Fjernvarme, anlægstype
Klestrup partners A/S ISAE 3402 type 2-erklæring Generelle it-kontroller i tilknytning til drift af Windows-systemer for perioden 1. januar 2014 - 31. december 2014 Side 1 af 28 Indhold 1 Ledelsens udsagn ...........................................................................................................................3 2 Revisionserklæring .........................................................................................................................5 3 Beskrivelse af generelle it-kontroller .................................................................................................7 3.1 Overblik og beskrivelse af omfattede services ...........................................................................7 3.2 Beskrivelse af interne kontroller på virksomhedsniveau ..............................................................8 3.2.1 Komponenterne i den interne kontrol ....................................................................................8 3.2.2 Kontrolmiljø ........................................................................................................................8 3.2.3 Risikovurdering ................................................................................................................. 11 3.2.4 Monitorering ..................................................................................................................... 11 3.2.5 Information og kommunikation .......................................................................................... 11 3.3 4 Beskrivelse af processer med tilhørende kontrolmål og -aktiviteter ............................................ 11 3.3.1 Overordnet styring af informationssikkerhed........................................................................ 11 3.3.2 Overvågning af underleverandører af it-driftsservices ........................................................... 12 3.3.3 Overordnet styring af logiske adgange ................................................................................ 12 3.3.4 Ændringshåndtering .......................................................................................................... 16 3.3.5 Sikring af informationsrelaterede aktiver ............................................................................. 16 3.3.6 Driftsovervågning og alarmering ......................................................................................... 17 3.3.7 Asset management ........................................................................................................... 17 Beskrivelse af kontrolmål, nøglekontroller samt resultat af udført arbejde .......................................... 19 4.1 Udførte tests ........................................................................................................................ 19 4.2 Komplementære kontroller hos brugerorganisationer ............................................................... 28 Side 2 af 28 1 Ledelsens udsagn Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt den af Klestrup partners A/S (herefter Kp) udbudte driftsplatform baseret på Windows-teknologi. Beskrivelsen er tiltænkt modtagere, som har en tilstrækkelig forståelse til at vurdere beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt ved vurdering af risiciene for væsentlig fejlinformation i kundernes regnskaber. Kp har i perioden anvendt Front-safe A/S, Interxion A/S og GlobalConnect A/S som underleverandører af backup og fysisk sikkerhed. Beskrivelsen inkluderer udelukkende kontroller og kontrolmål for processer og kontroller, som håndteres af Kp, og indeholder således ikke kontroller og kontrolmål, som vedrører kontroller og processer, der håndteres af de omtalte underleverandører. Kp bekræfter, at: 1. Den medfølgende beskrivelse giver en dækkende beskrivelse af den af Kp udbudte driftsplatform for Windows i hele perioden fra 1. januar 2014 til 31. december 2014. Kriterierne for dette udsagn er, at den medfølgende beskrivelse: a) redegør for, hvordan systemet var udformet og implementeret, herunder redegør for: I. de typer af ydelser, der er leveret, herunder behandlede grupper af transaktioner, når det er relevant II. hvordan systemet behandlede andre betydelige begivenheder og forhold end transaktioner III. processen, der blev anvendt til at udarbejde rapporter til kunder IV. relevante kontrolmål og kontroller udformet til at nå disse mål V. kontroller, som vi med henvisning til systemets udformning har forudsat ville være implementeret af brugervirksomheder, og som, hvis det er nødvendigt for at nå de kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrolmål, som vi ikke selv kan nå VI. andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem (herunder de tilknyttede forretningsgange), kommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante for behandlingen og rapporteringen af kunders transaktioner. b) indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i perioden fra 1. januar 2014 til 31. december 2014 c) ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne system under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert Side 3 af 28 aspekt ved systemet, som den enkelte kunde måtte anse for vigtigt efter deres særlige forhold. 