1. No category

Klestrup partners A/S
ISAE 3402 type 2-erklæring
Generelle it-kontroller i tilknytning til drift af
Windows-systemer
for perioden 1. januar 2014 - 31. december 2014
Side 1 af 28
Indhold
1 Ledelsens udsagn ...........................................................................................................................3 2 Revisionserklæring .........................................................................................................................5 3 Beskrivelse af generelle it-kontroller .................................................................................................7 3.1 Overblik og beskrivelse af omfattede services ...........................................................................7 3.2 Beskrivelse af interne kontroller på virksomhedsniveau ..............................................................8 3.2.1 Komponenterne i den interne kontrol ....................................................................................8 3.2.2 Kontrolmiljø ........................................................................................................................8 3.2.3 Risikovurdering ................................................................................................................. 11 3.2.4 Monitorering ..................................................................................................................... 11 3.2.5 Information og kommunikation .......................................................................................... 11 3.3 4 Beskrivelse af processer med tilhørende kontrolmål og -aktiviteter ............................................ 11 3.3.1 Overordnet styring af informationssikkerhed........................................................................ 11 3.3.2 Overvågning af underleverandører af it-driftsservices ........................................................... 12 3.3.3 Overordnet styring af logiske adgange ................................................................................ 12 3.3.4 Ændringshåndtering .......................................................................................................... 16 3.3.5 Sikring af informationsrelaterede aktiver ............................................................................. 16 3.3.6 Driftsovervågning og alarmering ......................................................................................... 17 3.3.7 Asset management ........................................................................................................... 17 Beskrivelse af kontrolmål, nøglekontroller samt resultat af udført arbejde .......................................... 19 4.1 Udførte tests ........................................................................................................................ 19 4.2 Komplementære kontroller hos brugerorganisationer ............................................................... 28 Side 2 af 28
1 Ledelsens udsagn
Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt den af Klestrup partners A/S
(herefter Kp) udbudte driftsplatform baseret på Windows-teknologi. Beskrivelsen er tiltænkt modtagere, som
har en tilstrækkelig forståelse til at vurdere beskrivelsen sammen med anden information, herunder information om kontroller, som kunderne selv har anvendt ved vurdering af risiciene for væsentlig fejlinformation i
kundernes regnskaber.
Kp har i perioden anvendt Front-safe A/S, Interxion A/S og GlobalConnect A/S som underleverandører af
backup og fysisk sikkerhed. Beskrivelsen inkluderer udelukkende kontroller og kontrolmål for processer og
kontroller, som håndteres af Kp, og indeholder således ikke kontroller og kontrolmål, som vedrører kontroller
og processer, der håndteres af de omtalte underleverandører.
Kp bekræfter, at:
1. Den medfølgende beskrivelse giver en dækkende beskrivelse af den af Kp udbudte driftsplatform for
Windows i hele perioden fra 1. januar 2014 til 31. december 2014. Kriterierne for dette udsagn er,
at den medfølgende beskrivelse:
a) redegør for, hvordan systemet var udformet og implementeret, herunder redegør for:
I. de typer af ydelser, der er leveret, herunder behandlede grupper af transaktioner,
når det er relevant
II. hvordan systemet behandlede andre betydelige begivenheder og forhold end transaktioner
III. processen, der blev anvendt til at udarbejde rapporter til kunder
IV. relevante kontrolmål og kontroller udformet til at nå disse mål
V. kontroller, som vi med henvisning til systemets udformning har forudsat ville være
implementeret af brugervirksomheder, og som, hvis det er nødvendigt for at nå de
kontrolmål, der er anført i beskrivelsen, er identificeret i beskrivelsen sammen med
de specifikke kontrolmål, som vi ikke selv kan nå
VI. andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem
(herunder de tilknyttede forretningsgange), kommunikation, kontrolaktiviteter og
overvågningskontroller, som har været relevante for behandlingen og rapporteringen af kunders transaktioner.
b) indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i
perioden fra 1. januar 2014 til 31. december 2014
c) ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne
system under hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige
behov hos en bred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert
Side 3 af 28
aspekt ved systemet, som den enkelte kunde måtte anse for vigtigt efter deres særlige forhold.
2. De kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæssigt udformet og fungerede effektivt i hele perioden fra 1. januar 2014 til 31. december
2014. Kriterierne for dette udsagn var, at:
a) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret
b) de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for,
at de pågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål
c) kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført af personer med passende kompetence og beføjelse i hele perioden fra 1. januar 2014
til 31. december 2014.
København, den 20. februar 2015
Klestrup partners A/S
Jeppe Andersen
Direktør, CEO
Side 4 af 28
2 Revisionserklæring
Til: Klestrup partners A/S
Omfang
Vi har fået som opgave at afgive erklæring om Klestrup partners A/S’ beskrivelse af den af Klestrup partners A/S udbudte Windows-driftsplatform i hele perioden fra 1. januar 2014 til 31. december 2014 (beskrivelsen) og om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, som er anført i beskrivelsen.
Klestrup partners A/S anvender Front-safe A/S, Interxion A/S og GlobalConnect A/S som underleverandør af backup
og fysisk sikkerhed. Beskrivelsen inkluderer udelukkende kontroller og kontrolmål for processer og kontroller, som
håndteres af Klestrup partners A/S, og indeholder således ikke kontroller og kontrolmål, som vedrører kontroller og
processer, der håndteres af Front-safe A/S, Interxion A/S og GlobalConnect A/S.
Klestrup partners A/S’ ansvar
Klestrup partners A/S er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udsagn, herunder fuldstændigheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret, for leveringen af de ydelser, beskrivelsen omfatter, for at anføre kontrolmålene samt for udformningen, implementeringen og effektiviteten af kontroller
for at nå de anførte kontrolmål.
Serviceleverandørens revisors ansvar
Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om Klestrup partners A/S’ beskrivelse samt
om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, der er anført i denne beskrivelse. Vi
har udført vores arbejde i overensstemmelse med ISAE 3402, Erklæringer med sikkerhed om kontroller hos en serviceleverandør, som er udstedt af IAASB, og yderligere krav ifølge dansk revisorlovgivning. Denne standard kræver, at
vi overholder etiske krav samt planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i alle væsentlige henseender er dækkende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt udformet og fungerer effektivt.
En erklæringsopgave med sikkerhed om at afgive erklæring om beskrivelsen, udformningen og funktionaliteten af kontroller hos en serviceleverandør omfatter udførelse af handlinger for at opnå bevis for oplysningerne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. De valgte handlinger afhænger
af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke er dækkende,
og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test
af funktionaliteten af sådanne kontroller, som vi anser for nødvendige for at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsopgave med sikkerhed af denne type omfatter endvidere
vurdering af den samlede præsentation af beskrivelsen, hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandøren har specificeret og beskrevet.
Det er vores opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at danne grundlag for vores konklusion.
Begrænsning i kontroller hos en serviceleverandør
Klestrup partners A/S’ beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kunder og
deres revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkelt kunde måtte anse for vigtigt efter deres særlige forhold. Endvidere vil kontroller hos en serviceleverandør som følge af deres art muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner.
Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for,
at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte.
Side 5 af 28
Konklusion
Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. Kriterierne, vi har anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet i Klestrup partners A/S’ udsagn. Det er vores opfattelse, at
(a)
beskrivelsen af den af Klestrup partners A/S udbudte Windows-driftsplatform, således som den var udformet
og implementeret i hele perioden fra 1. januar 2014 - 31. december 2014, i alle væsentlige henseender er
dækkende
(b)
kontrollerne, som knytter sig til de kontrolmål, der er anført i beskrivelsen, i alle væsentlige henseender var
hensigtsmæssigt udformet i hele perioden fra 1. januar 2014 – 31. december 2014
(c)
de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, at kontrolmålene i beskrivelsen blev nået, i alle væsentlige henseender har fungeret effektivt i hele perioden fra
1. januar 2014 – 31. december 2014.
Beskrivelse af test af kontroller
De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultater af disse test fremgår af
afsnittet Beskrivelse af kontrolmål, kontroller samt resultat af udført arbejde.
Tiltænkte brugere og formål
Denne erklæring og beskrivelsen af test af kontroller er udelukkende tiltænkt kunder, der har anvendt den af Klestrup
partners A/S’ udbudte Windows-driftsplatform og deres revisorer, som har en tilstrækkelig forståelse til at overveje
den sammen med anden information, herunder information om kunders egne kontroller, når de vurderer risiciene for
væsentlige fejlinformationer i deres regnskaber.
København, den 20. februar 2015
Ernst & Young
Godkendt Revisionspartnerselskab
Thomas Kühn
statsautoriseret revisor, CISA
Jesper Due Sørensen
senior manager, CISA
Side 6 af 28
3 Beskrivelse af generelle it-kontroller
Nedenstående beskriver de generelle it-kontroller i relation til den af Kp udbudte Windows-driftsplatform.
3.1 Overblik og beskrivelse af omfattede services
Kp er etableret i 2003 og har kontorer i København og Aarhus.
Virksomheden leverer hosting og it-drift samt tilknyttede services, såsom systemudvikling og rådgivning som
"Platform-as-a-Service" til kunder inden for en bred vifte af brancher, herunder, men ikke begrænset til:

Energi og forsyning

Pharma og medico

Arkitekter og tegnestuer

Finansielle institutioner

Revisorer

Webbureauer

Offentlige institutioner
Kp tilbyder en it-driftsplatform, der ligeledes understøtter en bred vifte af teknologier, så den kan dække de
fleste kunders behov på en effektiv, sikker og hensigtsmæssig måde.
For at sikre såvel en stabil drift som opretholdelse af systemers og datas fortrolighed, troværdighed og tilgængelighed har Kp med udgangspunkt i principperne for Information Technology Infrastructure Library
version 3 (ITIL) og best practices tilrettelagt processer og kontroller, der modsvarer de vurderede forretningsmæssige behov.
Denne rapport omfatter den af Kp udbudte Windows-driftsplatform samt de hertil knyttede services, omfattende:

Driftsovervågning

Håndtering af sikkerhed, herunder:
o
Logiske adgange
o
Password-sikkerhed
o
Overvågning
o
Patch management

Backup

Ændringshåndtering
De pågældende områder er yderligere beskrevet i det følgende.
Side 7 af 28
Erklæringen er herudover afgrænset af følgende:
1. De omtalte kontroller og kontrolmål omfatter kun Kp’s organisation i forbindelse med levering af itdriftsservices. Dette medfører, at Kp’s softwareudviklingsafdeling (Component) og tilhørende selskaber ikke er omfattet af nærværende erklæring.
2. Kunder og aftaler fra det med Kp fusionerede selskab IT Company A/S (herefter ITC) er en del af
konsolideringen af driftsplatformene hos GlobalConnect, hvorfor disse kunder og aftaler ikke er en
del af denne erklæring. Det er planlagt, at disse kunder bliver omfattet af Kp’s kontroller, procedurer
og kontrolmål fra 2015, når konsolideringen er fuldført.
3.2 Beskrivelse af interne kontroller på virksomhedsniveau
3.2.1 Komponenterne i den interne kontrol
Denne sektion beskriver de fem komponenter, der tilsammen udgør rammerne for den interne kontrol hos
Kp.
3.2.1.1
Kontrolmiljø
Kontrolmiljøet omfatter den overordnede organisering, governance, politikker og procedurer samt definerer
den grundlæggende holdning i organisationen til interne kontroller.
3.2.1.2
Kontrolaktiviteter
Aktiviteterne omfatter de politikker og processer, der skal sikre, at beslutninger og tiltag vedtaget af ledelsen
bliver udført og forankret i organisationen.
3.2.1.3
Information og Kommunikation
Komponenten indbefatter såvel formelle som uformelle og automatiserede systemer, der sikrer identifikation,
indfangelse og udveksling af information, der form- og tidsmæssigt tillader, at medarbejdere i organisationen er i stand til at udføre deres arbejde på tilfredsstillende vis.
3.2.1.4
Monitorering
Monitering omfatter processer, der sikrer, at kvaliteten af kontrollerne opretholdes og overholder fastsatte
kvalitetsmål over tid.
3.2.1.5
Risikovurdering
Metode til identificering og analyse af risici, der kan have indflydelse på organisationens mål og virke og
danner basis for, hvorledes man imødekommer og håndterer disse risici.
3.2.2 Kontrolmiljø
Komponenterne for Kp's interne kontrol indeholder kontroller, der kan have gennemgribende og vedvarende
effekt på organisationen som helhed eller på processer, applikationer, interaktions- og transaktionsmønstre.
Visse kontrolkomponenter vil relatere sig til organisationen, hvor andre vil være relaterede til specifikke processer eller applikationer.
Side 8 af 28
Kontrolmiljøet er fastlagt med reference i ISO 27002-rammeværket og omfatter den overordnede organisering, governance, politikker og procedurer samt definerer den grundlæggende holdning i organisationen til
interne kontroller.
3.2.2.1
Organisationens struktur
Kp's it-driftsorganisation er overordnet opdelt i to hovedfunktioner: ”Advice” og ”Service”, som er samlet under en fælles ledelse og med fælles administration. Roller og ansvar for de enkelte organisatoriske enheder
er klart og entydigt defineret som vist nedenfor, og medarbejdernes organisatoriske tilhørsforhold danner
grundlag for tildeling af autorisationer.
Direktionen
Ledelse, strategi, salg og forretningsudvikling.
Advice
Denne afdeling udgør projektorganisationen i Kp.
Advice varetager design, implementering, testdokumentation og integrationer for kunderne. Gennem analyse, brede kompetencer og mange certificeringer inden for et bredt
spektrum af teknologiområder sikres, at Kp's medarbejdere kan levere stabil og driftssikre
løsninger til kunderne.
Service
Service har ansvaret for at opretholde og varetage den daglige drift af kundernes systemer, herunder Service Desk og supportfunktionerne.
Gennem overvågning af platform og services muliggøres proaktiv handling og klarlægning af mulige forbedringspunkter i kundemes it-miljøer.
Administration
Omfatter her som begreb/afgrænsning: Kvalitet, kontrakthåndtering og andre administrative opgaver, der er forankret som en del af afdelingen BizDev.
Ud over ovenstående afdelinger og ansvarsområder har Kp afdelinger for økonomi og salg, der begge er ledet af direktionen.
3.2.2.2
Governance
Bestyrelsen
Bestyrelsen udstikker de overordnede rammer for virksomheden, herunder rammerne for risikostyring.
Bestyrelsen mødes som minimum kvartalsvis og behandler risikostyring som fast dagsordenspunkt ved alle
møder.
Kp lægger vægt på, at bestyrelsen til enhver tid har en sammensætning, der sikrer, at relevante kompetencer og erfaring er repræsenteret i tilstrækkelig grad.
Direktionen
Direktionen består af den administrerende direktør og selskabets Chief Technology Officer (CTO), som mødes dagligt.
Direktionen er overordnet ansvarlig for udarbejdelse af politikker og sikring af, at disse implementeres i organisationen, herunder at de underbygges af nødvendige procedurer og kontroller, samt at medarbejderne
forstår, accepterer og efterlever såvel politikkerne som de underliggende procedurer og kontroller. De prak-
Side 9 af 28
tiske opgaver i relation til implementering og understøtning kan uddelegeres til ledergruppen eller den øvrige
organisation, men det overordnede ansvar forbliver i direktionen.
Direktionen fastlægger ansvar og bemyndigelser for de enkelte grupper eller medarbejdere i organisationen
og bestemmer godkendelseshierarkier samt regler og procedurer for rapportering,
Ledergruppen
Ledergruppen i forbindelse med denne erklærings afgrænsning består af repræsentanter fra hver af de funktionelle enheder:

Repræsentanter for Advice:
o

Repræsentant for Service:
o

Konsulentchef
Servicechef
Repræsentanter for Direktionen og Administrationen:
o
Administrerende direktør
o
CTO
o
BizDev Chef
Ledergruppen har ansvaret for at implementere de nødvendige foranstaltninger for at understøtte den strategi, der er udstukket af bestyrelsen, samt de politikker, som direktionen har vedtaget. Ledergruppen mødes
minimum én gang om måneden.
3.2.2.3
Human Resources (HR) politikker og praksis
HR-politikker og -praksis vedrører ansættelse, orientering, uddannelse, evaluering, rådgivning, forfremmelse
og kompensering af personalet. Personalets kompetencer og integritet er væsentlige elementer for Kp's kontrolmiljø. Organisationens evne til at rekruttere og fastholde tilstrækkeligt kompetente og ansvarlige medarbejdere er høj grad afhængig af virksomhedens politikker og praksis på HR-området.
Kp lægger vægt på den kontinuerlige udvikling af kompetencerne hos virksomhedens medarbejdere og har
derfor et formelt uddannelsesprogram for sine medarbejdere, hvormed Kp tilbyder relevante teknologi- og
procescertificeringer. Lederne identificerer uddannelsesplaner for afdelingerne.
En fortegnelse over medarbejderes kompetencer og gennemførte uddannelser opretholdes for hver enkelt
medarbejder.
3.2.2.4
Code of conduct
Holdningerne blandt ledelse og medarbejdere er afgørende for, at processer og kontroller fungerer effektivt
og efter hensigten. For at understøtte tilvejebringelsen og opretholdelsen af de ønskede værdier og holdninger har virksomheden udarbejdet en formel "Code of conduct", som bl.a. omhandler vigtigheden af, at den
enkelte medarbejder til enhver tid opretholder en høj integritet og agerer i overensstemmelse med virksomhedens værdier og gældende lovgivning.
Side 10 af 28
Kp's direktion og ledergruppen anerkender sit ansvar for at fremme virksomhedens værdier og skabe de ønskede holdninger blandt medarbejderne. Derudover modtager de enkelte medarbejdere ved deres tiltrædelse et eksemplar af virksomhedens "Code of Conduct".
3.2.3 Risikovurdering
Risikovurdering er et kritisk punkt i Kp's interne kontrolapparat for at håndtere og løbende vurdere risici.
Formålet er at identificere og klassificere de risici, der kan ramme organisationens evne til at fungere, jf. de
forpligtelser, virksomheden har. Alle i ledelsen i Kp er bevidste om, at risici skal rapporteres og behandles
særskilt, netop for at imødekomme og agere, jf. de rammer, der er udstukket.
Der foretages en løbende vurdering og kontrol af de udfordringer, forretningen stilles over for, og disse behandles som et særskilt punkt på de månedlige ledermøder, hvor man herefter vurderer, om nye risici er opstået og dermed kræver yderligere analyse og håndtering. Såfremt en given risiko identificeres og betragtes
som signifikant, bliver denne eskaleret til henholdsvis direktion og bestyrelse, og der igangsættes særskilt
spor for at opdatere de relevante dokumenter og sikre mitigering i forhold til forretningen.
Vurdering af risici i relation til informationssikkerhed er en integreret del af den samlede risikovurdering.
3.2.4 Monitorering
Kp foretager løbende vurderinger af, om det samlede sæt af kontroller i tilstrækkeligt omfang dækker de
krav, der måtte stilles fra eksterne interessenter, herunder lovmæssige krav til Kp eller Kp's kunder.
3.2.5 Information og kommunikation
Information og kommunikation er en integreret del af Kp's interne kontrolsystem. Komponenten dækker
over processerne, der omhandler identificering, indsamling og udveksling af information i en form og tidsramme, der er nødvendig for at styre og kontrollere virksomhedens drift.
Hos Kp er information identificeret, behandlet og rapporteret af forskellige informationssystemer samt gennem samtaler med kunder, leverandører, medarbejdere og andre eksterne interessenter.
3.3 Beskrivelse af processer med tilhørende kontrolmål og -aktiviteter
3.3.1 Overordnet styring af informationssikkerhed
Kp's it-politik beskriver, hvordan man opnår adgang til, tilgår og anvender Kp's systemer og data. Itpolitikken definerer de roller og forpligtelser, som relaterer sig til anvendelse af it i Kp.
Som ansat i Kp er medarbejderen selv ansvarlig for til enhver tid at være bekendt med indholdet af itpolitikken. Kp tilsikrer dette ved at kommunikere rettelser og opdateringer ud i organisation pr. e-mail og på
de ugentlige afdelings- og personalemøder. Ligeledes er det en del af introduktionen af nye medarbejdere at
gøre medarbejderen bekendt med, hvor it-politikken findes på Kp's intranet, og at det er medarbejderens
ansvar til enhver tid at være bekendt med indholdet af it-politikken.
Kp har etablerede og dokumenterede arbejdsgange, der beskriver, hvordan ansatte og deres tildelte adgangsrettigheder håndteres.
Side 11 af 28
Relaterede kontrolmål
For overordnet styring af informationssikkerheden er der etableret kontroller, som giver en rimelig grad af
sikkerhed for, at der er et defineret og godkendt it-sikkerhedsniveau, samt at it-sikkerhedsniveauet er afpasset med trusselsbilledet.
3.3.2 Overvågning af underleverandører af it-driftsservices
Kp anvender følgende underleverandører af it-driftsservices som led i levering af de i rapporten beskrevne
services:

Interxion – fysisk sikkerhed

GlobalConnect – fysisk sikkerhed

Front-safe – backup
Kp har ikke data placeret lokalt på kontorerne og beror sig på eksterne underleverandører af datacenterdrift
til håndtering og opbevaring af alt centralt it-udstyr.
Kp anmoder de eksterne leverandører om tildeling af adgang til relevant personale og adviserer leverandørerne om fratagelse af adgange i tilfælde af medarbejderes fratrædelse eller ændrede arbejdsopgaver, der
ikke længere kræver adgang.
Kp monitorerer de relevante leverandører ved modtagelse af revisionserklæringer fra disse leverandører og
kontrollerer, at disse indeholder krav og kontroller om tilstrækkelig sikring omkring:

Fysisk adgang

Nødstrøm

Brandsikring

Klimakontrol

Fugtighedsovervågning

Vagtalarm

Business Continuity
Kontroller hos underleverandeirer er ikke omfattet af denne rapport.
Relaterede kontrolmål
Kontrollerne giver rimelig sikkerhed for, at it-driftsservices leveret af eksterne leverandører overvåges i relation til etablering af tilstrækkelig og dokumenteret sikkerhed.
Der indhentes én gang årligt revisionserklæringer fra væsentlige underleverandører omfattende relevante
kontroller, herunder fysisk sikkerhed, adgangsforhold og backup.
3.3.3 Overordnet styring af logiske adgange
3.3.3.1
Ansættelsesproces
Kp har etableret formelle procedurer for ansættelse af nye medarbejdere.
Side 12 af 28
Procedurerne beskriver bl.a., hvorledes lederen inden for hver af de respektive funktionelle grupper i organisationen afdækker behovet for yderligere ressourcer og forelægger formelle anmodninger om jobopslag til
direktionen til godkendelse.
Efter afsluttede interviews forelægger den relevante leder oplæg til Administrationen omkring godkendelse
af ansættelse af udvalgt kandidat.
Personer tilbudt en stilling i Kp vil være genstand for baggrundstjek i overensstemmelse med gældende love
og regler før påbegyndelse af beskæftigelse. Baggrundskontrol kan bl.a. være dokumentation fra uddannelsesinstitutioner, legitimationsoplysninger, tidligere beskæftigelse og straffeattest samt andet, der kan have
relevans for ansættelsen.
Under introduktionsforløbet modtager den nye medarbejder en informationspakke, der indeholder en oversigt over Kp’s personalepolitikker og procedurer. Denne informationspakke omfatter:

Ansættelseskontrakt

Non disclosure agreement

Gennemgang af medarbejderhåndbogen

Code of Conduct-folder
Medarbejderne medgiver i kraft af underskrift af deres ansættelseskontrakt, at de har pligt til at være bekendt med indholdet af alle relevante materialer.
3.3.3.2
Performance- og kompetencestyring
Kp har en formel præstationsvurderingsproces. Ledere bliver bedt om at drøfte ydeevne, forventninger og
mål med hver enkelt medarbejder mindst én gang om året. Ledere er også stærkt opfordret til at have løbende, uformelle samtaler med medarbejderne om deres præstationer i løbet af året.
3.3.3.3
Tildeling af adgang og rettigheder til ansatte
Ved ansættelse af ny medarbejder igangsætter lederen for den relevante afdeling processen for nye medarbejdere ved at rette henvendelse til Administrationen.
Ud fra en skabelon oprettes et kontrolskema, der indeholder alle de aktiviteter, der skal afvikles, før ansættelsen kan betragtes som endelig. Der udpeges en ansvarlig for hver aktivitet, og denne information påføres
arket. Ved færdiggørelse af hver aktivitet markeres denne som udført. Eksempler på aktiviteter kan være:

Indhentning og kontrol af straffeattest

Udlevering af id-kort

Udlevering af nøgler/adgangsbrik mv.
Når alle aktiviteter er udført, arkiveres kontrolarket i medarbejderens personalemappe.
Efter arbejdsgangen for ny medarbejder er igangsat, modtager Service en change herom med instrukser
om, hvilke adgange og rettigheder medarbejderen skal have. Eksempelvis oprettes en ny medarbejder i Service med adgange til CRM/ITSM-systemerne, "Service postkassen", "Proces postkassen", "Monitor postkassen", "Timeregistrering" etc. Alle adgange, der tildeles, er bundet op på medarbejderens Active Directorykonto.
Side 13 af 28
Når Service modtager en change på oprettelse af en ny medarbejder med dertilhørende instrukser om rettighedstildeling, kontrollerer Service, at kilden til change er en leder med korrekte beføjelser til at afgive en
sådan change. Der opereres med funktionsadskillelse, således at bestillende/forespørgende, godkendende
og udførende part ikke er samme person.
I tilfælde af, at en medarbejder opsiger sin stilling eller bliver afskediget, igangsattes modsvarende arbejdsgang med dertilhørende kontrolark, der sikrer, at tildelte rettigheder og adgange samt udleveret hardware
og andre Kp-effekter fratages den fratrædende medarbejder.
3.3.3.4
Periodisk gennemgang af brugere
Kp foretager årlig kontrolgennemgang af egne brugere i Active Directory for at sikre, at der ikke forefindes
aktive brugere, som burde være de-aktiveret.
Når kunden underretter Kp om, at en medarbejder er fratrådt sin stilling, iværksætter Kp dertil etablerede
processer, som omhandler de-aktivering af brugeren på kundens systemer. Ligeledes gennemgås alle brugere på alle kunders systemer – dog begrænset til de systemer, der er omfattet af Kp’s aftale med kunden –
med faste og aftalte mellemrum, hvorved kunden har mulighed for at validere, at det kun er de rette brugere, der har adgang og er aktive.
3.3.3.5
Password- og auditpolitikker
Kp har internt implementeret password-politik, opsamling af logs og auditkontrol til at sikre, at brugeres anvendelse af privilegerede adgange og tildelte rettigheder på systemerne sker i henhold til fastlagte procedurer og sikkerhedspolitikker. Logningsniveau er defineret i it-politikken.
Kp tilstræber, at kunders it-systemer er tilstrækkeligt beskyttet. Derfor rådgiver Kp altid kunden omkring anvendelse af password-politikker og konfiguration heraf, herunder gældende ”best practices” for brugen af
stærke passwords. Ydermere får kunden minimum årligt den gældende opsætning af password samt login
audit policy med en opfordring til en samtale om, hvorvidt de gældende policies stadig lever op til de behov
og sikkerhedskrav, der stilles til kundens forretning.
3.3.3.6
Tildeling af fjernadgang
Ansatte i Kp kan tildeles fjernadgang, da det ofte forekommer, at medarbejdere skal foretage arbejde, der
skal udføres fra en ekstern lokation. Til at opnå fjernadgang anvendes enten et program, der sikrer, at klienten er godkendt til at foretage fjernadgang, eller en personlig "USB token".
3.3.3.7
Tildeling af administratorrettigheder
Ansatte i Kp tildeles administratorrettigheder (local admin) over den arbejdsstation, de får stillet til rådighed
af Kp. Dette skyldes naturen af det arbejde, brugere i Kp udfører, og de anvendte værktøjer.
Administratorrettigheder til Active Directory-domænet (domain admin) tildeles kun udvalgte medarbejdere.
Side 14 af 28
I forlængelse af ovenstående:
Local admin:
Administratorrettigheder er tildelt således, at brugeren har fuld kontrol over arbejdsstationen.
Domain admin:
Administratorrettigheder er tildelt således, at brugeren har fuld kontrol over alle maskiner
i domænet, herunder servere. Domain admin har rettigheder og privilegier, der er begrænset til de(t) (sub)domæne, de er tildelt for.
3.3.3.8
Sikkerhed og overvågning på netværket
Kp har sikret de interne netværk ved hjælp af fysiske firewall-appliances, som har til formål at sikre netværket imod uautoriseret indtrængen og andre uønskede elementer som fx internetvira og ”orme”.
Kp anvender forskellige netværk til forskellige formål:
Gæstenetværk:
Separeret VLAN, som gæster i Kp anvender, når de er på besøg på kontorerne.
Gæste-VLAN er beskyttet ved tidsbegrænset passwords.
Admin-netværk:
Det primære netværk, som ansatte i Kp er tilkoblet.
