for at beskytte mod
ressourcer på SaaS platforme, sikringer i øvrige
skadevoldende kode, og der
tekniske og centrale installationer (firewall mv.)
indføres passende brugerbevidsthedsprocedurer.
REVI-IT A/S
Vi har forespurgt til styring af ændringer fra
leverandører.
Ingen væsentlige afvigelser
konstateret.
10.2.3
Vi har inspiceret retningslinjer.
Vi har forespurgt til kontroller for kapacitetssyring.
Ingen væsentlige afvigelser
konstateret.
10.3
10.3.1
Vi har inspiceret kontroller for kapacitetsstyring.
Vi har forespurgt til anvendelse af antivirussoftware.
Ingen væsentlige afvigelser
konstateret.
10.4
10.4.1
Vi har inspiceret den etablerede løsning.
Side 40 af 56
any.cloud A/S
Sikkerhedskopiering (backup)
12
Sikkerhedskopiering af informationer
Formålet med kontrollen er
at sikre, at der tages sikkerhedskopier af informationer
og software, og disse skal
testes regelmæssigt i overensstemmelse med den aftalte politik for sikkerhedskopiering.
Vi sikrer at kunne genskabe systemer og data på
hensigtsmæssig og korrekt vis, og efter de aftaler,
vi har med vores kunder.
Vi har etableret en testplan for verificering af
hvorvidt sikkerhedskopieringen fungerer samt en
test af hvordan systemer og data praktisk kan
retablereres. Der føres en log over disse tests således at vi kan følge op på om vi kan ændre på procedurer og processer for at højne vores løsning.
Vi har forespurgt til procedurer for sikkerhedskopiering.
Ingen væsentlige afvigelser
konstateret.
10.5
10.5.1
Vi har inspiceret den etablerede løsning.
Med mindre andet er aftalt med vores kunder,
foretager vi sikkerhedskopiering af hele deres
virtuelle miljø hos os. Vi foretager sikkerhedskopiering af vores egne systemer og data på samme vis,
som vores kunders systemer og data.
Vi har defineret retningslinjer for på hvilken vis, vi
foretager sikkerhedskopiering. Hver nat føres en
fuld kopi af data fra vores centrale systemer til
vores co-location ved hjælp af vores backupsystem. Dermed er data fysisk separeret fra vores
driftssystemer, og efter endt afvikling, foretages
der en automatiseret verificering af, hvorvidt datamængde og indhold mellem vores driftssystem
og co-colation, stemmer overens.
En ansvarlig medarbejder sikrer herefter, at sikkerhedskopieringen er sket, foretage det fornødne,
hvis jobbet er fejlet, og herefter logføre dette.
Styring af netværkssikkerhed
13
Netværksforanstaltninger
Formålet med kontrollen er
at sikre, at netværk styres og
kontrolleres tilstrækkeligt til
at beskytte dem mod trusler
og til at opretholde sikkerhed
for systemer og applikationer, der anvender netværket,
herunder information under
overførelse.
REVI-IT A/S
It-sikkerheden omkring systemers og datas ydre
rammer, er netværket mod internettet, remote
eller lignende. Vi mener at have sikret data og
systemer også inde i netværket, men det ydre værn
mod uvedkommende adgang, er af højeste prioritet hos os.
Vi har forespurgt til netværksforanstaltninger
hos any.cloud.
Ingen væsentlige afvigelser
konstateret.
10.6
10.6.1
Vi har inspiceret dokumentation.
Side 41 af 56
any.cloud A/S
14
Sikring af netværkstjenester
Formålet med kontrollen er
at sikre, at sikkerhedstiltag,
serviceniveauer og styringskrav til alle netværkstjenester identificeres og indgår i
en aftale om netværkstjenester, uanset om disse tjenester leveres internt eller er
outsourcede.
Mediehåndtering
15
Styring af bærbare medier
Formålet med kontrollen er
at sikre, at der er etableret
procedurer til styring af
bærbare medier samt opdatering af procedurerne.
Alene godkendt netværkstrafik (indgående) kommer gennem vores firewall.
Vi er ansvarlige for driften og sikkerheden hos os,
dvs. fra og med systemerne hos os og ud til internettet (eller MPLS). Vores kunder er selv ansvarlige
for at kunne tilgå internettet.
Vi har forespurgt til sikring af netværkstjenester.
Vi sikrer, i bedst muligt omfang, at vores medarbejderes bærbare medier såsom bærbare pc, , mobiltelefon og lign er konfigureret sikkerhedsmæssigt lige så højt, som resten af vores miljø, samt det
sikres at de databærende medier opdateres når vi
foretager nye sikkerhedstiltag.
