Minimalt besvær – maksimal sikkerhed

Front-data Danmark A/S
Revisionserklæring (ISAE 3402, type 2)
vedrørende de generelle it-kontroller i
tilknytning til driften af hostingcenter.
December 2011
1. erklæringsår
R, s
Kalvebod Brygge 45, 2., 1560 København V
Tlf.: (+45) 3338 9800, Fax: (+45) 3338 9801
e-mail: [email protected], www.rsmplus.dk
CVR-nr. 43622811 (Hjemsted: København)
Afdelinger i:
Aalborg, Holstebro, Kolding,
København, Odense, Skærbæk,
Vordingborg og Århus
RSM plus er et selvstændigt medlem af
RSM International, en uafhængig kæde
af selvstændige revisions- og konsulentfirmaer
med kontorer i mere end 70 lande
Kapitel 1: Front-data Danmarks beskrivelse af de generelle it-kontroller
Virksomhedens beskrivelse
Front-data har eksisteret siden 1990 og er i dag en velkonsolideret virksomhed med omkring
30 kompetente medarbejdere. Vi er AAA-rated af Soliditet som et bevis på, at vi er en sund
virksomhed.
Front-data holder til i udkanten af Århus i et moderne byggeri, som er etableret med et nyt
og sikkert hostingcenter. Vi har de bedste forudsætninger for at levere høj sikkerhed og stabilitet i den IT-drift, vi håndterer for vores kunder.
Vi laver IT outsourcing for et bredt udsnit af virksomheder i Danmark, Norden og på Grønland samt filialer og datterselskaber i resten af verden. Vores mål er at have et tæt forhold til
vores kunder, som gør at vi forstår deres IT behov, således vi kan understøtte deres forretning bedst muligt.
Vores koncept er at levere en total IT løsning til vores kunder, og agerer som var vi kundens
egen IT afdeling. Løsningerne bliver skræddersyet til den enkelte kunde, men alle elementer
er opbygget udfra vores udviklede standarder. Dette optimerer mulighederne for høj tilgængelighed og god support.
IT Sikkerhed
Front-data betragter IT sikkerhed som et vigtigt element i at levere en professionel hosting
ydelse. Kunderne ligger ansvaret for håndtering og opbevaring af fortrolige og forretnings kritiske data hos os. Dette ansvar stiller krav til en høj grad af sikkerhed.
Front-datas målsætning indenfor IT-sikkerhed er:
- Sikre en god fysisk sikkerhed
- Sikre data fortrolighed og integritet
- Sikre mulighed for genetablering af data og systemer
- Sikre høj tilgængelighed
Måden Front-data har valgt at arbejde med IT-sikkerhed, er at vi gennem redundant opbygning af infrastruktur, kombineret med fastlagte retningslinjer, procedurer og kontroller opretholder hostingcentret i en tilstand hvor sikkerhed og tilgængelighed er optimalt.
Den redundante opbygning af hosting centret omfatter:
- 2 serverrum med separat forsyning og i adskilte brandceller
- Forsynings sikkerhed (strøm, netværk)
- Køling af serverrum
- Redundering af centrale funktioner i netværks og infrastruktur
Side 2
For at sikre forankring af IT-sikkerheden, har vi valgt at arbejde med en IT-sikkerhedspolitik.
IT sikkerhedspolitikken har vi opbygget med DS484, som er en dansk Standard inden for informationssikkerhed, som referenceramme. Front-datas IT sikkerhedspolitik er underbygget
af en række procedurer og kontroller, som er implementeret hos virksomhedens medarbejdere.
Omfang af revision
Revisionserklæringen dækker Front-datas IT sikkerhedspolitik version 5.0.
Organisering af informationssikkerhed
IT sikkerhed har ledelsens fokus i Front-data. Ansvaret er forankret hos den tekniske chef
med opbakning fra direktion og den øvrige ledergruppe.
Dette omfatter:
· At relevante sikkerhedsinitiativer aktivt støttes
· At de nødvendige ressourcer afsættes for at kunne overholde IT-sikkerhedspolitikken
· At deltage aktivt i den tværorganisatoriske implementering af IT-sikkerhedspolitikken
Ledelsen vurderer endvidere løbende behov for ekstern rådgivning ud fra en realistisk bedømmelse af Front-datas egne erfaringer og kompetencer på IT-sikkerhedsområdet.
