Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København V Tlf.: (+45) 3338 9800, Fax: (+45) 3338 9801 e-mail: [email protected], www.rsmplus.dk CVR-nr. 43622811 (Hjemsted: København) Afdelinger i: Aalborg, Holstebro, Kolding, København, Odense, Skærbæk, Vordingborg og Århus RSM plus er et selvstændigt medlem af RSM International, en uafhængig kæde af selvstændige revisions- og konsulentfirmaer med kontorer i mere end 70 lande Kapitel 1: Front-data Danmarks beskrivelse af de generelle it-kontroller Virksomhedens beskrivelse Front-data har eksisteret siden 1990 og er i dag en velkonsolideret virksomhed med omkring 30 kompetente medarbejdere. Vi er AAA-rated af Soliditet som et bevis på, at vi er en sund virksomhed. Front-data holder til i udkanten af Århus i et moderne byggeri, som er etableret med et nyt og sikkert hostingcenter. Vi har de bedste forudsætninger for at levere høj sikkerhed og stabilitet i den IT-drift, vi håndterer for vores kunder. Vi laver IT outsourcing for et bredt udsnit af virksomheder i Danmark, Norden og på Grønland samt filialer og datterselskaber i resten af verden. Vores mål er at have et tæt forhold til vores kunder, som gør at vi forstår deres IT behov, således vi kan understøtte deres forretning bedst muligt. Vores koncept er at levere en total IT løsning til vores kunder, og agerer som var vi kundens egen IT afdeling. Løsningerne bliver skræddersyet til den enkelte kunde, men alle elementer er opbygget udfra vores udviklede standarder. Dette optimerer mulighederne for høj tilgængelighed og god support. IT Sikkerhed Front-data betragter IT sikkerhed som et vigtigt element i at levere en professionel hosting ydelse. Kunderne ligger ansvaret for håndtering og opbevaring af fortrolige og forretnings kritiske data hos os. Dette ansvar stiller krav til en høj grad af sikkerhed. Front-datas målsætning indenfor IT-sikkerhed er: - Sikre en god fysisk sikkerhed - Sikre data fortrolighed og integritet - Sikre mulighed for genetablering af data og systemer - Sikre høj tilgængelighed Måden Front-data har valgt at arbejde med IT-sikkerhed, er at vi gennem redundant opbygning af infrastruktur, kombineret med fastlagte retningslinjer, procedurer og kontroller opretholder hostingcentret i en tilstand hvor sikkerhed og tilgængelighed er optimalt. Den redundante opbygning af hosting centret omfatter: - 2 serverrum med separat forsyning og i adskilte brandceller - Forsynings sikkerhed (strøm, netværk) - Køling af serverrum - Redundering af centrale funktioner i netværks og infrastruktur Side 2 For at sikre forankring af IT-sikkerheden, har vi valgt at arbejde med en IT-sikkerhedspolitik. IT sikkerhedspolitikken har vi opbygget med DS484, som er en dansk Standard inden for informationssikkerhed, som referenceramme. Front-datas IT sikkerhedspolitik er underbygget af en række procedurer og kontroller, som er implementeret hos virksomhedens medarbejdere. Omfang af revision Revisionserklæringen dækker Front-datas IT sikkerhedspolitik version 5.0. Organisering af informationssikkerhed IT sikkerhed har ledelsens fokus i Front-data. Ansvaret er forankret hos den tekniske chef med opbakning fra direktion og den øvrige ledergruppe. Dette omfatter: · At relevante sikkerhedsinitiativer aktivt støttes · At de nødvendige ressourcer afsættes for at kunne overholde IT-sikkerhedspolitikken · At deltage aktivt i den tværorganisatoriske implementering af IT-sikkerhedspolitikken Ledelsen vurderer endvidere løbende behov for ekstern rådgivning ud fra en realistisk bedømmelse af Front-datas egne erfaringer og kompetencer på IT-sikkerhedsområdet. Medarbejdersikkerhed Alle medarbejdere i Front-data er opmærksomme på at IT sikkerhed er en vigtig komponent i deres daglige arbejde. De skal kende deres ansvar og rolle i forbindelse med IT sikkerhed for derigennem at minimere risikoen for menneskelige fejl, tyveri, svindel og misbrug af informationsaktiver. IT-sikkerhedsansvaret er fastlagt gennem diverse materiale: · Ansættelsesaftale · Ansættelsesvilkår · Stillings- og jobbeskrivelse · IT sikkerhedspolitik Medarbejdere der anvender