Vi har forespurgt til sikring af bærbare medier.
Ingen væsentlige afvigelser
konstateret.
10.6.2
Vi har inspiceret dokumentation.
Ingen væsentlige afvigelser
konstateret.
10.7
10.7.1
Vi har inspiceret de etablerede foranstaltninger.
Vi skal sikre, at vores og vores kunders systemer og
data beskyttes. Vi håndterer derfor ikke kunders
data på håndbårne medier (Eksterne USB medier,
CD/DVD) uden forudgående skriftlig aftale med
kunderne samt ved passende fysisk beskyttelse
mod miljømæssige påvirkninger (varme mv.) samt
hærværk og tyveri.
18
Sikring af systemdokumentation
Formålet med kontrollen er
at sikre, at systemdokumentation beskyttes mod uautoriseret adgang.
REVI-IT A/S
Vores dokumentation er naturligvis livsvigtig for
os, og på alle måder fortrolig ift. omverdenen. For
at sikre fortroligheden af informationerne, har vi
informationerne fordelt på flere steder og platforme.
Vi har forespurgt til sikring af systemdokumentation.
Ingen væsentlige afvigelser
konstateret.
10.7.4
Vi har inspiceret de etablerede foranstaltninger.
Side 42 af 56
any.cloud A/S
Informationsudveksling
19
Politikker og procedurer for
informationsudveksling
Formålet med kontrollen er
at sikre, at der foreligger
formelle politikker, procedurer og foranstaltninger for at
beskytte information udvekslingen ved hjælp af alle former for kommunikationsudstyr.
22
Forretningsinformationssystemer
Formålet med kontrollen er
at sikre, at der udarbejdes og
implementeres politikker og
procedurer for at beskytte
information i forbindelse
med sammenkobling af forretningsinformationssystemer.
REVI-IT A/S
Ekstern datakommunikation sker alene via mails,
idet vores kunders adgang og brug af vores servere, ikke betragtes som ekstern datakommunikation.
Vi har forespurgt til politikker og procedurer for
informationsudveksling.
Ingen væsentlige afvigelser
konstateret.
10.8
10.8.1
Vi har inspiceret politikker og procedurer.
Fortrolige informationer udveksles ikke via mails,
uden de – eller de medfølgende vedhæftede filer –
er krypterede eller passwordbeskyttede.
Alene godkendt netværkstrafik (indgående) kommer gennem vores firewall.
Vi er ansvarlige for driften og sikkerheden hos os,
dvs. fra og med systemerne hos os og ud til internettet (eller MPLS). Vores kunder er selv ansvarlige
for at kunne tilgå internettet.
Vi har forespurgt til politikker og procedurer.
Ingen væsentlige afvigelser
konstateret.
10.8.5
Vi har inspiceret dokumentation.
Side 43 af 56
any.cloud A/S
Overvågning
23
Auditlogning (opfølgningslogning)
Formålet med kontrollen er
at sikre, at auditlogning til
registrering af brugeraktiviteter, undtagelser og informationssikkerhedshændelser udføres og opbevares i et
aftalt tidsrum af hensyn til
fremtidige undersøgelser og
overvågning af adgangskontrol.
Vi lægger stor tid heri da vi mener at overvågning
er med til og fange incidents proaktivt. Vores
driftsmedarbejdere foretager derfor den daglige
overvågning af vores systemer via automatiserede
systemer til måling af grænseværdier. Der sker en
alarmering via SMS og mail såfremt kritiske hændelser konstateres, og vi gør sådan fordi vi skal
sikre vores kunders data – fortroligheden heraf.
Vi har forespurgt til logning og opfølgning på
logs.
Ingen væsentlige afvigelser
konstateret.
10.10
10.10.1
Vi har inspiceret de etablerede logs og kontroller.
Til styring af overvågning og opfølgning på hændelser, har vi implementeret formelle incident og
problem management procedurer til sikring af, at
hændelser registreres, prioriteres, styres, eskaleres
og at der foretages de nødvendige handlinger.
Forløbet dokumenteres i vores hotline-system.
Hændelser for login og logout på vores platforme
logføres. Udover logning af login har vi udarbejdet
en logstrategi for hvilke hændelser og brugeraktiviteter, som logges og skal følges op på. De udvalgte logs er beskyttet mod manipulation og er sikret
via adgangskontroller.
24
25
Overvågning af systemanvendelse
Formålet med kontrollen er
at sikre, at der udarbejdes
procedurer for overvågning
af anvendelsen af informationsbehandlingsudstyr, og
resultaterne af overvågningsaktiviteter skal evalueres regelmæssigt.