Medarbejdersikkerhed
Alle medarbejdere i Front-data er opmærksomme på at IT sikkerhed er en vigtig komponent i
deres daglige arbejde. De skal kende deres ansvar og rolle i forbindelse med IT sikkerhed
for derigennem at minimere risikoen for menneskelige fejl, tyveri, svindel og misbrug af informationsaktiver.
IT-sikkerhedsansvaret er fastlagt gennem diverse materiale:
· Ansættelsesaftale
· Ansættelsesvilkår
· Stillings- og jobbeskrivelse
· IT sikkerhedspolitik
Medarbejdere der anvender Front-datas IT-systemer, har underskrevet en tavshedserklæring i forbindelse med ansættelsen.
Styring af informationsrelaterede aktiver
Front-datas kunder har ejerskabet af egne data, og kan få dem udleveret efter ønske. Licensejerskab er specificeret i den indgåede hostingaftale, hvor det er specificeret hvilke licenser kunden er ansvarlig for, samt hvilke Front-data er ansvarlig for.
Adgang til data og applikationer er opsat af Front-data udfra kundens krav.
Side 3
Oprettelse, ændringer eller sletninger af brugere udføres kun efter skriftlig henvendelse til
Front-data’s support, fra personer hos kunden som er bemyndiget til dette.
Fysisk sikkerhed
Front-datas bygning har åbne yderdøre fra mandag til fredag fra kl. 08:15 til kl. 16:00. Udenfor dette tidsrum er dørene låste, og hvis bygningen ikke er bemandet er alarmsystem og
røgsikringssystem tilkoblet.
Alle Front-data medarbejdere er udstyret med et adgangskort med kode, som er nødvendig
for betjening af alarmanlæg og adgang til bygningen. Adgangskortet bruges desuden inde i
bygningen, i forhold til at bevæge sig mellem de forskellige sikkerhedszoner bygningen er
opdelt i.
Bygningen består af fire sikkerhedszoner hvor sikkerhedszone 4, som omfatter serverrum, er
den mest restriktive. I denne zone er der kun tilladt adgang for personale som har en clearing til at komme i serverrummene.
Alt serverudstyr og infrastruktur er placeret i sikre serverrum. Serverrummene er opbygget
som selvstændige sikkerhedsceller, som udgør separate brandceller. Disse kan køre uafhængigt af hinanden.
Alle servere og infrastruktur er koblet til strøm via et redundant opbygget UPS system med
tilstrækkelig kapacitet til minimum 10 minutters drift ved strømudfald.
For at undgå driftsforstyrrelser som følge af længerevarende strømafbrydelser, er der installeret diesel drevet nødstrøms generator, som har kapacitet til at drive hostingcentret incl.
kontor lokaler.
Primære datalinjer er etableret som redundante linjer. Disse linjer er fremført som uafhængige fibre til 2 forskellige TDC centraler.
Beskyttelse mod eksterne trusler
Front-datas alarmoplæg er opsat så der alarmeres til et eksternt vagtfirma, såfremt uautoriseret adgang tiltvinges eller ved sabotage. Når alarmen går, er der opsat røgsystem, som
fylder gangarealerne med røg.
Køl
Køling er etableret med et antal uafhængige kølesystemer, som er redundante. Der er etableret Miljø Overvågning, som konsoliderer måling af temperatur, fugtighed, lækage, strømforbrug pr rack, strømforbrug i alt, status på UPS, kølekapacitet, køleforbrug og status på
brandslukningsudstyr.
Ud over miljø statistikker gives der alarm på hændelser via e-mail og SMS.
Side 4
Køleanlægget er designet ud fra N+2 princippet, hvilket betyder at serverrummet stadig nedkøles såfremt 2 køleenheder skulle blive defekte.
Brand
Samtlige Front-datas serverrum er beskyttet af inergen brandbekæmpelsesanlæg. Inergen
anlægget reagerer på partikelændringer i luften og slukker ilden ved aktivering. Ved aktivering af Inergen anlægget aktiveres også brandalarmen og brandvæsnet alarmeres.
Kontroller
Redundans i forsyningssikkerheden samt udstyr der anvendes, kontrolleres med faste intervaller i kontrollerede forhold, for at sikre at alt fungerer.
Styring af netværk og drift
Front-data har opbygget hostingcentret ved hjælp af annerkendte leverandører og teknologier med fokus på en optimal driftssituation for vores kunder.
Dette omfatter bl.a. følgende områder.