Kp's egne servere er placeret i et sikret datacenter på en ekstern lokation. Kommunikation mellem Kp og datacenteret foregår via krypterede netværkstunneller.
Kp har implementeret centralt administreret antivirus- og malware-softwareløsning. Softwaren er installeret
på samtlige Windows-baserede enheder på netværket, hvor de ansatte har administrative privilegier, og
hvor kunden ikke har fravalgt implementering af dette af hensyn til kundens systemer. Der er fra administrationsserveren etableret baselines, der bestemmer definitionsopdaterings- og scanningsintervaller samt opsamling af log fra klienterne på netværket.
For at sikre og lukke softwarebaserede sårbarheder på systemerne har Kp etableret processer for opdatering
af servere, således at styresystem (OS) samt programmer opdateres løbende med faste intervaller og på en
kontrolleret metode. Dette sikrer, at der ikke opstår uhensigtsmæssigheder, fx i form af kompatibilitetsproblemer som følge af en opdatering.
Alle ændringer i opsætning af netværk eller sikkerhedsforanstaltninger skal testes, godkendes og dokumenteres, jf. den alment gældende change management-proces.
3.3.3.9
Patch Management
Som del af den driftsplatform, som udbydes af Kp, er servere og services omfattet af etablerede processer
og kontroller omkring planlagt opdatering af OS og tredjepartsprogrammer. Servere gennemgås månedligt
for opdateringer til både OS og tredjepartsprogrammer eller efter nærmere aftale med den pågældende
kunde. Tredjepartsprogrammer inkluderer, men er ikke begrænset til: Adobe Flash Player, Adobe Reader og
Java JRE. Større programrettelsespakker (Service Packs) er underlagt change management-procedurer samt
test og endelig godkendelse af kunden, inden disse installeres.
Side 15 af 28
Relaterede kontrolmål
Der er etableret kontroller, som giver rimelig sikkerhed for, at adgang til information og infrastruktur er
begrænset til korrekt autoriserede personer og programmer.
3.3.4 Ændringshåndtering
Kp har etableret en formel change management-proces. Processen sikrer gennemsigtighed og sporbarhed i
forhold til udførte ændringer på driftsplatformen og de af Kp's kunders systemer, som Kp har driftsansvaret
for. En overordnet beskrivelse af denne proces følger nedenfor.
Generelt er der to kilder til Request for Change (RFC):
1. RFC oprettes af Kp-konsulent afledt som følge af opgave i forbindelse med support eller fejlretning
på kunders systemer eller på driftsplatformen, herunder notifikationer (Events) fra Kp's overvågningsværktøj: ”Klestrup CloudAlerter”.
2. Bemyndigede personer hos kunden indgiver RFC med ønske om ændring af funktionalitet eller konfiguration af kundens systemer, for hvilke Kp har driftsansvaret.
Processen dikterer, at forespørgende, godkendende og udførende part ikke må være samme person, således
at krav til funktionsadskillelse overholdes.
Når RFC er godkendt, modtager udførende part notifikation herom, hvorefter arbejdet påbegyndes.
Når arbejdet er udført, foretages en test af det udførte. Omfanget af testen skaleres efter typen og kompleksiteten af ændringen. Når der er udført test af ændringen med positivt resultat i henhold til testkrav, kan
denne godkendes.
Når arbejdet er udført, og dokumentation er udført på tilfredsstillende vis, lukkes RFC til fakturering og administrativ behandling.
Alle ændringer på driftsmiljøet dokumenteres i relevante systemer. Ændringer i logiske rettigheder registreres i service management-systemet (CRM/ITSM). Konfigurationsændringer dokumenteres i Configuration
Management Databasen (CMDB). Change management-processen sikrer derved, at al driftsdokumentation
kontinuerligt holdes opdateret.
Relaterede kontrolmål
Kontrollerne giver rimelig sikkerhed for, at ændringer af såvel eksisterende som nye løsninger er behørigt
autoriseret, dokumenteret, testet og godkendt.
3.3.5 Sikring af informationsrelaterede aktiver
Som led i at sikre kontinuert tilgængelighed, integritet og fortrolighed omkring informationsrelaterede aktiver
har Kp implementeret backup-processer for håndtering af backup af data.
Kp benytter software designet til de virtualiseringsplatforme, Kp anvender til at tage backup af servere og de
data, der forefindes herpå. Denne software transmitterer via krypterede linjer data til en ekstern lokation og
opbevares krypteret. Der er etableret formaliserede og dokumenterede processer for, hvordan den anvendte
Side 16 af 28
software installeres. Der foretages daglige kontroller for, om alle backupjobs er gennemført korrekt. Ligeledes er der etableret procedurer for igangsætning af arbejdsgange i tilfælde af fejl på backupjobs.
For at sikre valide data i backup foretages periodisk genetablering, som efterprøves for validitet.
Relaterede kontrolmål
Kontrollerne giver rimelig sikkerhed for, at processene angående backup og gendannelse af data er tilfredsstillende og i overensstemmelse med kunders SLA og Kp’s kontraktuelle forpligtelser i den forbindelse.
3.3.6 Driftsovervågning og alarmering
Som en del af den driftsplatform, Kp udbyder, tilbyder Kp serverovervågning gennem produktet "Klestrup
CloudAlerter", som er med til at sikre, at nedbrud, fejl og driftsforstyrrelser for både servere og services bliver opdaget i tide, hvilket giver den bedste mulighed for at reagere og afhjælpe fejl hurtigt og smidigt.
3.3.6.1
Hændelses- og problemhåndtering
For at sikre, at alle incidents bliver behandlet i overensstemmelse med de SLA, Kp har indgået med Kp's