Beskyttelse af logoplysninger
Formålet med kontrollen er
at sikre, at logningsfaciliteter
og logoplysninger beskyttes
mod manipulation og uautoriseret adgang.
REVI-IT A/S
Til styring af overvågning og opfølgning på hændelser, har vi implementeret formelle incident og
problem management procedurer til sikring af, at
hændelser registreres, prioriteres, styres, eskaleres
og at der foretages de nødvendige handlinger.
Vi har forespurgt til overvågning af systemanvendelse.
Ingen væsentlige afvigelser
konstateret.
10.10.2
Vi har inspiceret den etablerede overvågning.
Se 10.10.1
10.10.3
Side 44 af 56
any.cloud A/S
26
Administrator- og operatørlog
Formålet med kontrollen er
at sikre, at aktiviteter udført
af systemadministrator og
systemoperatør logges.
27
Fejllogning
Formålet med kontrollen er
at sikre, at fejl logges, analyseres, og der iværksættes
passende handlinger.
Hændelser for login og logout på vores platforme
logføres. Udover logning af login har vi udarbejdet
en logstrategi for hvilke hændelser og brugeraktiviteter, som logges og skal følges op på. De udvalgte logs er beskyttet mod manipulation og er sikret
via adgangskontroller.
Vi har forespurgt til registrering og håndtering af
fejl.
Tidssynkronisering
Formålet med kontrollen er
at sikre, at urene i alle relevante informationsbehandlingssystemer i en virksomhed eller et sikkerhedsdomæne er synkroniseret med
en aftalt præcis tidsangivelseskilde.
Ingen formel procedure
Vi har forespurgt til tidssynkronisering.
28
REVI-IT A/S
Se 10.10.1
10.10.4
Ingen væsentlige afvigelser
konstateret.
10.10.5
Ingen væsentlige afvigelser
konstateret.
10.10.6
Vi har stikprøvevis inspiceret fejl i revisionsperioden.
Vi har inspiceret dokumentation.
Side 45 af 56
any.cloud A/S
Adgangsstyring
Overordnet kontrolmål: At sikre autoriserede brugeres adgang og forhindre uautoriseret adgang til informationssystemer, driftssystemer samt netværkstjenester.
Forretningsmæssige krav til adgangsstyring
Nr.
Kontrolmål
any.cloud A/S’ kontrolforanstaltning
01
Politik for adgangsstyring
Vi vil sikre, at vores og vores kunders adgange ske
Formålet med kontrollen er
efter hensigten, og at det alene er personer med
at sikre, at en politik for adautoriseret adgangsniveau, der har adgang til data.
gangsstyring udarbejdes,
Vi vil sikre, at der er sporbarhed i brugen af systedokumenteres og evalueres
mer og data, og adgangen sker itpå grundlag af forretningssikkerhedsmæssigt betryggende.
og sikkerhedsmæssige krav
til adgang.
Vi har defineret en række retningslinjer og procedurer herfor.
Administration af brugeradgang
02
Brugerregistrering
Formålet med kontrollen er
at sikre, at der er etableret en
formel procedure for registrering og nedlæggelse af
brugere til tildeling og afbrydelse af adgang til samtlige
informationssystemer og tjenester.
03
Administration af privilegier
Formålet med kontrollen er
at sikre, at tildeling og anvendelse af privilegier begrænses og styres.
REVI-IT A/S
ISO
27002
11
11.1
REVI-IT’s test
Vi har forespurgt til politiker for adgangsstyring.
Resultat af test
Ingen væsentlige afvigelser
konstateret.
11.1.1
Vi har inspiceret procedurer.
Vores kunders brugere oprettes alene på baggrund
af vores kunders ønske. Vores kunder er dermed
ansvarlige herfor og for nedlæggelse. Vores egne
brugere oprettes alene på baggrund af skriftligt
ønske fra ledelsen.
Vi har forespurgt til procedure for oprettelse og
nedlæggelse af brugere.
Vi vil sikre, at vores og vores kunders adgange ske
efter hensigten, og at det alene er personer med
autoriseret adgangsniveau, der har adgang til data.
Vi har forespurgt til administrering af privilegier.
Ingen væsentlige afvigelser
konstateret.
11.2
11.2.1
Vi har stikprøvevis inspiceret oprettelser og
nedlæggelser i revisionsperioden.
Ingen væsentlige afvigelser
konstateret.
11.2.2
Vi har observeret administreringen af privilegier.
Side 46 af 56
any.cloud A/S
04
Administration af brugeradgangskoder (password)
Formålet med kontrollen er
at sikre, at tildeling af adgangskoder styres ved hjælp
af en formel administrationsproces.