2. De kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra 1. januar 2014 til 31. december 2014. Kriterierne for dette udsagn var, at: a) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret b) de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål c) kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra 1. januar 2014 til 31. december 2014. København, den 20. februar 2015 Klestrup partners A/S Jeppe Andersen Direktør, CEO Side 4 af 28 2 Revisionserklæring Til: Klestrup partners A/S Omfang Vi har fået som opgave at afgive erklæring om Klestrup partners A/S’ beskrivelse af den af Klestrup partners A/S udbudte Windows-driftsplatform i hele perioden fra 1. januar 2014 til 31. december 2014 (beskrivelsen) og om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen. Klestrup partners A/S anvender Front-safe A/S, Interxion A/S og GlobalConnect A/S som underleverandør af backup og fysisk sikkerhed. Beskrivelsen inkluderer udelukkende kontroller og kontrolmål for processer og kontroller, som håndteres af Klestrup partners A/S, og indeholder således ikke kontroller og kontrolmål, som vedrører kontroller og processer, der håndteres af Front-safe A/S, Interxion A/S og GlobalConnect A/S. Klestrup partners A/S’ ansvar Klestrup partners A/S er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udsagn, herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret, for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmålene samt for udformningen, implementeringen og effektiviteten af kontroller for at nå de anførte kontrolmål. Serviceleverandørens revisors ansvar Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om Klestrup partners A/S’ beskrivelse samt om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB, og yderligere krav ifølge dansk revisorlovgivning. Denne standard kræver, at vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er dækkende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt. En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er dækkende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet. Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion. Begrænsning i kontroller hos en serviceleverandør Klestrup partners A/S’ beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtigt efter deres særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte. Side 5 af 28 Konklusion Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i Klestrup partners A/S’ udsagn. Det er vores opfattelse, at (a) beskrivelsen af den af Klestrup partners A/S udbudte Windows-driftsplatform, således som den var udformet og implementeret i hele perioden fra 1. januar 2014 - 31. december 2014, i alle væsentlige henseender er dækkende (b) kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var hensigtsmæssigt udformet i hele perioden fra 1. januar 2014 – 31. december 2014 (c) de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået, i alle væsentlige henseender har fungeret effektivt i hele perioden fra 1. januar 2014 – 31. december 2014. Beskrivelse af test af kontroller De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultater af disse test fremgår af afsnittet Beskrivelse af kontrolmål, kontroller samt resultat af udført arbejde. Tiltænkte brugere og formål Denne erklæring og beskrivelsen af test af kontroller er udelukkende tiltænkt kunder, der har anvendt den af Klestrup partners A/S’ udbudte Windows-driftsplatform og deres revisorer, som har en tilstrækkelig forståelse til at overveje den sammen med anden information, herunder information om kunders egne kontroller, når de vurderer risiciene for væsentlige fejlinformationer i deres regnskaber. København, den 20. februar 2015 Ernst & Young Godkendt Revisionspartnerselskab Thomas Kühn statsautoriseret revisor, CISA Jesper Due Sørensen senior manager, CISA Side 6 af 28 3 Beskrivelse af generelle it-kontroller Nedenstående beskriver de generelle it-kontroller i relation til den af Kp udbudte Windows-driftsplatform. 3.1 Overblik og beskrivelse af omfattede services Kp er etableret i 2003 og har kontorer i København og Aarhus. Virksomheden leverer hosting og it-drift samt tilknyttede services, såsom systemudvikling og rådgivning som "Platform-as-a-Service" til kunder inden for en bred vifte af brancher, herunder, men ikke begrænset til: Energi og forsyning Pharma og medico Arkitekter og tegnestuer Finansielle institutioner Revisorer Webbureauer Offentlige institutioner Kp tilbyder en it-driftsplatform, der ligeledes understøtter en bred vifte af teknologier, så den kan dække de fleste kunders behov på en effektiv, sikker og hensigtsmæssig måde. For at sikre såvel en stabil drift som opretholdelse af systemers og datas fortrolighed, troværdighed og tilgængelighed har Kp med udgangspunkt i principperne for Information Technology Infrastructure Library version 3 (ITIL) og best practices tilrettelagt processer og kontroller, der modsvarer de vurderede forretningsmæssige behov. Denne rapport omfatter den af Kp udbudte Windows-driftsplatform samt de hertil knyttede services, omfattende: Driftsovervågning Håndtering af sikkerhed, herunder: o Logiske adgange o Password-sikkerhed o Overvågning o Patch management Backup Ændringshåndtering De pågældende områder er yderligere beskrevet i det følgende. Side 7 af 28 Erklæringen er herudover afgrænset af følgende: 1. De omtalte kontroller og kontrolmål omfatter kun Kp’s organisation i forbindelse med levering af itdriftsservices. Dette medfører, at Kp’s softwareudviklingsafdeling (Component) og tilhørende selskaber ikke er omfattet af nærværende erklæring. 2. Kunder og aftaler fra det med Kp fusionerede selskab IT Company A/S (herefter ITC) er en del af konsolideringen af driftsplatformene hos GlobalConnect, hvorfor disse kunder og aftaler ikke er en del af denne erklæring. Det er planlagt, at disse kunder bliver omfattet af Kp’s kontroller, procedurer og kontrolmål fra 2015, når konsolideringen er fuldført. 3.2 Beskrivelse af interne kontroller på virksomhedsniveau 3.2.1 Komponenterne i den interne kontrol Denne sektion beskriver de fem komponenter, der tilsammen udgør rammerne for den interne kontrol hos Kp. 3.2.1.1 Kontrolmiljø Kontrolmiljøet omfatter den overordnede organisering, governance, politikker og procedurer samt definerer den grundlæggende holdning i organisationen til interne kontroller. 3.2.1.2 Kontrolaktiviteter Aktiviteterne omfatter de politikker og processer, der skal sikre, at beslutninger og tiltag vedtaget af ledelsen bliver udført og forankret i organisationen. 