Front-datas IT-systemer, har underskrevet en tavshedserklæring i forbindelse med ansættelsen. Styring af informationsrelaterede aktiver Front-datas kunder har ejerskabet af egne data, og kan få dem udleveret efter ønske. Licensejerskab er specificeret i den indgåede hostingaftale, hvor det er specificeret hvilke licenser kunden er ansvarlig for, samt hvilke Front-data er ansvarlig for. Adgang til data og applikationer er opsat af Front-data udfra kundens krav. Side 3 Oprettelse, ændringer eller sletninger af brugere udføres kun efter skriftlig henvendelse til Front-data’s support, fra personer hos kunden som er bemyndiget til dette. Fysisk sikkerhed Front-datas bygning har åbne yderdøre fra mandag til fredag fra kl. 08:15 til kl. 16:00. Udenfor dette tidsrum er dørene låste, og hvis bygningen ikke er bemandet er alarmsystem og røgsikringssystem tilkoblet. Alle Front-data medarbejdere er udstyret med et adgangskort med kode, som er nødvendig for betjening af alarmanlæg og adgang til bygningen. Adgangskortet bruges desuden inde i bygningen, i forhold til at bevæge sig mellem de forskellige sikkerhedszoner bygningen er opdelt i. Bygningen består af fire sikkerhedszoner hvor sikkerhedszone 4, som omfatter serverrum, er den mest restriktive. I denne zone er der kun tilladt adgang for personale som har en clearing til at komme i serverrummene. Alt serverudstyr og infrastruktur er placeret i sikre serverrum. Serverrummene er opbygget som selvstændige sikkerhedsceller, som udgør separate brandceller. Disse kan køre uafhængigt af hinanden. Alle servere og infrastruktur er koblet til strøm via et redundant opbygget UPS system med tilstrækkelig kapacitet til minimum 10 minutters drift ved strømudfald. For at undgå driftsforstyrrelser som følge af længerevarende strømafbrydelser, er der installeret diesel drevet nødstrøms generator, som har kapacitet til at drive hostingcentret incl. kontor lokaler. Primære datalinjer er etableret som redundante linjer. Disse linjer er fremført som uafhængige fibre til 2 forskellige TDC centraler. Beskyttelse mod eksterne trusler Front-datas alarmoplæg er opsat så der alarmeres til et eksternt vagtfirma, såfremt uautoriseret adgang tiltvinges eller ved sabotage. Når alarmen går, er der opsat røgsystem, som fylder gangarealerne med røg. Køl Køling er etableret med et antal uafhængige kølesystemer, som er redundante. Der er etableret Miljø Overvågning, som konsoliderer måling af temperatur, fugtighed, lækage, strømforbrug pr rack, strømforbrug i alt, status på UPS, kølekapacitet, køleforbrug og status på brandslukningsudstyr. Ud over miljø statistikker gives der alarm på hændelser via e-mail og SMS. Side 4 Køleanlægget er designet ud fra N+2 princippet, hvilket betyder at serverrummet stadig nedkøles såfremt 2 køleenheder skulle blive defekte. Brand Samtlige Front-datas serverrum er beskyttet af inergen brandbekæmpelsesanlæg. Inergen anlægget reagerer på partikelændringer i luften og slukker ilden ved aktivering. Ved aktivering af Inergen anlægget aktiveres også brandalarmen og brandvæsnet alarmeres. Kontroller Redundans i forsyningssikkerheden samt udstyr der anvendes, kontrolleres med faste intervaller i kontrollerede forhold, for at sikre at alt fungerer. Styring af netværk og drift Front-data har opbygget hostingcentret ved hjælp af annerkendte leverandører og teknologier med fokus på en optimal driftssituation for vores kunder. Dette omfatter bl.a. følgende områder. - Styring af kapacitet Løbende kontrol og justering af diskplads, netværks og serverressourcer - Sikkerhedskopiering Front-data har sikkerhedskopiering af alle databærende servere. Løsningen bygger på en TSM løsning på et revisionserklæret setup. Der er etableret ekstra sikkerhedskopi på ekstern lokation for disaster recovery. - Netværks sikring Hosting centrets netværk er opbygget med redundante centrale routere, switche og firewalls. Netværket er segmenteret i VLAN’s for at opnå kontrol af data udveksling mellem servere. Kunder tilgår hosting centret gennem lukkede VPN netværk fra deres kontor lokationer. Dette kan være via Internet forbindelser