Alle brugere på tværs af både kundesystemer og
egne systemer, har restriktioner omkring adgangskode. Alle brugere har en adgangskode, og det er
systemmæssigt sat op således, at der er begrænsninger ift. udformningen af kodeordet. Koder skal
skiftes regelmæssigt og være komplekse.
Vi har forespurgt til administrering af passwords.
Vi har inspiceret administrationen af passwords.
Brugerne hos any.cloud kan
selv administrere deres
passwords og kvalitet heraf.
11.2.3
Ingen væsentlige afvigelser
konstateret.
11.2.4
Vores it-sikkerhedspolitik beskriver, at vores medarbejderes kodeord er personlige, og det er alene
brugeren selv, der må kende kodeordet.
05
Evaluering af brugeradgangsrettigheder
Formålet med kontrollen er
at sikre, at ledelsen evaluerer
brugeres adgangsrettigheder
med regelmæssige mellemrum ved hjælp af en formel
proces.
For vores egne brugere, gennemgår ledelsen periodisk, minimum årligt, en liste med oprettede
brugere og deres adgangsniveau for at sikre mod
adgang for uautoriserede personer.
Brugeransvar
06
Brug af adgangskode
Formålet med kontrollen er
at sikre, at det er et krav, at
brugere følger god sikkerhedspraksis ved valg og anvendelse af adgangskoder.
07
Brugerudstyr uden opsyn
Formålet med kontrollen er
at sikre, at brugere sikrer, at
udstyr, som er uden opsyn, er
passende beskyttet.
REVI-IT A/S
Vi har forespurgt til gennemgang af brugerrettigheder.
Vi har inspiceret kontrollerne.
11.3
11.3.1
Se 11.2.3
Alle interne brugerkonti er centralt styret til at gå
på skærmlås ved inaktivitet i 20 minutter. Dermed
sikrer vi, at uautoriseret personale ikke opnår adgang til fortroligt data.
Vi har forespurgt til retningslinjer for brugerudstyr uden opsyn.
Ingen væsentlige afvigelser
konstateret.
11.3.2
Vi har inspiceret de etablerede foranstaltninger.
Side 47 af 56
any.cloud A/S
Styring af netværksadgang
10
Autentifikation af brugere
med ekstern forbindelse
Formålet med kontrollen er
at sikre, at der anvendes
passende autentifikationsmetoder til at styre adgangen for brugere med fjernadgang.
12
13
Adgang til vores netværk og dermed potentielt til
systemer og data, skal ske for kun autoriserede
personer.
Adgang uden vores interne netværk, kan ske på
forskellig vis som afhænger af den enkelte aftale
med kunden. Der er mulighed for at logge på via
krypteret VPN-forbindelse hvor bruger skal have
brugernavn og kode for at logge på. Herudover har
visse kunder direkte adgang via MPLS eller Site2Site VPN.
Vi har forespurgt til retningslinjer for autentifikation af brugere med ekstern adgang.
11.4
11.4.2
Vi har inspiceret retningslinjer og dokumentation.
Beskyttelse af fjerndiagnoseog konfigurationsporte
Formålet med kontrollen er
at sikre, at fysisk og logisk
adgang til diagnose- og konfigurationsporte styres.
Vores netværk er komplekst med mange systemer
og kunder, og for at sikre mod uvedkommendes
adgang, og for at sikre gennemskueligheden af
opbygningen, har vi udformet en række dokumentation, der beskriver det interne netværk med
enheder, navngivning af enheder, logisk opdeling
af netværk mv. Dokumenterne, netværkstopologier
og lign opdateres løbende ved ændringer og gennemgås minimum årligt af vores netværksspecialister.
Vi har forespurgt til administrering og beskyttelse af netværket.
Opdeling af netværk
Formålet med kontrollen er
at sikre, at grupper af informationstjenester, brugere og
informationssystemer opdeles i netværk.
Vores miljø er adskilt logisk og opdelt i test og
produktion, hvorved vi sikre at have testet et produkt før det kommer i produktion. Via adgangskontroller sikrer vi at kun autoriseret personale har
adgang til dette.
Vi har forespurgt til opdeling af netværket hos
any.cloud.
REVI-IT A/S
Ingen væsentlige afvigelser
konstateret.
Ingen væsentlige afvigelser
konstateret.
11.4.4
Ingen væsentlige afvigelser
konstateret.
11.4.5
Vi har inspiceret de etablerede foranstaltninger.
Vi har inspiceret dokumentation for netværket.