3.2.1.3 Information og Kommunikation Komponenten indbefatter såvel formelle som uformelle og automatiserede systemer, der sikrer identifikation, indfangelse og udveksling af information, der form- og tidsmæssigt tillader, at medarbejdere i organisationen er i stand til at udføre deres arbejde på tilfredsstillende vis. 3.2.1.4 Monitorering Monitering omfatter processer, der sikrer, at kvaliteten af kontrollerne opretholdes og overholder fastsatte kvalitetsmål over tid. 3.2.1.5 Risikovurdering Metode til identificering og analyse af risici, der kan have indflydelse på organisationens mål og virke og danner basis for, hvorledes man imødekommer og håndterer disse risici. 3.2.2 Kontrolmiljø Komponenterne for Kp's interne kontrol indeholder kontroller, der kan have gennemgribende og vedvarende effekt på organisationen som helhed eller på processer, applikationer, interaktions- og transaktionsmønstre. Visse kontrolkomponenter vil relatere sig til organisationen, hvor andre vil være relaterede til specifikke processer eller applikationer. Side 8 af 28 Kontrolmiljøet er fastlagt med reference i ISO 27002-rammeværket og omfatter den overordnede organisering, governance, politikker og procedurer samt definerer den grundlæggende holdning i organisationen til interne kontroller. 3.2.2.1 Organisationens struktur Kp's it-driftsorganisation er overordnet opdelt i to hovedfunktioner: ”Advice” og ”Service”, som er samlet under en fælles ledelse og med fælles administration. Roller og ansvar for de enkelte organisatoriske enheder er klart og entydigt defineret som vist nedenfor, og medarbejdernes organisatoriske tilhørsforhold danner grundlag for tildeling af autorisationer. Direktionen Ledelse, strategi, salg og forretningsudvikling. Advice Denne afdeling udgør projektorganisationen i Kp. Advice varetager design, implementering, testdokumentation og integrationer for kunderne. Gennem analyse, brede kompetencer og mange certificeringer inden for et bredt spektrum af teknologiområder sikres, at Kp's medarbejdere kan levere stabil og driftssikre løsninger til kunderne. Service Service har ansvaret for at opretholde og varetage den daglige drift af kundernes systemer, herunder Service Desk og supportfunktionerne. Gennem overvågning af platform og services muliggøres proaktiv handling og klarlægning af mulige forbedringspunkter i kundemes it-miljøer. Administration Omfatter her som begreb/afgrænsning: Kvalitet, kontrakthåndtering og andre administrative opgaver, der er forankret som en del af afdelingen BizDev. Ud over ovenstående afdelinger og ansvarsområder har Kp afdelinger for økonomi og salg, der begge er ledet af direktionen. 3.2.2.2 Governance Bestyrelsen Bestyrelsen udstikker de overordnede rammer for virksomheden, herunder rammerne for risikostyring. Bestyrelsen mødes som minimum kvartalsvis og behandler risikostyring som fast dagsordenspunkt ved alle møder. Kp lægger vægt på, at bestyrelsen til enhver tid har en sammensætning, der sikrer, at relevante kompetencer og erfaring er repræsenteret i tilstrækkelig grad. Direktionen Direktionen består af den administrerende direktør og selskabets Chief Technology Officer (CTO), som mødes dagligt. Direktionen er overordnet ansvarlig for udarbejdelse af politikker og sikring af, at disse implementeres i organisationen, herunder at de underbygges af nødvendige procedurer og kontroller, samt at medarbejderne forstår, accepterer og efterlever såvel politikkerne som de underliggende procedurer og kontroller. De prak- Side 9 af 28 tiske opgaver i relation til implementering og understøtning kan uddelegeres til ledergruppen eller den øvrige organisation, men det overordnede ansvar forbliver i direktionen. Direktionen fastlægger ansvar og bemyndigelser for de enkelte grupper eller medarbejdere i organisationen og bestemmer godkendelseshierarkier samt regler og procedurer for rapportering, Ledergruppen Ledergruppen i forbindelse med denne erklærings afgrænsning består af repræsentanter fra hver af de funktionelle enheder: Repræsentanter for Advice: o Repræsentant for Service: o Konsulentchef Servicechef Repræsentanter for Direktionen og Administrationen: o Administrerende direktør o CTO o BizDev Chef Ledergruppen har ansvaret for at implementere de nødvendige foranstaltninger for at understøtte den strategi, der er udstukket af bestyrelsen, samt de politikker, som direktionen har vedtaget. Ledergruppen mødes minimum én gang om måneden. 3.2.2.3 Human Resources (HR) politikker og praksis HR-politikker og -praksis vedrører ansættelse, orientering, uddannelse, evaluering, rådgivning, forfremmelse og kompensering af personalet. Personalets kompetencer og integritet er væsentlige elementer for Kp's kontrolmiljø. Organisationens evne til at rekruttere og fastholde tilstrækkeligt kompetente og ansvarlige medarbejdere er høj grad afhængig af virksomhedens politikker og praksis på HR-området. Kp lægger vægt på den kontinuerlige udvikling af kompetencerne hos virksomhedens medarbejdere og har derfor et formelt uddannelsesprogram for sine medarbejdere, hvormed Kp tilbyder relevante teknologi- og procescertificeringer. Lederne identificerer uddannelsesplaner for afdelingerne. En fortegnelse over medarbejderes kompetencer og gennemførte uddannelser opretholdes for hver enkelt medarbejder. 3.2.2.4 Code of conduct Holdningerne blandt ledelse og medarbejdere er afgørende for, at processer og kontroller fungerer effektivt og efter hensigten. For at understøtte tilvejebringelsen og opretholdelsen af de ønskede værdier og holdninger har virksomheden udarbejdet en formel "Code of conduct", som bl.a. omhandler vigtigheden af, at den enkelte medarbejder til enhver tid opretholder en høj integritet og agerer i overensstemmelse med virksomhedens værdier og gældende lovgivning. Side 10 af 28 Kp's direktion og ledergruppen anerkender sit ansvar for at fremme virksomhedens værdier og skabe de ønskede holdninger blandt medarbejderne. Derudover modtager de enkelte medarbejdere ved deres tiltrædelse et eksemplar af virksomhedens "Code of Conduct". 