kunder, har Kp etableret formaliserede procedurer for, hvordan incidents behandles.
Incidents vil blive modtaget enten via telefon, Kp Serviceportal eller e-mail. Service Desk/1st line support registrerer sagen i ITSM og klassificerer henvendelsen, jf. gældende SLA og problemets art.
Relaterede kontrolmål
Kontrollerne giver rimelig sikkerhed for, at problemer, der er opstået i driftsmiljøet, bliver registreret, klassificeret, undersøgt, overvåget og løst.
3.3.7 Asset management
Kp har registreret alle væsentlige it-aktiver i en række systemer:
1. Kp admin
Kp admin er et centralt administrativt værktøj for og håndterer server-/switch-/netværksinstanser
inkl. IP-konfiguration m.m.
2. ITSM-systemet
ITSM er Kp’s service management-platform, der indeholder oplysninger om SLA, Configuration Items
(CI) og CMDB-data til den daglige driftsafvikling.
3. SourceSafe
SourceSafe er Kp’s centrale software-repository. Alle de softwareløsninger, Kp vedligeholder, har udviklet og løbende vedligeholder, er alle gemt på denne platform. Dette er inkl. løbende udviklingshistorik m.m.
Side 17 af 28
4. SharePoint
SharePoint-platformen hos Kp er delt op i to dele: en projektdel og en generel del.
Den generelle platform er inddelt i en række kundeområder og indeholder således den dokumentation, der måtte udestå, når kildekode og IP-konfiguration er håndteret.
5. Inventar- og anlægskartotek (C5/Navision)
Yderligere it-aktiver og eventuelle rettigheder m.m. er registeret i Kp’s ERP-system: C5/Navision i
henholdsvis balancen og lagermodulet.
Relaterede kontrolmål
Kontrollerne giver rimelig sikkerhed for, at alle informationsrelaterede aktiver er identificeret, at disse er
blevet klassificeret, og at en systemejer med ansvar for aktiverne er udpeget. Kontroller giver også rimelig
sikkerhed for, at retningslinjer for accepteret brug af alle informationsrelaterede aktiver foreligger og er
tilgængelige for relevant personale.
Side 18 af 28
4 Beskrivelse af kontrolmål, nøglekontroller samt resultat af udført
arbejde
I dette afsnit beskrives de af Kp definerede kontrolmål og de nøglekontroller, som sikrer opnåelse af de enkelte kontrolmål. Herudover beskrives de af EY udførte faktiske tests af Kp’s kontroller samt resultaterne af
de udførte test.
4.1 Udførte tests
Vores test omfatter udførelse af handlinger for at opnå bevis for oplysningerne i Kp’s beskrivelse af deres system samt for kontrollernes udformning og funktionalitet.
De valgte handlinger afhænger af vores vurdering, herunder vurderingen af risiciene for, at beskrivelsen ikke
er dækkende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effektivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendige, for at give høj
grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået.
1. Overordnet styring af informationssikkerhed
Kontrolmål: Der er etableret kontroller, som giver en rimelig grad af sikkerhed for, at der er et defineret og
godkendt it-sikkerhedsniveau, samt at sikkerhedsniveauet er baseret på selskabets risikovurderinger.
Kontrol
Kontroller beskrevet af
Tests udført af EY
Resultat af udførte tests
nr.
Klestrup partners A/S
1.1
Der er udarbejdet en it-
Vi har indhentet den gæl-
Ingen relevante bemærkninger.
sikkerhedspolitik godkendt
dende it-politik og verifice-
af selskabets ledelse.
ret, at denne er godkendt
af selskabets ledelse.
1.2
Der foretages periodisk og
Vi har ved forespørgsler og
mindst én gang om året
inspektion af den seneste
opdatering af risikovurde-
risikovurdering konstateret,
ringen i relation til forret-
at denne er opdateret in-
ningens mål.
den for erklæringsperioden.
Side 19 af 28
Ingen relevante bemærkninger.
2. Overvågning af leverandører
Kontrolmål: Kontrollerne giver rimelig sikkerhed for, at services leveret af eksterne leverandører overvåges i
relation til etablering af tilstrækkelig og dokumenteret sikkerhed.
Kontrol
Kontroller beskrevet af
Tests udført af EY
Resultat af udførte tests
nr.
Klestrup partners A/S
2.1
Der indhentes én gang år-
Vi har via inspektion af re-
Vi har konstateret, at Kp ved re-
ligt revisionserklæringer fra
visionserklæringer konsta-
view af erklæringen af Front-safe
væsentlige underleverandø-
teret, at Kp har indhentet
har konstateret, at erklæringspe-
rer omfattende relevante
ISAE 3402 type 2-
rioden ikke dækker hele 2014, og
kontroller, herunder fysisk
erklæringer fra underleve-
Kp derfor har rettet henvendelse
sikkerhed, adgangsforhold
randørerne Front-safe, In-
til Front-safe for at få bekræftet,
og backup.
terxion og GlobalConnect,
at der ikke er væsentlige forhold,
samt at disse indeholder fy-
som vil influere på driften.
sisk sikkerhed, adgangsfor-
Ingen yderligere relevante be-
hold og backup.
mærkninger.
Side 20 af 28
3. Overordnet styring af logiske adgange
Kontrolmål: Der er etableret kontroller, som giver rimelig sikkerhed for, at adgang til information og infrastruktur er begrænset til korrekt autoriserede personer og programmer.
Kontrol
Kontroller beskrevet af
Tests udført af EY
Resultat af udførte tests
nr.
Klestrup partners A/S
3.1
Kp har etableret regler, der
Vi har for en stikprøve af
Ingen relevante bemærkninger.
sikrer, at brugeres rettighe-
tiltrædelser verificeret, at
der godkendes.
de tildelte rettigheder er
godkendt i henhold til de
etablerede retningslinjer.
3.2
Fratrådte brugere inaktive-
Vi har for en stikprøve af
res i systemerne.
fratrådte medarbejdere fo-
Ingen relevante bemærkninger.
retaget en verificering af, at
de pågældende medarbejderes konti blev inaktiveret.