Side 48 af 56
any.cloud A/S
14
Styring af netværksforbindelser
Formålet med kontrollen er
at sikre, at, for delte netværk,
især netværk der strækker sig
ud over virksomhedens
grænser, brugeres mulighed
for forbindelse til netværket
begrænses i overensstemmelse med politikken for
adgangsstyring og kravene til
de forretningsmæssige applikationer (se 11.1).
Styring af adgang til driftssystemer
16
Procedurer for sikker log-on
Formålet med kontrollen er
at sikre, at adgang til driftssystemer styres af en procedure for sikker log-on.
17
18
Se 11.4.2 og 11.4.4
Adgang uden vores interne netværk, kan ske på
forskellig vis som afhænger af den enkelte aftale
med kunden. Der er mulighed for at logge på via
krypteret VPN-forbindelse hvor bruger skal have
brugernavn og kode for at logge på. Herudover har
visse kunder direkte adgang via MPLS eller Site2Site VPN.
Vi har forespurgt til procedure for log-on.
Identifikation og autentifikation af brugere
Formålet med kontrollen er
at sikre, at alle brugere har en
unik identitet (bruger-ID) til
personlig brug, og der vælges
en passende autentifikationsteknik til verifikation af
en brugers påståede identitet.
Alle brugere skal være personhenførbare, dvs. have
tydligt mærke med personnavn. Er der tale om
servicebrugere, altså konti som alene benyttes
systemmæssigt, er muligheden for egentlig logon
deaktiveret.
Vi har forespurgt til identifikation og autentifikation af brugere.
System for administration af
adgangskoder
Formålet med kontrollen er
at sikre, at systemer til administration af adgangskoder
er interaktive og sikrer adgangskoder med god kvalitet.
Da vi har brugere, såsom service accounts og lign,
som ikke kan bruges til at logge på med, og af systemmæssige årsager ikke skifter passwords på,
har vi et system til opbevaring af disse passwords.
Kun autoriseret personale har adgang til systemet.
Vi har forespurgt til system for administrering af
koder.
REVI-IT A/S
11.4.6
Ingen væsentlige afvigelser
konstateret.
11.5
11.5.1
Vi har inspiceret procedurerne.
Ingen væsentlige afvigelser
konstateret.
11.5.2
Ingen væsentlige afvigelser
konstateret.
11.5.3
Vi har stiprøvevis inspiceret brugerne.
Vi har inspiceret det implementerede system.
Side 49 af 56
any.cloud A/S
20
21
Automatisk timeout
Formålet med kontrollen er
at sikre, at inaktive sessioner
lukkes ned efter et fastlagt
tidsrum uden aktivitet.
Alle interne brugerkonti er centralt styret til at gå
på skærmlås ved inaktivitet i 20 minutter. Dermed
sikrer vi, at uautoriseret personale ikke opnår adgang til fortroligt data.
Begrænsning af forbindelsestid
Formålet med kontrollen er
at sikre, at begrænsning af
forbindelsestider anvendes
til at give yderligere sikkerhed for applikationer med
høj risiko.
Styring af adgang til forretningssystemer og information
22
Begrænset adgang til inforVores medarbejdere er opsat med differentieret
mationer
adgang, og har således alene adgang til de systeFormålet med kontrollen er
mer og til de data, som er relevant for arbejdsindat sikre, at adgang for brugesatsen.
re og supportmedarbejdere
til informationer og forretVores kunders brugeradgange til kundens systeningssystemers funktioner
mer og data, bestemmes af vores kunder.
begrænses i overensstemmelse med den fastlagte
politik for adgangsstyring.
Mobilt udstyr og fjernarbejdspladser
24
Mobilt udstyr og kommuniVi har åbnet adgang til, at vi og vores kunder kan
kation
benytte mobile enheder (smartphones, tablets mv.)
Formålet med kontrollen er
til synkronisering af mails og kalender. Ud over
at sikre, at der er etableret en kode, har vi ikke implementeret andre sikkerhedsformel politik, og passende
foranstaltninger til sikring af disse enheder og
sikkerhedsforanstaltninger
disses brugeradgange.
er iværksat for at beskytte
Vores kunder har mulighed for samme, og det er op
mod de risici, som anvendeltil vores kunder at implementere deres sikkerse af mobilt udstyr og komhedspolitik for deres brugere.
munikationsudstyr indebærer.
REVI-IT A/S
Vi har forespurgt til automatisk timeout.
Ingen væsentlige afvigelser
konstateret.
11.5.5
Vi har inspiceret den etablerede løsning.
Se 11.5.5 og 11.3.2
11.5.6
Vi har forespurgt til begrænsninger af adgange
til informationer.