eller gennem lukkede MPLS netværk. Der er mulighed for opkobling fra andre netværk ved brug af 3-fakter login, med en Token eller SMS Passcode og SSL som transportkryptering. Al datatrafik mellem Front-data og kunden er krypteret. - Antivirus Alle servere er beskyttet mod vira på flere niveauer, ved anvendelse af antivirus software. Der foretages realtidsscanning af alt indkommende trafik og alle indkomne filer. Realtidsscanningen foretages på samtlige servere i driftsmiljøet. Virusdefinitioner opdateres en gang i døgnet på alle servere. E-mail scanningen foretages på dedikerede mailscannere inden e-mails tilgår Frontdata og ved afsendelse af mails. Side 5 - Sikkerhedshåndtering af servere Front-data håndterer sikkerhedsopdateringer af servere udfra en vurdering af de enkelte sikkerheds patches, i forhold til at der forefindes en effektiv skalsikring bestående af flere lag firewall og en opdeling i VLAN. Ved sikkerhedsopdatering tilstræbes altid mindst mulig driftsforstyrrelse på netværket. - Logning og overvågning o Fysisk adgang til bygning og mellem sikkerheds zoner logges. o Der udføres maskinel overvågning af servere og netværksudstyr. Såfremt der opstår fejl på udstyret alarmeres driftspersonalet. Overvågning af servere foretages som server, applikations og performance overvågning. o Serverrum er overvåget i forhold til temperatur, lækager, brandudvikling samt forsyning af strøm. Adgangsstyring Alle brugere registreres i de Active directory hvortil de er tilknyttet i Front-datas hosting miljø. Der er tildelt administrative rettigheder til medarbejdere ansat i Front-data teknik. Derudover kan der være 3. Parts applikationsansvarlige, som har udvidede rettigheder på en specifik server. I disse tilfælde, er der indgået en 3. Parts aftale mellem Front-data, kunden og applikations leverandøren. Der er opsat regler for styring af brugernes kodeord. Opbevaring af kodeord til Front-datas interne systemer, herunder kodeord der giver fuld adgang til den enkelte kundes Hostede servere, opbevares på et lukket system, som kun kan tilgås med personligt login. Kun medarbejdere i Team teknik har adgang til disse kodeord. Brugere med administrative rettigheder revideres ved ændringer i personalemæssige forhold. Derudover gennemføres gennemgang af omfanget af administrative brugere med faste intervaller. Styring af sikkerhedshændelser Front-data overvåger sikkerhedshændelser som virus udbrud samt de mest kendte angreb fra Internettet. Hvis en trussel konstateres, vurderes alvorligheden af denne. På baggrund af denne vurdering kan Front-data vælge at lukke for adgangen til Internettet indtil truslen er ophørt eller er under kontrol. Ved konstatering af enhver sikkerhedshændelse, skal den tekniske chef underrettes, og der tages på baggrund af hændelsen stilling til hvilken handling der foretages. Sikkerhedshændelser registreres desuden i Front-datas sags styringssystem. Side 6 Beredskabsstyring Front-data har til mål at højne tilgængeligheden til systemer gennem redundans, benyttelse af anerkendte hardware fabrikater, og gennem faste vedligeholdelses procedurer. Ved driftsmæssige hændelser arbejder Front-data med en graduering af hændelsens alvor og omfang. Ved alvorlige fejl er der etableret faste procedurer for udbedring af fejl, samt informations strategi i forhold til kunder og omverden. Såfremt en hændelse nødvendiggør reetablering arbejder Front-data med reetablering på flere niveauer. - Reetablering af enkelte servere Der kan opstå fatale fejl på servere f.eks. på baggrund af hardware fejl. For alle servere som Front-data har driftsansvar på, findes der en procedure for reetablering - Reetablering af større dele af Front-datas infrastruktur. Dette kan omfatte vitale dele af infrastrukturen som f.eks. storagesystem eller netværk. Her arbejder Front-data med procedurer for failover, involvering af producenter samt informations strategi. Procedurerne skal sikre hurtigst mulig løsningstid samt at kunder er godt informeret under forløbet. - Reetablering efter større katastrofer En større katastrofe kan f.eks. være brand eller sabotage som forårsager at en maskinstue bliver beskadiget voldsomt. Her arbejder Front-data med planer for håndtering af situationen. Disse planer omfatter beredskab, involvering af samarbejdspartnere samt informationsstrategi. 