-
Styring af kapacitet
Løbende kontrol og justering af diskplads, netværks og serverressourcer
-
Sikkerhedskopiering
Front-data har sikkerhedskopiering af alle databærende servere. Løsningen bygger
på en TSM løsning på et revisionserklæret setup. Der er etableret ekstra sikkerhedskopi på ekstern lokation for disaster recovery.
-
Netværks sikring
Hosting centrets netværk er opbygget med redundante centrale routere, switche og
firewalls. Netværket er segmenteret i VLAN’s for at opnå kontrol af data udveksling
mellem servere.
Kunder tilgår hosting centret gennem lukkede VPN netværk fra deres kontor lokationer. Dette kan være via Internet forbindelser eller gennem lukkede MPLS netværk.
Der er mulighed for opkobling fra andre netværk ved brug af 3-fakter login, med en
Token eller SMS Passcode og SSL som transportkryptering.
Al datatrafik mellem Front-data og kunden er krypteret.
-
Antivirus
Alle servere er beskyttet mod vira på flere niveauer, ved anvendelse af antivirus
software. Der foretages realtidsscanning af alt indkommende trafik og alle indkomne
filer. Realtidsscanningen foretages på samtlige servere i driftsmiljøet.
Virusdefinitioner opdateres en gang i døgnet på alle servere.
E-mail scanningen foretages på dedikerede mailscannere inden e-mails tilgår Frontdata og ved afsendelse af mails.
Side 5
-
Sikkerhedshåndtering af servere
Front-data håndterer sikkerhedsopdateringer af servere udfra en vurdering af de enkelte sikkerheds patches, i forhold til at der forefindes en effektiv skalsikring bestående af flere lag firewall og en opdeling i VLAN.
Ved sikkerhedsopdatering tilstræbes altid mindst mulig driftsforstyrrelse på netværket.
-
Logning og overvågning
o Fysisk adgang til bygning og mellem sikkerheds zoner logges.
o Der udføres maskinel overvågning af servere og netværksudstyr. Såfremt der
opstår fejl på udstyret alarmeres driftspersonalet. Overvågning af servere foretages som server, applikations og performance overvågning.
o Serverrum er overvåget i forhold til temperatur, lækager, brandudvikling samt
forsyning af strøm.
Adgangsstyring
Alle brugere registreres i de Active directory hvortil de er tilknyttet i Front-datas hosting miljø.
Der er tildelt administrative rettigheder til medarbejdere ansat i Front-data teknik. Derudover
kan der være 3. Parts applikationsansvarlige, som har udvidede rettigheder på en specifik
server. I disse tilfælde, er der indgået en 3. Parts aftale mellem Front-data, kunden og applikations leverandøren.
Der er opsat regler for styring af brugernes kodeord.
Opbevaring af kodeord til Front-datas interne systemer, herunder kodeord der giver fuld adgang til den enkelte kundes Hostede servere, opbevares på et lukket system, som kun kan
tilgås med personligt login. Kun medarbejdere i Team teknik har adgang til disse kodeord.
Brugere med administrative rettigheder revideres ved ændringer i personalemæssige forhold. Derudover gennemføres gennemgang af omfanget af administrative brugere med faste
intervaller.
Styring af sikkerhedshændelser
Front-data overvåger sikkerhedshændelser som virus udbrud samt de mest kendte angreb
fra Internettet. Hvis en trussel konstateres, vurderes alvorligheden af denne. På baggrund af
denne vurdering kan Front-data vælge at lukke for adgangen til Internettet indtil truslen er
ophørt eller er under kontrol.
Ved konstatering af enhver sikkerhedshændelse, skal den tekniske chef underrettes, og der
tages på baggrund af hændelsen stilling til hvilken handling der foretages. Sikkerhedshændelser registreres desuden i Front-datas sags styringssystem.
Side 6
Beredskabsstyring
Front-data har til mål at højne tilgængeligheden til systemer gennem redundans, benyttelse
af anerkendte hardware fabrikater, og gennem faste vedligeholdelses procedurer.
Ved driftsmæssige hændelser arbejder Front-data med en graduering af hændelsens alvor
og omfang. Ved alvorlige fejl er der etableret faste procedurer for udbedring af fejl, samt informations strategi i forhold til kunder og omverden. Såfremt en hændelse nødvendiggør reetablering arbejder Front-data med reetablering på flere niveauer.
-
Reetablering af enkelte servere
Der kan opstå fatale fejl på servere f.eks. på baggrund af hardware fejl. For alle servere som Front-data har driftsansvar på, findes der en procedure for reetablering
-
Reetablering af større dele af Front-datas infrastruktur.