3.2.3 Risikovurdering Risikovurdering er et kritisk punkt i Kp's interne kontrolapparat for at håndtere og løbende vurdere risici. Formålet er at identificere og klassificere de risici, der kan ramme organisationens evne til at fungere, jf. de forpligtelser, virksomheden har. Alle i ledelsen i Kp er bevidste om, at risici skal rapporteres og behandles særskilt, netop for at imødekomme og agere, jf. de rammer, der er udstukket. Der foretages en løbende vurdering og kontrol af de udfordringer, forretningen stilles over for, og disse behandles som et særskilt punkt på de månedlige ledermøder, hvor man herefter vurderer, om nye risici er opstået og dermed kræver yderligere analyse og håndtering. Såfremt en given risiko identificeres og betragtes som signifikant, bliver denne eskaleret til henholdsvis direktion og bestyrelse, og der igangsættes særskilt spor for at opdatere de relevante dokumenter og sikre mitigering i forhold til forretningen. Vurdering af risici i relation til informationssikkerhed er en integreret del af den samlede risikovurdering. 3.2.4 Monitorering Kp foretager løbende vurderinger af, om det samlede sæt af kontroller i tilstrækkeligt omfang dækker de krav, der måtte stilles fra eksterne interessenter, herunder lovmæssige krav til Kp eller Kp's kunder. 3.2.5 Information og kommunikation Information og kommunikation er en integreret del af Kp's interne kontrolsystem. Komponenten dækker over processerne, der omhandler identificering, indsamling og udveksling af information i en form og tidsramme, der er nødvendig for at styre og kontrollere virksomhedens drift. Hos Kp er information identificeret, behandlet og rapporteret af forskellige informationssystemer samt gennem samtaler med kunder, leverandører, medarbejdere og andre eksterne interessenter. 3.3 Beskrivelse af processer med tilhørende kontrolmål og -aktiviteter 3.3.1 Overordnet styring af informationssikkerhed Kp's it-politik beskriver, hvordan man opnår adgang til, tilgår og anvender Kp's systemer og data. Itpolitikken definerer de roller og forpligtelser, som relaterer sig til anvendelse af it i Kp. Som ansat i Kp er medarbejderen selv ansvarlig for til enhver tid at være bekendt med indholdet af itpolitikken. Kp tilsikrer dette ved at kommunikere rettelser og opdateringer ud i organisation pr. e-mail og på de ugentlige afdelings- og personalemøder. Ligeledes er det en del af introduktionen af nye medarbejdere at gøre medarbejderen bekendt med, hvor it-politikken findes på Kp's intranet, og at det er medarbejderens ansvar til enhver tid at være bekendt med indholdet af it-politikken. Kp har etablerede og dokumenterede arbejdsgange, der beskriver, hvordan ansatte og deres tildelte adgangsrettigheder håndteres. Side 11 af 28 Relaterede kontrolmål For overordnet styring af informationssikkerheden er der etableret kontroller, som giver en rimelig grad af sikkerhed for, at der er et defineret og godkendt it-sikkerhedsniveau, samt at it-sikkerhedsniveauet er afpasset med trusselsbilledet. 3.3.2 Overvågning af underleverandører af it-driftsservices Kp anvender følgende underleverandører af it-driftsservices som led i levering af de i rapporten beskrevne services: Interxion – fysisk sikkerhed GlobalConnect – fysisk sikkerhed Front-safe – backup Kp har ikke data placeret lokalt på kontorerne og beror sig på eksterne underleverandører af datacenterdrift til håndtering og opbevaring af alt centralt it-udstyr. Kp anmoder de eksterne leverandører om tildeling af adgang til relevant personale og adviserer leverandørerne om fratagelse af adgange i tilfælde af medarbejderes fratrædelse eller ændrede arbejdsopgaver, der ikke længere kræver adgang. Kp monitorerer de relevante leverandører ved modtagelse af revisionserklæringer fra disse leverandører og kontrollerer, at disse indeholder krav og kontroller om tilstrækkelig sikring omkring: Fysisk adgang Nødstrøm Brandsikring Klimakontrol Fugtighedsovervågning Vagtalarm Business Continuity Kontroller hos underleverandeirer er ikke omfattet af denne rapport. Relaterede kontrolmål Kontrollerne giver rimelig sikkerhed for, at it-driftsservices leveret af eksterne leverandører overvåges i relation til etablering af tilstrækkelig og dokumenteret sikkerhed. Der indhentes én gang årligt revisionserklæringer fra væsentlige underleverandører omfattende relevante kontroller, herunder fysisk sikkerhed, adgangsforhold og backup. 3.3.3 Overordnet styring af logiske adgange 3.3.3.1 Ansættelsesproces Kp har etableret formelle procedurer for ansættelse af nye medarbejdere. Side 12 af 28 Procedurerne beskriver bl.a., hvorledes lederen inden for hver af de respektive funktionelle grupper i organisationen afdækker behovet for yderligere ressourcer og forelægger formelle anmodninger om jobopslag til direktionen til godkendelse. Efter afsluttede interviews forelægger den relevante leder oplæg til Administrationen omkring godkendelse af ansættelse af udvalgt kandidat. Personer tilbudt en stilling i Kp vil være genstand for baggrundstjek i overensstemmelse med gældende love og regler før påbegyndelse af beskæftigelse. Baggrundskontrol kan bl.a. være dokumentation fra uddannelsesinstitutioner, legitimationsoplysninger, tidligere beskæftigelse og straffeattest samt andet, der kan have relevans for ansættelsen. Under introduktionsforløbet modtager den nye medarbejder en informationspakke, der indeholder en oversigt over Kp’s personalepolitikker og procedurer. Denne informationspakke omfatter: Ansættelseskontrakt Non disclosure agreement Gennemgang af medarbejderhåndbogen Code of Conduct-folder Medarbejderne medgiver i kraft af underskrift af deres ansættelseskontrakt, at de har pligt til at være bekendt med indholdet af alle relevante materialer. 