30/12-2011 Side 7 Kapitel 2 - uafhængig revisors erklæring med sikkerhed om beskrivelsen af de generelle it-kontroller, deres udformning og funktionalitet. Til brugerne af hostingcenter hos Front-data Danmark og deres revisorer Omfang Vi har fået som opgave at afgive erklæring om Front-data Danmarks beskrivelse i kapitel 1 beskrivelse af de generelle it-kontroller, er tilrettelagt på en hensigtsmæssig måde og i overensstemmelse med standardaftalerne, som udføres i forbindelse med driften af Front-data Danmarks hostingcenter. Vores revision er baseret på ovennævnte, hvilke betyder, at der ikke tages højde for den enkelte kundes aftale. Brugerne af hostingcenter er ansvarlige for at skabe datatransmission til Front-data Danmark. Vort arbejde omfatter ikke test af de kontroller, som sikrer fortrolighed, integritet og tilgængelighed i forbindelse med datatransporten mellem brugerne og Front-data Danmark. Vort arbejde er udelukkende gennemført ved forespørgsler, observationer og undersøgelser af modtaget materiale. Procedurer og forretningsgange for ændringshåndtering og vedligeholdelse af systemsoftware er opbygget på en vurdering fra Front-data Danmark, baseret på den enkelt hostede platform som helhed. Beredskabsstyring er konstrueret omkring en overordnet beredskabsplan, som beskriver tilgangsmåde og handlinger ved behov for reetablering af hostingcenter. Der kan udarbejdes specifikke beredskabsplaner på den enkelte kunde efter behov i forhold til risiko ved afbrydelse i forretningsprocesser. Revisionen er baseret på stikprøver af de enkelte platforme, som medvirker til at understøtte driften af hostingcenter. Erklæringen dækker perioden 1. januar 2011 - 31. december 2011, og om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Front-data Danmarks ansvar Front-data Danmark er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udsagn i kapitel 1, herunder fundstædigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret; for leveringen af de ydelser beskrivelsen omfatter, for at anføre kontrolmålene samt for udformningen, implementeringen og effektivt fungerende kontroller for at nå de anførte kontrolmål. Side 8 Front data Danmarks revisors ansvar Vores ansvar er, på grundlag af vores handlinger, at udtrykke en konklusion om Front-data Danmarks beskrivelse samt om udformningen og funktionen af kontroller, der knytter sig til kontrolmål, der anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse mede ISAE 3402, Erklæringen med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er retvisende, og om kontrollerne i alle væsentlig henseende er hensigtsmæssigt udformet og funger effektivt. En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelse, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er retvisende, og kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet i kapitel 1. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsninger i kontroller hos serviceleverandør Front-data Danmarks beskrivelse er udarbejdet for at opfylde de almindelige behov hos bred kreds af kunder og deres revisorer om omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtigt efter deres særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller opdage fejl eller udeladelser ved behandlingen eller rapportingen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos serviceleverandør kan blive utilstrækkelige eller svigte. Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vi har anvendt ved udformningen af konklusionen, er kriterier, der er beskrevet i kapitel 1 under referenceramme for it-sikkerhed. Side 9 Det er vores opfattelse, · · · at beskrivelsen af de Front-data Danmarks generelle it-kontroller i tilknytning til hostingcenter, som er udformet og implementeret i hele perioden fra 1. januar 2011 - 31. december 2011, i alle væsentlige henseender er retvisende, og at kontrollerne, som knyttet sig til de kontrolmål, der anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra 1. januar 2011 - 31. december 2011, og at de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået i alle væsentlige henseender, har fungeret i hele perioden fra 1. januar 2011 - 31. december 2011. Beskrivelse af test kontroller De specifikke kontroller, der testet, samt arten, den tidsmæssige placering og resultater af disse test fremgår af kapitel 3. Tiltænkte brugere og formål Denne erklæring og beskrivelsen af test af kontroller under kapital 3 er udelukkende tiltænkt Front-data Danmarks kunder, som har en tilstrækkelig forståelse til at overveje den samme med anden information, herunder information om kunders egen kontroller, når de vurderer risiciene for væsentlige fejlinformationer i deres regnskaber. København, den 4. april 2012 R s Kim Larsen statsautoriseret revisor Side 10 Kapitel 3 - test af kontroller, der er udført, og tilknyttede resultater Nedenfor er oplistet de kontrolmål, som er gennemgået som led i vores arbejde, samt de tilknyttede testplan/ arbejdshandlinger samt testresultat. Risikovurdering og -håndtering Kontrolmål Front-data Danmark skal igennem en risikovurdering identificere og prioritere risici med udgangspunkt i driften af hostingcenter. Resultatet skal bidrage til at fastlægge og prioritere de nødvendige ledelsesindgreb og sikringsforanstaltninger for at imødegå relevante risici. Testplan/ arbejdshandlinger Vi har kontrolleret, at der for hostingcentrets arbejdes med en løbende risikovurdering, som opstår som følge af de forretningsmæssige forhold og dennes udvikling. Vi har kontrolleret, at risikovurderingen er forankret ned igennem de organisatoriske forhold. Testresultat Ingen væsentlige afvigelser konstateret Overordnede retningslinjer Kontrolmål Det skal være en strategi som bl.a. skal indeholde ledelsens sikkerhedsmålsætning, -politik og overordnede handlingsplan. Testplan/ arbejdshandlinger Vi har kontrolleret, at der sker løbende vedligeholdelse af virksomhedens centrale it-sikkerhedspolitik, samtidig har revisionen afdækket, at de underliggende procedurer og retningslinjer er implementeret i Front-data Danmarks forretningsgange. Testresultat Ingen væsentlige afvigelser konstateret Organisering af informationssikkerhed Kontrolmål Der skal være etableret passende funktionsadskillelse i og omkring it-funktionerne, herunder mellem udvikling, drift samt brugerfunktioner. Testplan/ arbejdshandlinger Vi har kontrolleret, at der opretholdes tilstrækkelig funktionsadskillelse mellem de forskellige arbejdsfunktioner af den drift, der udføres af Front-data Danmark. Testresultat Ingen væsentlige afvigelser konstateret Side 11 Styring af informationsrelaterede aktiver Kontrolmål Der skal være identifikation af og ansvar for informationsrelaterede aktiver, som sikrer og vedligeholder den nødvendige beskyttelse af virksomhedens informationsaktiver. Testplan/ arbejdshandlinger Vi har kontrolleret, at der er en passende opdeling og klassifikation i forhold til ejerskab mellem applikationer og data samt øvrige enheder i forhold til driften af hostingcenter. Testresultat Ingen væsentlige afvigelser konstateret Medarbejdersikkerhed Kontrolmål Igennem fastlagte arbejdsprocesser og procedurer skal det sikres, at alle nye medarbejdere får oplyst deres særlige ansvar og rolle i forbindelse med Front-data Danmarks arbejde og forhold til it-sikkerhed. Sikkerhedsansvar skal være fastlagt, og nærmere beskrevet gennem stillingsbeskrivelse og i form af vilkår i ansættelseskontrakten. Testplan/ arbejdshandlinger Vi har kontrolleret, at de af ledelsen udarbejdet forretningsgange og procedurer er overholdt. Testresultat Ingen væsentlige afvigelser konstateret Fysisk sikkerhed Kontrolmål Der skal være etableret fornøden beskyttelse mod skader forårsaget af f.eks. brand, vandskade, strømafbrydelse, tyveri eller hærværk. Testplan/ arbejdshandlinger Vi har gennemgået den fysiske sikkerhed vedrørende systemer, som er placeret hos Front-data Danmark, og vi har påset, at der er etableret fornøden beskyttelse mod bl.a. brand, vandskade, strømafbrydelse, tyveri