Ingen væsentlige afvigelser
konstateret.
Vi har forespurgt til styring af mobilt udstyr og
kommunikation.
Ingen væsentlige afvigelser
konstateret.
11.6
11.6.1
11.7
11.7.1
Side 50 af 56
any.cloud A/S
25
Fjernarbejdspladser
Formålet med kontrollen er
at sikre, at der udarbejdes og
implementeres en politik og
operationelle planer og procedurer for fjernarbejde.
Vores medarbejdere og eksterne samarbejdspartnere har adgang via fjernarbejdspladser hvor der
anvendes Remote Desktop og IP restriction.
Vi har forespurgt til anvendelse af fjernarbejdspladser.
Ingen væsentlige afvigelser
konstateret.
Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer
Overordnet kontrolmål: At forhindre fejl, tab, uautoriseret ændring eller misbrug af informationer i forretningssystemer, beskytte fortrolighed, autenticitet og integritet af
informationer ved hjælp af kryptografiske metoder samt opretholde sikkerheden af systemsoftware og informationer i forretningssystemer.
Sikkerhedskrav til informationssystemer
Nr.
Kontrolmål
any.cloud A/S’ kontrolforanstaltning
01
Analyse og specifikation af
Vi vil sikre, at alle nyanskaffelser og implementesikkerhedskrav
ringer af servere, systemer, services og software
Formålet med kontrollen er
håndteres på struktureret og sikker vis, for dermed
at sikre, at virksomhedens
at sikre, at kun autoriseret ændringer bliver lagt i
krav og ønsker til nye såvel
produktion for at alle aspekter af nye tiltag (indsom bestående systemer skal fasning af ny hardwareplatforme, softwareplatindeholde krav til sikkerheforme og andre tilsvarende systemer og processer
den med udgangspunkt i en
forbundet med vores service) håndteres sikkert,
risikovurdering, jf. 4.1.
struktureret og risikoafvejet.
Sikring af systemfiler
08
Styring af software på driftssystemer
Formålet med kontrollen er
at sikre, at der er etableret
procedurer for styring af
softwareinstallation og opdatering på driftssystemerne.
Vores driftssystem består af en kompleks konfiguration, og når vi planlægger ændringer heri – selv
når disse er af mindre karakter, men som kan have
en væsentlig påvirkning – drøftes det internt på
driftsmøder. Først herefter foretages ændringen,
efter godkendelse fra ledelsen.
11.7.2
ISO
27002
12
12.1
REVI-IT’s test
Vi har forespurgt til retningslinjer for analyse og
specifikation af sikkerhedskrav.
Resultat af test
Ingen væsentlige afvigelser
konstateret.
Vi har forespurgt til styring af software på driftssystemer.
Ingen væsentlige afvigelser
konstateret.
12.1.1
12.4
12.4.1
Ændringen sker i vores fastsatte servicevinduer, og
vi har forøget overvågning efter test og implementering. Vi planlægger samtidig et fallback scenarie,
og vi beskriver dels ændringen og opdaterer vores
dokumentation. Vi anvender samme procedure for
ændringer, om de er bestilt af vores kunder eller
interne ændringer.
REVI-IT A/S
Side 51 af 56
any.cloud A/S
Sikkerhed i udviklings- og hjælpeprocesser
11
Procedurer for styring af
ændringer
Formålet med kontrollen er
at sikre, at implementeringen
af ændringer styres ved
hjælp af formelle procedurer
for ændringsstyring.
13
Begrænsning af ændringer af
softwarepakker
Formålet med kontrollen er
at sikre, at ændringer af
softwarepakker vanskeliggøres, begrænses til nødvendige ændringer og at alle ændringer styres effektivt.
Styring af tekniske sårbarheder
16
Styring af tekniske sårbarheder
Formålet med kontrollen er
at sikre, at der indsamles
rettidig information om
tekniske sårbarheder i anvendte informationssystemer. Graden hvori virksomheden er udsat for sådanne
sårbarheder skal evalueres,
og der skal iværksættes passende foranstaltninger for at
håndtere den tilhørende
risiko.
REVI-IT A/S
Vores driftsmiljø er baseret på Microsoft-platforme
med virtuelle servere fra VMware. Vi stiller serverplatforme og terminalplatforme baseret på Microsoft Terminal Services til rådighed for vores kunder. I den forbindelse benytter vi ikke andre subsystemer eller tillægssystemer, der håndterer kryptering, anden håndtering af systemfiler, end de foranstaltninger og systemer, som vi benytter i Microsoft systemerne samt i de omkransende netværkssikkerhedssystemer.