Dette kan omfatte vitale dele af infrastrukturen som f.eks. storagesystem eller netværk. Her arbejder Front-data med procedurer for failover, involvering af producenter
samt informations strategi. Procedurerne skal sikre hurtigst mulig løsningstid samt at
kunder er godt informeret under forløbet.
-
Reetablering efter større katastrofer
En større katastrofe kan f.eks. være brand eller sabotage som forårsager at en maskinstue bliver beskadiget voldsomt. Her arbejder Front-data med planer for håndtering af situationen. Disse planer omfatter beredskab, involvering af samarbejdspartnere samt informationsstrategi.
30/12-2011
Side 7
Kapitel 2 - uafhængig revisors erklæring med sikkerhed om beskrivelsen af de generelle it-kontroller, deres udformning og funktionalitet.
Til brugerne af hostingcenter hos Front-data Danmark og deres revisorer
Omfang
Vi har fået som opgave at afgive erklæring om Front-data Danmarks beskrivelse i kapitel 1 beskrivelse af de generelle it-kontroller, er tilrettelagt på en hensigtsmæssig måde og i overensstemmelse med standardaftalerne, som udføres i forbindelse med driften af Front-data
Danmarks hostingcenter.
Vores revision er baseret på ovennævnte, hvilke betyder, at der ikke tages højde for den enkelte kundes aftale.
Brugerne af hostingcenter er ansvarlige for at skabe datatransmission til Front-data Danmark. Vort arbejde omfatter ikke test af de kontroller, som sikrer fortrolighed, integritet og tilgængelighed i forbindelse med datatransporten mellem brugerne og Front-data Danmark.
Vort arbejde er udelukkende gennemført ved forespørgsler, observationer og undersøgelser
af modtaget materiale.
Procedurer og forretningsgange for ændringshåndtering og vedligeholdelse af systemsoftware er opbygget på en vurdering fra Front-data Danmark, baseret på den enkelt hostede
platform som helhed.
Beredskabsstyring er konstrueret omkring en overordnet beredskabsplan, som beskriver tilgangsmåde og handlinger ved behov for reetablering af hostingcenter. Der kan udarbejdes
specifikke beredskabsplaner på den enkelte kunde efter behov i forhold til risiko ved afbrydelse i forretningsprocesser.
Revisionen er baseret på stikprøver af de enkelte platforme, som medvirker til at understøtte
driften af hostingcenter.
Erklæringen dækker perioden 1. januar 2011 - 31. december 2011, og om udformningen og
funktionen af kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen.
Front-data Danmarks ansvar
Front-data Danmark er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udsagn i
kapitel 1, herunder fundstædigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret; for leveringen af de ydelser beskrivelsen omfatter, for at anføre kontrolmålene samt for udformningen, implementeringen og effektivt fungerende kontroller for at
nå de anførte kontrolmål.
Side 8
Front data Danmarks revisors ansvar
Vores ansvar er, på grundlag af vores handlinger, at udtrykke en konklusion om Front-data
Danmarks beskrivelse samt om udformningen og funktionen af kontroller, der knytter sig til
kontrolmål, der anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse
mede ISAE 3402, Erklæringen med sikkerhed om kontroller hos en serviceleverandør, som
er udstedt af IAASB. Denne standard kræver, at vi overholder etiske krav samt planlægger
og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlig henseende er hensigtsmæssigt udformet og funger effektivt.
En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelse, udformningen
og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for
opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores
handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen,
blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering
af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål
samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i kapitel 1.
Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag
for vores konklusion.
Begrænsninger i kontroller hos serviceleverandør
Front-data Danmarks beskrivelse er udarbejdet for at opfylde de almindelige behov hos bred
kreds af kunder og deres revisorer om omfatter derfor ikke nødvendigvis alle de aspekter
ved systemet, som hver enkelt kunde måtte anse for vigtigt efter deres særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre
eller opdage fejl eller udeladelser ved behandlingen eller rapportingen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos serviceleverandør kan blive utilstrækkelige eller svigte.
Konklusion
Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er kriterier, der er beskrevet i kapitel 1 under referenceramme for it-sikkerhed.
Side 9
Det er vores opfattelse,
·
·
·
at beskrivelsen af de Front-data Danmarks generelle it-kontroller i tilknytning til hostingcenter, som er udformet og implementeret i hele perioden fra 1. januar 2011 - 31. december 2011, i alle væsentlige henseender er retvisende, og
at kontrollerne, som knyttet sig til de kontrolmål, der anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra 1. januar 2011 - 31.
december 2011, og
at de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af
sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har
fungeret i hele perioden fra 1. januar 2011 - 31. december 2011.