og hærværk. Vi har kontrolleret, at de fysiske adgange til systemer og data, som er placeret hos Front-data Danmark, sikres via et elektronisk nøglesystem, der bl.a. logger alle adgange til serverrummet. Testresultat Ingen væsentlige afvigelser konstateret Side 12 Styring af netværk og drift Kontrolmål Der skal være etableret passende forretningsgange og kontroller vedrørende drift, herunder overvågning, registrering og opfølgning på relevante hændelser. Testplan/ arbejdshandlinger Vi har kontrolleret, at der foreligger tilstrækkelige procedurer for driftsafviklingen af hostingcenter samt stikprøvevis testet, at procedurerne efterleves. Det er endvidere påset, at der foretages passende overvågning af driften. Testresultat Ingen væsentlige afvigelser konstateret Datakommunikation Kontrolmål Datakommunikation skal være tilrettelagt på en hensigtsmæssig måde og samtidig skal opbygningen sikre mod risiko for tab af autenticitet, integritet, uafviselighed/sporbarhed, tilgængelighed samt fortrolighed. Testplan/ arbejdshandlinger Vi har kontrolleret, at strukturen er sikret mod skader og uautoriserede indgreb, samt at der er mulighed for at anvende sikre krypterede protokoller. Datakommunikation til Front-data Danmark er kundens eget ansvar. Testresultat Ingen væsentlige afvigelser konstateret Sikkerhedskopiering Kontrolmål Der foreligger tilstrækkelige procedurer for sikkerhedskopiering. Testplan/ arbejdshandlinger Vi har kontrolleret, at der foreligger passende procedurer for sikkerhedskopiering. Vi har ved gennemgang af systemopsætning stikprøvevis testet, at procedurerne efterleves, samt at der er foretaget dublering for at sikre tilgængeligheden af data. Testresultat Ingen væsentlige afvigelser konstateret Adgangsstyring Kontrolmål Der skal være etableret fornødne logiske adgangskontroller, der underbygger den organisatoriske funktionsadskillelse. Side 13 Der skal samtidig være etableret passende forretningsgange og kontroller for tildeling, opfølgning og vedligeholdelse af adgangsrettigheder til systemer og data. Testplan/ arbejdshandlinger Vi har kontrolleret, at tildeling af adgangsrettigheder til systemsoftware sker efter passende forretningsgange, og at der foretages periodisk opfølgning på de tildelte adgangsrettigheder. Vi har ved stikprøve udtræk af systemkonfigurationer kontrolleret, at der er etableret logiske adgangskontroller til servere, således at de enkelte driftsområder er adskilt, samt at driftsfunktioner er begrænset til relevante driftsfunktioner. Testresultat Ingen væsentlige afvigelser konstateret Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer Kontrolmål Området skal være afdækket i forhold til, at sikkerhed indgår som en integreret del af Front-data Danmarks administrations- og tilhørende støttesystemer for til driften af hostingcenter. Testplan/ arbejdshandlinger Vores revision har påvist et passende forhold for sikre overholdelse af rammerne for området. Testresultat Ingen væsentlige afvigelser konstateret Styring af sikkerhedshændelser Kontrolmål Der skal være passende rammer for behandling af sikkerhedshændelser og svagheder, herunder for rapportering. Testplan/ arbejdshandlinger Vi har påset, at der er passende forretningsgange for området, og om de har virket i perioden. Testresultat Ingen væsentlige afvigelser konstateret Beredskabsstyring Kontrolmål Der skal være implementeret beredskabsstyring som en løbende opgave til formål at begrænse konsekvenserne af tab af informationsaktiver forårsaget af katastrofer og sikkerhedsbrister. Side 14 Beredskabsstyringen skal indeholde procedurer, der identificerer og reducerer risici, begrænser konsekvenserne ved skadelige hændelser samt sikrer rettidig retablering af kritiske forretningsprocesser. Testplan/ arbejdshandlinger Vores gennemgang af området har sikret, at Front-data Danmark har udarbejdet og behandlet beredskabsstyrring i henhold til kontrolmålene. Området er dog behandlet efter et generelt sikkerhedsniveau og derved ikke sat i forhold til de enkelte kundeaftaler. Testresultat Ingen væsentlige afvigelser konstateret Side 15
© Copyright 2024