Se 10.1.2
12.5
12.5.1
Se 12.4.1
12.5.3
Vi har forespurgt til styring af tekniske sårbarheder.
Ingen væsentlige afvigelser
konstateret.
12.6
12.6.1
Side 52 af 56
any.cloud A/S
Styring af sikkerhedshændelser
Overordnet kontrolmål: At sikre, at informationssikkerhedshændelser og svagheder i forbindelse med informationssystemer kommunikeres på en sådan måde, at der kan
iværksættes korrigerende handlinger rettidigt, samt sikre en ensartet og effektiv metode til styring af informationssikkerhedsbrud.
Rapportering af informationssikkerhedshændelser og svagheder
Nr.
Kontrolmål
any.cloud A/S’ kontrolforanstaltning
01
Rapportering af informatiVores hotline-system, hvori vi håndterer langt de
onssikkerhedshændelser
fleste sager for kunder og interne forhold, er samFormålet med kontrollen er
tidig vores system til håndtering af sikkerhedsat sikre, at informationssikhændelser. Heri kan vi eskalere forhold således, at
kerhedshændelser rapporteopgaver får højere prioritet end andre. Herudover
res ad passende ledelseskavil sikkerhedshændelser afstedkommet fra hhv.
naler så hurtigt som muligt.
egne observationer, alarmering ud fra log- og overvågningssystem, telefoniske henvendelser fra
kunder, underleverandører eller samarbejdspartnere, blive eskaleret fra vores hotline til driftsafdelingen med samtidig orientering til ledelsen.
02
Rapportering af sikkerhedssvagheder
Formålet med kontrollen er
at sikre, at alle medarbejdere,
underleverandører og eksterne brugere af informationssystemer og tjenester har
pligt til at notere og rapportere alle observerede svagheder eller mistanker om
svagheder i systemer og
tjenester.
Styring af informationssikkerhedsbrud og forbedringer
03
Ansvar og procedurer
Vores medarbejdere og eksterne samarbejdspartFormålet med kontrollen er
nere er, via de indgåede kontrakter og aftaler,
at sikre, at ledelsens ansvar
forpligtet til at anmeldelse enhver sikkerhedsog procedurer fastlægges for
hændelse til nærmeste leder, så der hurtigst muligt
at sikre hurtig, effektiv og
kan reageres på hændelsen og nødvendige tiltag
planmæssig håndtering af
kan udføres jf. de etablerede procedurer.
informationssikkerhedsbrud.
REVI-IT A/S
ISO
27002
13
13.1
REVI-IT’s test
Vi har forespurgt til rapportering af sikkerhedshændelser.
Resultat af test
Ingen væsentlige afvigelser
konstateret.
13.1.1
Vi har inspiceret procedurer og etableret løsning.
Se 13.1.1
Vi har forespurgt til ansvar og procedurer for
sikkerhedsbrud.
13.1.2
Ingen væsentlige afvigelser
konstateret.
13.2
13.2.1
Vi har inspiceret dokumentation.
Side 53 af 56
any.cloud A/S
Beredskabsstyring
Overordnet kontrolmål: At modvirke afbrydelser af forretningsaktiviteter og at beskytte kritiske forretningsprocesser mod virkningerne af større ned brud af informationssystemer eller katastrofer og at sikre rettidig retablering.
Informationssikkerhedsaspekter ved beredskabsstyring
Nr.
Kontrolmål
any.cloud A/S’ kontrolforanstaltning
REVI-IT’s test
Resultat af test
01
Inddragelse af informationsSkulle der opstå en nødsituation, har any.cloud A/S Vi har forespurgt til beredskabsstyring.
Ingen væsentlige afvigelser
sikkerhed i beredskabsstyudarbejdet en beredskabsplan. Beredskabsplanen
konstateret.
ringsprocessen
er forankret i it-risikoanalysen og vedligeholdes
Vi har inspiceret den udarbejdede beredskabsFormålet med kontrollen er
minimum årligt i forlængelse af udførelsen af
plan.
at sikre, at der udarbejdes og
analysen. Planen testes 1-2 gange årligt som en del
opretholdes en styret proces
af vores beredskab, så vi sikrer, at kunderne i
til beredskabsstyring i virkmindst muligt omfang vil opleve forstyrrelser i
somheden, som behandler de driften i forbindelse med en eventuel nødsituation.
krav til informationssikkerhed, der er nødvendige for
virksomhedens fortsatte
drift.
02
Beredskab og risikovurdering
Formålet med kontrollen er
at sikre, at hændelser, der kan
forårsage afbrydelser af
forretningsprocesser, identificeres sammen med sandsynligheden for og virkningen af sådanne afbrydelser
og deres konsekvenser for
informationssikkerheden.