Beskrivelse af test kontroller
De specifikke kontroller, der testet, samt arten, den tidsmæssige placering og resultater af
disse test fremgår af kapitel 3.
Tiltænkte brugere og formål
Denne erklæring og beskrivelsen af test af kontroller under kapital 3 er udelukkende tiltænkt
Front-data Danmarks kunder, som har en tilstrækkelig forståelse til at overveje den samme
med anden information, herunder information om kunders egen kontroller, når de vurderer
risiciene for væsentlige fejlinformationer i deres regnskaber.
København, den 4. april 2012
R
s
Kim Larsen
statsautoriseret revisor
Side 10
Kapitel 3 - test af kontroller, der er udført, og tilknyttede resultater
Nedenfor er oplistet de kontrolmål, som er gennemgået som led i vores arbejde, samt de tilknyttede testplan/ arbejdshandlinger samt testresultat.
Risikovurdering og -håndtering
Kontrolmål
Front-data Danmark skal igennem en risikovurdering identificere og prioritere risici med udgangspunkt i driften af hostingcenter. Resultatet skal bidrage til at fastlægge og prioritere de nødvendige
ledelsesindgreb og sikringsforanstaltninger for at imødegå relevante risici.
Testplan/ arbejdshandlinger
Vi har kontrolleret, at der for hostingcentrets arbejdes med en løbende risikovurdering, som opstår
som følge af de forretningsmæssige forhold og dennes udvikling. Vi har kontrolleret, at risikovurderingen er forankret ned igennem de organisatoriske forhold.
Testresultat
Ingen væsentlige afvigelser konstateret
Overordnede retningslinjer
Kontrolmål
Det skal være en strategi som bl.a. skal indeholde ledelsens sikkerhedsmålsætning, -politik og
overordnede handlingsplan.
Testplan/ arbejdshandlinger
Vi har kontrolleret, at der sker løbende vedligeholdelse af virksomhedens centrale it-sikkerhedspolitik, samtidig har revisionen afdækket, at de underliggende procedurer og retningslinjer er implementeret i Front-data Danmarks forretningsgange.
Testresultat
Ingen væsentlige afvigelser konstateret
Organisering af informationssikkerhed
Kontrolmål
Der skal være etableret passende funktionsadskillelse i og omkring it-funktionerne, herunder mellem udvikling, drift samt brugerfunktioner.
Testplan/ arbejdshandlinger
Vi har kontrolleret, at der opretholdes tilstrækkelig funktionsadskillelse mellem de forskellige arbejdsfunktioner af den drift, der udføres af Front-data Danmark.
Testresultat
Ingen væsentlige afvigelser konstateret
Side 11
Styring af informationsrelaterede aktiver
Kontrolmål
Der skal være identifikation af og ansvar for informationsrelaterede aktiver, som sikrer og vedligeholder den nødvendige beskyttelse af virksomhedens informationsaktiver.
Testplan/ arbejdshandlinger
Vi har kontrolleret, at der er en passende opdeling og klassifikation i forhold til ejerskab mellem
applikationer og data samt øvrige enheder i forhold til driften af hostingcenter.
Testresultat
Ingen væsentlige afvigelser konstateret
Medarbejdersikkerhed
Kontrolmål
Igennem fastlagte arbejdsprocesser og procedurer skal det sikres, at alle nye medarbejdere får
oplyst deres særlige ansvar og rolle i forbindelse med Front-data Danmarks arbejde og forhold til
it-sikkerhed. Sikkerhedsansvar skal være fastlagt, og nærmere beskrevet gennem stillingsbeskrivelse og i form af vilkår i ansættelseskontrakten.
Testplan/ arbejdshandlinger
Vi har kontrolleret, at de af ledelsen udarbejdet forretningsgange og procedurer er overholdt.
Testresultat
Ingen væsentlige afvigelser konstateret
Fysisk sikkerhed
Kontrolmål
Der skal være etableret fornøden beskyttelse mod skader forårsaget af f.eks. brand, vandskade,
strømafbrydelse, tyveri eller hærværk.
Testplan/ arbejdshandlinger
Vi har gennemgået den fysiske sikkerhed vedrørende systemer, som er placeret hos Front-data
Danmark, og vi har påset, at der er etableret fornøden beskyttelse mod bl.a. brand, vandskade,
strømafbrydelse, tyveri og hærværk.