3.3.3.2 Performance- og kompetencestyring Kp har en formel præstationsvurderingsproces. Ledere bliver bedt om at drøfte ydeevne, forventninger og mål med hver enkelt medarbejder mindst én gang om året. Ledere er også stærkt opfordret til at have løbende, uformelle samtaler med medarbejderne om deres præstationer i løbet af året. 3.3.3.3 Tildeling af adgang og rettigheder til ansatte Ved ansættelse af ny medarbejder igangsætter lederen for den relevante afdeling processen for nye medarbejdere ved at rette henvendelse til Administrationen. Ud fra en skabelon oprettes et kontrolskema, der indeholder alle de aktiviteter, der skal afvikles, før ansættelsen kan betragtes som endelig. Der udpeges en ansvarlig for hver aktivitet, og denne information påføres arket. Ved færdiggørelse af hver aktivitet markeres denne som udført. Eksempler på aktiviteter kan være: Indhentning og kontrol af straffeattest Udlevering af id-kort Udlevering af nøgler/adgangsbrik mv. Når alle aktiviteter er udført, arkiveres kontrolarket i medarbejderens personalemappe. Efter arbejdsgangen for ny medarbejder er igangsat, modtager Service en change herom med instrukser om, hvilke adgange og rettigheder medarbejderen skal have. Eksempelvis oprettes en ny medarbejder i Service med adgange til CRM/ITSM-systemerne, "Service postkassen", "Proces postkassen", "Monitor postkassen", "Timeregistrering" etc. Alle adgange, der tildeles, er bundet op på medarbejderens Active Directorykonto. Side 13 af 28 Når Service modtager en change på oprettelse af en ny medarbejder med dertilhørende instrukser om rettighedstildeling, kontrollerer Service, at kilden til change er en leder med korrekte beføjelser til at afgive en sådan change. Der opereres med funktionsadskillelse, således at bestillende/forespørgende, godkendende og udførende part ikke er samme person. I tilfælde af, at en medarbejder opsiger sin stilling eller bliver afskediget, igangsattes modsvarende arbejdsgang med dertilhørende kontrolark, der sikrer, at tildelte rettigheder og adgange samt udleveret hardware og andre Kp-effekter fratages den fratrædende medarbejder. 3.3.3.4 Periodisk gennemgang af brugere Kp foretager årlig kontrolgennemgang af egne brugere i Active Directory for at sikre, at der ikke forefindes aktive brugere, som burde være de-aktiveret. Når kunden underretter Kp om, at en medarbejder er fratrådt sin stilling, iværksætter Kp dertil etablerede processer, som omhandler de-aktivering af brugeren på kundens systemer. Ligeledes gennemgås alle brugere på alle kunders systemer – dog begrænset til de systemer, der er omfattet af Kp’s aftale med kunden – med faste og aftalte mellemrum, hvorved kunden har mulighed for at validere, at det kun er de rette brugere, der har adgang og er aktive. 3.3.3.5 Password- og auditpolitikker Kp har internt implementeret password-politik, opsamling af logs og auditkontrol til at sikre, at brugeres anvendelse af privilegerede adgange og tildelte rettigheder på systemerne sker i henhold til fastlagte procedurer og sikkerhedspolitikker. Logningsniveau er defineret i it-politikken. Kp tilstræber, at kunders it-systemer er tilstrækkeligt beskyttet. Derfor rådgiver Kp altid kunden omkring anvendelse af password-politikker og konfiguration heraf, herunder gældende ”best practices” for brugen af stærke passwords. Ydermere får kunden minimum årligt den gældende opsætning af password samt login audit policy med en opfordring til en samtale om, hvorvidt de gældende policies stadig lever op til de behov og sikkerhedskrav, der stilles til kundens forretning. 3.3.3.6 Tildeling af fjernadgang Ansatte i Kp kan tildeles fjernadgang, da det ofte forekommer, at medarbejdere skal foretage arbejde, der skal udføres fra en ekstern lokation. Til at opnå fjernadgang anvendes enten et program, der sikrer, at klienten er godkendt til at foretage fjernadgang, eller en personlig "USB token". 3.3.3.7 Tildeling af administratorrettigheder Ansatte i Kp tildeles administratorrettigheder (local admin) over den arbejdsstation, de får stillet til rådighed af Kp. Dette skyldes naturen af det arbejde, brugere i Kp udfører, og de anvendte værktøjer. Administratorrettigheder til Active Directory-domænet (domain admin) tildeles kun udvalgte medarbejdere. Side 14 af 28 I forlængelse af ovenstående: Local admin: Administratorrettigheder er tildelt således, at brugeren har fuld kontrol over arbejdsstationen. Domain admin: Administratorrettigheder er tildelt således, at brugeren har fuld kontrol over alle maskiner i domænet, herunder servere. Domain admin har rettigheder og privilegier, der er begrænset til de(t) (sub)domæne, de er tildelt for. 3.3.3.8 Sikkerhed og overvågning på netværket Kp har sikret de interne netværk ved hjælp af fysiske firewall-appliances, som har til formål at sikre netværket imod uautoriseret indtrængen og andre uønskede elementer som fx internetvira og ”orme”. Kp anvender forskellige netværk til forskellige formål: Gæstenetværk: Separeret VLAN, som gæster i Kp anvender, når de er på besøg på kontorerne. Gæste-VLAN er beskyttet ved tidsbegrænset passwords. Admin-netværk: Det primære netværk, som ansatte i Kp er tilkoblet. Kp's egne servere er placeret i et sikret datacenter på en ekstern lokation. Kommunikation mellem Kp og datacenteret foregår via krypterede netværkstunneller. Kp har implementeret centralt administreret antivirus- og malware-softwareløsning. Softwaren er installeret på samtlige Windows-baserede enheder på netværket, hvor de ansatte har administrative privilegier, og hvor kunden ikke har fravalgt implementering af dette af hensyn til kundens systemer. Der er fra administrationsserveren etableret baselines, der bestemmer definitionsopdaterings- og scanningsintervaller samt opsamling af log fra klienterne på netværket. For at sikre og lukke softwarebaserede sårbarheder på systemerne har Kp etableret processer for opdatering af servere, således at styresystem (OS) samt programmer opdateres løbende med faste intervaller og på en kontrolleret metode. Dette sikrer, at der ikke opstår uhensigtsmæssigheder, fx i form af kompatibilitetsproblemer som følge af en opdatering. Alle ændringer i opsætning af netværk eller sikkerhedsforanstaltninger skal testes, godkendes og dokumenteres, jf. den alment gældende change management-proces. 