REVI-IT A/S
Via vores medlemskab af BFIH (Brancheforeningen
for IT-hostingvirksomheder i Danmark), er vi forpligtet til, at vi inden for 3 dage kan retablere enhver enhed i vores datacenter. Dette sikrer vi ved,
at vi har afvejet risici, klassificeret enheder i vores
driftsapparat, og har procedurer der sikrer, at vi i
vores beredskabsplanlægning kan foretage udskiftning af vores driftsplatform, så de leverede
ydelser vil retableres rettidigt.
Vi har forespurgt til håndtering af risici og beredskab.
Ingen væsentlige afvigelser
konstateret.
ISO
27002
14
14.1
14.1.1
14.1.2
Vi har inspiceret risikoanalysen og beredskabsplanen.
Side 54 af 56
any.cloud A/S
03
Udvikling og implementering
af beredskabsplaner, herunder informationssikkerhed
Formålet med kontrollen er
at sikre, at der udarbejdes og
implementeres planer for at
vedligeholde eller retablere
virksomhedens aktiviteter og
sikre tilgængelighed af informationer på det krævede
niveau og inden for de krævede tidsfrister efter afbrydelse eller nedbrud af kritiske
forretningsprocesser.
Se 14.1.1
14.1.3
04
Rammer for beredskabsplanlægning
Formålet med kontrollen er
at sikre, at der opretholdes en
enkelt ramme for beredskabsplaner for at sikre, at
alle planer er overensstemmende, at krav til informationssikkerhed håndteres
konsekvent, og at prioriteringen af test og vedligeholdelse fastlægges.
Se 14.1.1
14.1.4
05
Prøvning, vedligeholdelse og
revurdering af beredskabsplaner
Formålet med kontrollen er
at sikre, at beredskabsplaner
afprøves og opdateres regelmæssigt for at sikre, at de
er tidssvarende og effektive.
REVI-IT A/S
Planen testes 1-2 gange årligt som en del af vores
beredskab, så vi sikrer, at kunderne i mindst muligt
omfang vil opleve forstyrrelser i driften i forbindelse med en eventuel nødsituation.
Vi har forespurgt til afprøvning af beredskab.
Ingen væsentlige afvigelser
konstateret.
14.1.5
Vi har inspiceret dokumentation for afprøvning
af beredskab.
Side 55 af 56
any.cloud A/S
Overensstemmelse med love og interne politikker
Overordnet kontrolmål: At undgå brud på love, lovbestemte, forskriftsmæssige eller kontraktlige forpligtelser og på sikkerhedskrav, sikre, at systemer opfylder kravene i
virksomhedens sikkerhedspolitikker og sikkerhedsstandarder samt sikre, at systemer opfylder kravene i virksomhedens sikkerhedspolitikker og sikkerhedsstandarder.
Overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder samt teknisk overensstemmelse
Nr.
Kontrolmål
any.cloud A/S’ kontrolforanstaltning
REVI-IT’s test
07
Overensstemmelse med
Vi har en intern kontrol, hvor vi årligt undersøger,
Vi har forespurgt til kontroller for overensstemsikkerhedspolitikker og sikom de etablerede politikker og retningslinjer overmelse med interne politikker og procedurer.
kerhedsstandarder
holdes af medarbejderne. Derudover har vi en
Formålet med kontrollen er
kontrol der sikrer, at vores udstyr, såsom servere,
Vi har inspiceret de etablerede kontroller.
at sikre, at ledere sikrer, at
databaser, netværksudstyr mm., er sat op jf. vores
alle sikkerhedsprocedurer
baselines.
inden for deres ansvarsområde efterleves korrekt for at
opnå overensstemmelse med
sikkerhedspolitikker og sikkerhedsstandarder.
08
Kontrol af teknisk overensstemmelse
Formålet med kontrollen er
at sikre, at Informationssystemer kontrolleres regelmæssigt for overensstemmelse med sikkerhedsimplementeringsstandarder.
REVI-IT A/S
Vi har en intern kontrol, hvor vi årligt undersøger,
om de etablerede politikker og retningslinjer overholdes af medarbejderne. Derudover har vi en
kontrol der sikrer, at vores udstyr, såsom servere,
databaser, netværksudstyr mm., er sat op jf. vores
baselines.
Vi har forespurgt til procedure for teknisk overensstemmelse.
ISO
27002
15
15.2
Resultat af test
Ingen væsentlige afvigelser
konstateret.
Ingen væsentlige afvigelser
konstateret.
15.2.1
15.2.2
Vi har inspiceret proceduren.
Side 56 af 56