Vi har kontrolleret, at de fysiske adgange til systemer og data, som er placeret hos Front-data
Danmark, sikres via et elektronisk nøglesystem, der bl.a. logger alle adgange til serverrummet.
Testresultat
Ingen væsentlige afvigelser konstateret
Side 12
Styring af netværk og drift
Kontrolmål
Der skal være etableret passende forretningsgange og kontroller vedrørende drift, herunder overvågning, registrering og opfølgning på relevante hændelser.
Testplan/ arbejdshandlinger
Vi har kontrolleret, at der foreligger tilstrækkelige procedurer for driftsafviklingen af hostingcenter
samt stikprøvevis testet, at procedurerne efterleves. Det er endvidere påset, at der foretages passende overvågning af driften.
Testresultat
Ingen væsentlige afvigelser konstateret
Datakommunikation
Kontrolmål
Datakommunikation skal være tilrettelagt på en hensigtsmæssig måde og samtidig skal opbygningen sikre mod risiko for tab af autenticitet, integritet, uafviselighed/sporbarhed, tilgængelighed
samt fortrolighed.
Testplan/ arbejdshandlinger
Vi har kontrolleret, at strukturen er sikret mod skader og uautoriserede indgreb, samt at der er mulighed for at anvende sikre krypterede protokoller. Datakommunikation til Front-data Danmark er
kundens eget ansvar.
Testresultat
Ingen væsentlige afvigelser konstateret
Sikkerhedskopiering
Kontrolmål
Der foreligger tilstrækkelige procedurer for sikkerhedskopiering.
Testplan/ arbejdshandlinger
Vi har kontrolleret, at der foreligger passende procedurer for sikkerhedskopiering. Vi har ved gennemgang af systemopsætning stikprøvevis testet, at procedurerne efterleves, samt at der er foretaget dublering for at sikre tilgængeligheden af data.
Testresultat
Ingen væsentlige afvigelser konstateret
Adgangsstyring
Kontrolmål
Der skal være etableret fornødne logiske adgangskontroller, der underbygger den organisatoriske
funktionsadskillelse.
Side 13
Der skal samtidig være etableret passende forretningsgange og kontroller for tildeling, opfølgning
og vedligeholdelse af adgangsrettigheder til systemer og data.
Testplan/ arbejdshandlinger
Vi har kontrolleret, at tildeling af adgangsrettigheder til systemsoftware sker efter passende forretningsgange, og at der foretages periodisk opfølgning på de tildelte adgangsrettigheder.
Vi har ved stikprøve udtræk af systemkonfigurationer kontrolleret, at der er etableret logiske adgangskontroller til servere, således at de enkelte driftsområder er adskilt, samt at driftsfunktioner
er begrænset til relevante driftsfunktioner.
Testresultat
Ingen væsentlige afvigelser konstateret
Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer
Kontrolmål
Området skal være afdækket i forhold til, at sikkerhed indgår som en integreret del af Front-data
Danmarks administrations- og tilhørende støttesystemer for til driften af hostingcenter.
Testplan/ arbejdshandlinger
Vores revision har påvist et passende forhold for sikre overholdelse af rammerne for området.
Testresultat
Ingen væsentlige afvigelser konstateret
Styring af sikkerhedshændelser
Kontrolmål
Der skal være passende rammer for behandling af sikkerhedshændelser og svagheder, herunder
for rapportering.
Testplan/ arbejdshandlinger
Vi har påset, at der er passende forretningsgange for området, og om de har virket i perioden.
Testresultat
Ingen væsentlige afvigelser konstateret
Beredskabsstyring
Kontrolmål
Der skal være implementeret beredskabsstyring som en løbende opgave til formål at begrænse
konsekvenserne af tab af informationsaktiver forårsaget af katastrofer og sikkerhedsbrister.
Side 14
Beredskabsstyringen skal indeholde procedurer, der identificerer og reducerer risici, begrænser
konsekvenserne ved skadelige hændelser samt sikrer rettidig retablering af kritiske forretningsprocesser.
Testplan/ arbejdshandlinger
Vores gennemgang af området har sikret, at Front-data Danmark har udarbejdet og behandlet beredskabsstyrring i henhold til kontrolmålene. Området er dog behandlet efter et generelt sikkerhedsniveau og derved ikke sat i forhold til de enkelte kundeaftaler.
Testresultat
Ingen væsentlige afvigelser konstateret
Side 15