3.3.3.9 Patch Management Som del af den driftsplatform, som udbydes af Kp, er servere og services omfattet af etablerede processer og kontroller omkring planlagt opdatering af OS og tredjepartsprogrammer. Servere gennemgås månedligt for opdateringer til både OS og tredjepartsprogrammer eller efter nærmere aftale med den pågældende kunde. Tredjepartsprogrammer inkluderer, men er ikke begrænset til: Adobe Flash Player, Adobe Reader og Java JRE. Større programrettelsespakker (Service Packs) er underlagt change management-procedurer samt test og endelig godkendelse af kunden, inden disse installeres. Side 15 af 28 Relaterede kontrolmål Der er etableret kontroller, som giver rimelig sikkerhed for, at adgang til information og infrastruktur er begrænset til korrekt autoriserede personer og programmer. 3.3.4 Ændringshåndtering Kp har etableret en formel change management-proces. Processen sikrer gennemsigtighed og sporbarhed i forhold til udførte ændringer på driftsplatformen og de af Kp's kunders systemer, som Kp har driftsansvaret for. En overordnet beskrivelse af denne proces følger nedenfor. Generelt er der to kilder til Request for Change (RFC): 1. RFC oprettes af Kp-konsulent afledt som følge af opgave i forbindelse med support eller fejlretning på kunders systemer eller på driftsplatformen, herunder notifikationer (Events) fra Kp's overvågningsværktøj: ”Klestrup CloudAlerter”. 2. Bemyndigede personer hos kunden indgiver RFC med ønske om ændring af funktionalitet eller konfiguration af kundens systemer, for hvilke Kp har driftsansvaret. Processen dikterer, at forespørgende, godkendende og udførende part ikke må være samme person, således at krav til funktionsadskillelse overholdes. Når RFC er godkendt, modtager udførende part notifikation herom, hvorefter arbejdet påbegyndes. Når arbejdet er udført, foretages en test af det udførte. Omfanget af testen skaleres efter typen og kompleksiteten af ændringen. Når der er udført test af ændringen med positivt resultat i henhold til testkrav, kan denne godkendes. Når arbejdet er udført, og dokumentation er udført på tilfredsstillende vis, lukkes RFC til fakturering og administrativ behandling. Alle ændringer på driftsmiljøet dokumenteres i relevante systemer. Ændringer i logiske rettigheder registreres i service management-systemet (CRM/ITSM). Konfigurationsændringer dokumenteres i Configuration Management Databasen (CMDB). Change management-processen sikrer derved, at al driftsdokumentation kontinuerligt holdes opdateret. Relaterede kontrolmål Kontrollerne giver rimelig sikkerhed for, at ændringer af såvel eksisterende som nye løsninger er behørigt autoriseret, dokumenteret, testet og godkendt. 3.3.5 Sikring af informationsrelaterede aktiver Som led i at sikre kontinuert tilgængelighed, integritet og fortrolighed omkring informationsrelaterede aktiver har Kp implementeret backup-processer for håndtering af backup af data. Kp benytter software designet til de virtualiseringsplatforme, Kp anvender til at tage backup af servere og de data, der forefindes herpå. Denne software transmitterer via krypterede linjer data til en ekstern lokation og opbevares krypteret. Der er etableret formaliserede og dokumenterede processer for, hvordan den anvendte Side 16 af 28 software installeres. Der foretages daglige kontroller for, om alle backupjobs er gennemført korrekt. Ligeledes er der etableret procedurer for igangsætning af arbejdsgange i tilfælde af fejl på backupjobs. For at sikre valide data i backup foretages periodisk genetablering, som efterprøves for validitet. Relaterede kontrolmål Kontrollerne giver rimelig sikkerhed for, at processene angående backup og gendannelse af data er tilfredsstillende og i overensstemmelse med kunders SLA og Kp’s kontraktuelle forpligtelser i den forbindelse. 3.3.6 Driftsovervågning og alarmering Som en del af den driftsplatform, Kp udbyder, tilbyder Kp serverovervågning gennem produktet "Klestrup CloudAlerter", som er med til at sikre, at nedbrud, fejl og driftsforstyrrelser for både servere og services bliver opdaget i tide, hvilket giver den bedste mulighed for at reagere og afhjælpe fejl hurtigt og smidigt. 3.3.6.1 Hændelses- og problemhåndtering For at sikre, at alle incidents bliver behandlet i overensstemmelse med de SLA, Kp har indgået med Kp's kunder, har Kp etableret formaliserede procedurer for, hvordan incidents behandles. Incidents vil blive modtaget enten via telefon, Kp Serviceportal eller e-mail. Service Desk/1st line support registrerer sagen i ITSM og klassificerer henvendelsen, jf. gældende SLA og problemets art. Relaterede kontrolmål Kontrollerne giver rimelig sikkerhed for, at problemer, der er opstået i driftsmiljøet, bliver registreret, klassificeret, undersøgt, overvåget og løst. 3.3.7 Asset management Kp har registreret alle væsentlige it-aktiver i en række systemer: 1. Kp admin Kp admin er et centralt administrativt værktøj for og håndterer server-/switch-/netværksinstanser inkl. IP-konfiguration m.m. 2. ITSM-systemet ITSM er Kp’s service management-platform, der indeholder oplysninger om SLA, Configuration Items (CI) og CMDB-data til den daglige driftsafvikling. 3. SourceSafe SourceSafe er Kp’s centrale software-repository. Alle de softwareløsninger, Kp vedligeholder, har udviklet og løbende vedligeholder, er alle gemt på denne platform. Dette er inkl. løbende udviklingshistorik m.m. Side 17 af 28 4. SharePoint SharePoint-platformen hos Kp er delt op i to dele: en projektdel og en generel del. Den generelle platform er inddelt i en række kundeområder og indeholder således den dokumentation, der måtte udestå, når kildekode og IP-konfiguration er håndteret. 5. Inventar- og anlægskartotek (C5/Navision) Yderligere it-aktiver og eventuelle rettigheder m.m. er registeret i Kp’s ERP-system: C5/Navision i henholdsvis balancen og lagermodulet. Relaterede kontrolmål Kontrollerne giver rimelig sikkerhed for, at alle informationsrelaterede aktiver er identificeret, at disse er blevet klassificeret, og at en systemejer med ansvar for aktiverne er udpeget. Kontroller giver også rimelig sikkerhed for, at retningslinjer for accepteret brug af alle informationsrelaterede aktiver foreligger og er tilgængelige for relevant personale. Side 18 af 28 4 Beskrivelse af kontrolmål, nøglekontroller samt resultat af udført arbejde I dette afsnit beskrives de af Kp definerede kontrolmål og de nøglekontroller, som sikrer opnåelse af de enkelte kontrolmål. Herudover beskrives de af EY udførte faktiske tests af Kp’s kontroller samt resultaterne af de udførte test. 4.1 Udførte tests Vores test omfatter udførelse af handlinger for at opnå bevis for oplysningerne i Kp’s beskrivelse af deres system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger af vores vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er dækkende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige, for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. 1. Overordnet styring af informationssikkerhed Kontrolmål: Der er etableret kontroller, som giver en rimelig grad af sikkerhed for, at der er et defineret og godkendt it-sikkerhedsniveau, samt at sikkerhedsniveauet er baseret på selskabets risikovurderinger. Kontrol Kontroller beskrevet af Tests udført af EY Resultat af udførte tests nr. Klestrup partners A/S 1.1 Der er udarbejdet en it- Vi har indhentet den gæl- Ingen relevante bemærkninger. sikkerhedspolitik godkendt dende it-politik og verifice- af selskabets ledelse. ret, at denne er godkendt af selskabets ledelse. 1.2 Der foretages periodisk og Vi har ved forespørgsler og mindst én gang om året inspektion af den seneste opdatering af risikovurde- risikovurdering konstateret, ringen i relation til forret- at denne er opdateret in- ningens mål. den for erklæringsperioden. Side 19 af 28 Ingen relevante bemærkninger. 2. Overvågning af leverandører Kontrolmål: Kontrollerne giver rimelig sikkerhed for, at services leveret af eksterne leverandører overvåges i relation til etablering af tilstrækkelig og dokumenteret sikkerhed. Kontrol Kontroller beskrevet af Tests udført af EY Resultat af udførte tests nr. Klestrup partners A/S 2.1 Der indhentes én gang år- Vi har via inspektion af re- Vi har konstateret, at Kp ved re- ligt revisionserklæringer fra visionserklæringer konsta- view af erklæringen af Front-safe væsentlige underleverandø- teret, at Kp har indhentet har konstateret, at erklæringspe- rer omfattende relevante ISAE 3402 type 2- rioden ikke dækker hele 2014, og kontroller, herunder fysisk erklæringer fra underleve- Kp derfor har rettet henvendelse sikkerhed, adgangsforhold randørerne Front-safe, In- til Front-safe for at få bekræftet, og backup. terxion og GlobalConnect, at der ikke er væsentlige forhold, samt at disse indeholder fy- som vil influere på driften. sisk sikkerhed, adgangsfor- Ingen yderligere relevante be- hold og backup. mærkninger. Side 20 af 28 3. Overordnet styring af logiske adgange Kontrolmål: Der er etableret kontroller, som giver rimelig sikkerhed for, at adgang til information og infrastruktur er begrænset til korrekt autoriserede personer og programmer. Kontrol Kontroller beskrevet af Tests udført af EY Resultat af udførte tests nr. Klestrup partners A/S 3.1 Kp har etableret regler, der Vi har for en stikprøve af Ingen relevante bemærkninger. sikrer, at brugeres rettighe- tiltrædelser verificeret, at der godkendes. de tildelte rettigheder er godkendt i henhold til de etablerede retningslinjer. 3.2 Fratrådte brugere inaktive- Vi har for en stikprøve af res i systemerne. fratrådte medarbejdere fo- Ingen relevante bemærkninger. retaget en verificering af, at de pågældende medarbejderes konti blev inaktiveret. 3.3 Kp har etableret et identifi- Vi har for en stikprøve af kationssystem, som sikrer servere/domæner verifice- individuel sporbarhed. ret, at der anvendes per- Ingen relevante bemærkninger. sonlige administratorkonti, ligesom der er etableret en audit-log, som sikrer individuel sporbarhed. 3.4 Kp har etableret politikker Vi har for en stikprøve af Vi har for enkelte servere konsta- for adgangskoder, herunder servere/domæner verifice- teret, at disse afviger fra de ved- deres kompleksitet, længde ret, at de definerede krav til tagne baslines, uden at der fore- og periodiske ændringer adgangskoder er implemen- ligger aftale med kunden herom. heraf. teret på disse, eller at der Vi har konstateret følgende afvi- er dokumentation for, at gelser: afvigelser herfra er accep- -Krav til længde af kodeord var teret af kunden. sat til 6 karakterer, hvor baseline foreskriver 8 karakterer, ligesom kompleksitetskrav for passwords på de pågældende servere er fravalgt, hvor baseline foreskriver, dette skal være enabled. Dette var gældende for 3 ud af 25 servere. Side 21 af 28 -Krav til minimumsalderen af passwords var sat til 0 dage hvor baseline foreskriver 1 dag. Dette var gældende for 1 server. Ingen yderligere relevante bemærkninger. 3.5 Netværket er sikret ved Vi har gennemgået etable- brug af firewalls. rede firewall, herunder Ingen relevante bemærkninger. gennemgået de væsentligste parametre i opsætningen heraf. 3.6 It-aktiver er beskyttet mod Vi har for en stikprøve af virus og lignende og opda- servere verificeret, at disse teres løbende med kritiske er beskyttet mod virus, og sikkerhedsrettelser. at serverne opdateres med Ingen relevante bemærkninger. kritiske sikkerhedsrettelser. 3.7 3.8 Der foretages én gang år- Vi har gennemgået doku- ligt en gennemgang af alle mentation for den årlige Kp-brugeres adgange til gennemgang af brugerad- Windows-platformen. gange. Administratoradgange er Vi har modtaget og gen- begrænset til personer med nemgået Kp’s dokumentati- et arbejdsbetinget behov on for review af administra- herfor. toradgangen og verificeret, at brugere med administratoradgange er begrænset til personer med et arbejdsbetinget behov herfor. Side 22 af 28 Ingen relevante bemærkninger. Ingen relevante bemærkninger. 4. Change management Kontrolmål: Kontrollerne giver rimelig sikkerhed for, at ændringer af såvel eksisterende løsninger som nye løsninger er behørigt autoriseret, dokumenteret, testet og godkendt. Kontrol Kontroller beskrevet af Tests udført af EY Resultat af udførte tests nr. Klestrup partners A/S 4.1 Kp har etableret en formel Vi har inspiceret change Ingen relevante bemærkninger. change management- management-processen og proces, der sikrer test og påset, hvorvidt denne er godkendelse af ændringer. opdateret i erklæringsperioden. 4.2 4.3 Ændringer dokumenteres, Vi har for en stikprøve af således at systemdokumen- changes påset, at system- tation er opdateret og til- dokumentationen er opda- gængelig. teret og tilgængelig. For de områder, hvor det er Vi har for én kunde med af- relevant eller aftalt med tale om særskilt testmiljø kunden, er der etableret påset, at dette er etableret testmiljøer, der er adskilt adskilt fra driftsmiljøer. Der fra driftsmiljøer. er ikke flere kunder med af- Ingen relevante bemærkninger. Ingen relevante bemærkninger. tale om særskilt testmiljø. 4.4 Der foreligger passende Vi har for en stikprøve af driftsdokumentation i Kp’s servere påset, at indstillin- Admin-systemet, herunder ger på disse er i overens- styresystemer, patch levels, stemmelse med de i Kp’s ram mv. Admin-systemet registrerede oplysninger. Side 23 af 28 Ingen relevante bemærkninger. 5. Backup og restore Kontrolmål: Kontrollerne giver rimelig sikkerhed for, at processerne angående backup og gendannelse af data er tilfredsstillende og i overensstemmelse med kunders SLA-aftaler. Kontrol Kontroller beskrevet af Tests udført af EY Resultat af udførte tests nr. Klestrup partners A/S 5.1 Backups varetages af Vi har for en stikprøve af Ingen relevante bemærkninger. Front-safe A/S. Kp overvå- dage gennemgået doku- ger dagligt de af Front-safe mentation for, at Kp foreta- A/S foretagne backups ved ger overvågning af den af at gennemgå backup-logs Front-safe A/S foretagne fra Front-safe A/S. backup. Vi har herudover konstateret, at der foretages opfølgning på fejlede backups. 5.2 5.3 Sikkerhedskopier afprøves Vi har stikprøvevis gen- Ingen relevante bemærkninger. kvartalsvis med henblik på nemgået dokumentation for at opnå sikkerhed for, at de af Kp udførte tests af servere/filer kan retableres. sikkerhedskopier. Kp indhenter én gang årligt Der er indhentet en erklæ- Der var ingen væsentlige be- en erklæring fra Front-safe ring fra Front-safe A/S, som mærkninger til erklæringen fra A/S for at sikre, at der er dækker perioden 1. maj Front-safe A/S, dækkende perio- etableret kontroller hos un- 2013 til 30. april 2014. den 1. maj 2013 til 30. april 2014. derleverandøren vedrøren- Det har ikke været muligt Dog bemærkes, at der ikke er de passende opbevaring af for Kp at indhente erklæ- modtaget en erklæring fra Front- sikkerhedskopier. ring fra Front-safe A/S efter safe A/S for perioden 1. maj 2014 denne dato. - 18. februar 2015. Ledelsen har således ikke haft mulighed for at vurdere, om sikkerhedskopier opbevares betryggende i denne periode. Kp har som en kompenserende handling forespurgt hos Front-safe A/S, hvorvidt der er indtruffet relevante begivenheder fra erklæringsperioden til ultimo 2014 og modtaget svar herpå fra Front- Side 24 af 28 safe A/S. Kp kan ud fra svaret modtaget fra Front-safe A/S konkludere, at der ikke har været relevante begivenheder i den pågældende periode. Side 25 af 28 6. Driftsmonitorering, incident og problem management Kontrolmål: Kontrollerne giver rimelig sikkerhed for, at problemer der er opstået i driftsmiljøet, bliver registreret, klassificeret, undersøgt, overvåget og løst. Kontrol Kontroller beskrevet af Tests udført af EY Resultat af udførte tests nr. Klestrup partners A/S 6.1 Der er overvågnings- Vi har påset, at der findes Ingen relevante bemærkninger. systemer til løbende moni- overvågningssystemer til torering og serverdrift. løbende monitorering og serverdrift, og at der findes passende procedurer omkring driftsmonitorering. 6.2 Alle incidents logges og føl- Vi har gennemgået proce- ges rettidigt op afhængig af durer for håndtering af in- hændelsernes alvor. cidents samt eskalering og rettidig løsning af disse. Vi har for en stikprøve af incidents testet, at der følges rettidigt op på disse, og at processen overholdes. Side 26 af 28 Ingen relevante bemærkninger. 7. Registrering af informationsrelaterede aktiver Kontrolmål: Kontrollerne giver rimelig sikkerhed for, at alle informationsrelaterede aktiver er identificeret, at disse er blevet klassificeret, og at en systemejer med ansvar for aktiverne er udpeget. Kontroller giver også rimelig sikkerhed for, at retningslinjer for accepteret brug af alle informationsrelaterede aktiver foreligger og er tilgængelig for relevant personale. Kontrol Kontroller beskrevet af Tests udført af EY Resultat af udførte tests nr. Klestrup partners A/S 7.1 Alle informationsrelaterede Vi har konstateret, at der er Ingen relevante bemærkninger. aktiver er identificeret, etableret en CMDB- klassificeret, ansvarlig ejer database, som indeholder er udpeget. dokumentation af opsætning af servere, DNS, firewalls mv. Vi har for en stikprøve af servere påset, at der er udpeget en dataejer, og at disse er korrekt registreret CMDB-databasen. Side 27 af 28 4.2 Komplementære kontroller hos brugerorganisationer For at opnå de ovenstående specificerede kontrolmål skal følgende kontroller være etableret og håndteret korrekt af brugerorganisationerne: Administration, herunder oprettelse, nedlæggelse og ændring af rettigheder for kundens egne brugere. Valg af sikkerhedsniveau på servere, hvor man afviger fra Kp’s standard, er sikkerhedsmæssigt tilstrækkeligt for brugerorganisationen. Rapportering af incidents til Kp. Større programrettelsespakker (Service Packs) er underlagt endelig godkendelse af kunden. Ovennævnte kontroller er således ikke omfattet af denne rapport. Side 28 af 28
© Copyright 2024