3.3
Kp har etableret et identifi-
Vi har for en stikprøve af
kationssystem, som sikrer
servere/domæner verifice-
individuel sporbarhed.
ret, at der anvendes per-
Ingen relevante bemærkninger.
sonlige administratorkonti,
ligesom der er etableret en
audit-log, som sikrer individuel sporbarhed.
3.4
Kp har etableret politikker
Vi har for en stikprøve af
Vi har for enkelte servere konsta-
for adgangskoder, herunder
servere/domæner verifice-
teret, at disse afviger fra de ved-
deres kompleksitet, længde
ret, at de definerede krav til
tagne baslines, uden at der fore-
og periodiske ændringer
adgangskoder er implemen-
ligger aftale med kunden herom.
heraf.
teret på disse, eller at der
Vi har konstateret følgende afvi-
er dokumentation for, at
gelser:
afvigelser herfra er accep-
-Krav til længde af kodeord var
teret af kunden.
sat til 6 karakterer, hvor baseline
foreskriver 8 karakterer, ligesom
kompleksitetskrav for passwords
på de pågældende servere er fravalgt, hvor baseline foreskriver,
dette skal være enabled. Dette var
gældende for 3 ud af 25 servere.
Side 21 af 28
-Krav til minimumsalderen af
passwords var sat til 0 dage hvor
baseline foreskriver 1 dag. Dette
var gældende for 1 server.
Ingen yderligere relevante bemærkninger.
3.5
Netværket er sikret ved
Vi har gennemgået etable-
brug af firewalls.
rede firewall, herunder
Ingen relevante bemærkninger.
gennemgået de væsentligste parametre i opsætningen heraf.
3.6
It-aktiver er beskyttet mod
Vi har for en stikprøve af
virus og lignende og opda-
servere verificeret, at disse
teres løbende med kritiske
er beskyttet mod virus, og
sikkerhedsrettelser.
at serverne opdateres med
Ingen relevante bemærkninger.
kritiske sikkerhedsrettelser.
3.7
3.8
Der foretages én gang år-
Vi har gennemgået doku-
ligt en gennemgang af alle
mentation for den årlige
Kp-brugeres adgange til
gennemgang af brugerad-
Windows-platformen.
gange.
Administratoradgange er
Vi har modtaget og gen-
begrænset til personer med
nemgået Kp’s dokumentati-
et arbejdsbetinget behov
on for review af administra-
herfor.
toradgangen og verificeret,
at brugere med administratoradgange er begrænset til
personer med et arbejdsbetinget behov herfor.
Side 22 af 28
Ingen relevante bemærkninger.
Ingen relevante bemærkninger.
4. Change management
Kontrolmål: Kontrollerne giver rimelig sikkerhed for, at ændringer af såvel eksisterende løsninger som nye
løsninger er behørigt autoriseret, dokumenteret, testet og godkendt.
Kontrol
Kontroller beskrevet af
Tests udført af EY
Resultat af udførte tests
nr.
Klestrup partners A/S
4.1
Kp har etableret en formel
Vi har inspiceret change
Ingen relevante bemærkninger.
change management-
management-processen og
proces, der sikrer test og
påset, hvorvidt denne er
godkendelse af ændringer.
opdateret i erklæringsperioden.
4.2
4.3
Ændringer dokumenteres,
Vi har for en stikprøve af
således at systemdokumen-
changes påset, at system-
tation er opdateret og til-
dokumentationen er opda-
gængelig.
teret og tilgængelig.
For de områder, hvor det er
Vi har for én kunde med af-
relevant eller aftalt med
tale om særskilt testmiljø
kunden, er der etableret
påset, at dette er etableret
testmiljøer, der er adskilt
adskilt fra driftsmiljøer. Der
fra driftsmiljøer.
er ikke flere kunder med af-
Ingen relevante bemærkninger.
Ingen relevante bemærkninger.
tale om særskilt testmiljø.
4.4
Der foreligger passende
Vi har for en stikprøve af
driftsdokumentation i Kp’s
servere påset, at indstillin-
Admin-systemet, herunder
ger på disse er i overens-
styresystemer, patch levels,
stemmelse med de i Kp’s
ram mv.
Admin-systemet registrerede oplysninger.
Side 23 af 28
Ingen relevante bemærkninger.
5. Backup og restore
Kontrolmål: Kontrollerne giver rimelig sikkerhed for, at processerne angående backup og gendannelse af
data er tilfredsstillende og i overensstemmelse med kunders SLA-aftaler.
Kontrol
Kontroller beskrevet af
Tests udført af EY
Resultat af udførte tests
nr.
Klestrup partners A/S
5.1
Backups varetages af
Vi har for en stikprøve af
Ingen relevante bemærkninger.
Front-safe A/S. Kp overvå-
dage gennemgået doku-
ger dagligt de af Front-safe
mentation for, at Kp foreta-
A/S foretagne backups ved
ger overvågning af den af
at gennemgå backup-logs
Front-safe A/S foretagne
fra Front-safe A/S.
backup. Vi har herudover
konstateret, at der foretages opfølgning på fejlede
backups.
5.2
5.3
Sikkerhedskopier afprøves
Vi har stikprøvevis gen-
Ingen relevante bemærkninger.
kvartalsvis med henblik på
nemgået dokumentation for
at opnå sikkerhed for, at
de af Kp udførte tests af
servere/filer kan retableres.
sikkerhedskopier.
Kp indhenter én gang årligt
Der er indhentet en erklæ-
Der var ingen væsentlige be-
en erklæring fra Front-safe
ring fra Front-safe A/S, som
mærkninger til erklæringen fra
A/S for at sikre, at der er
dækker perioden 1. maj
Front-safe A/S, dækkende perio-
etableret kontroller hos un-
2013 til 30. april 2014.
den 1. maj 2013 til 30. april 2014.
derleverandøren vedrøren-
Det har ikke været muligt
Dog bemærkes, at der ikke er
de passende opbevaring af
for Kp at indhente erklæ-
modtaget en erklæring fra Front-
sikkerhedskopier.
ring fra Front-safe A/S efter
safe A/S for perioden 1. maj 2014
denne dato.
- 18. februar 2015. Ledelsen har
således ikke haft mulighed for at
vurdere, om sikkerhedskopier opbevares betryggende i denne periode.
Kp har som en kompenserende
handling forespurgt hos Front-safe
A/S, hvorvidt der er indtruffet relevante begivenheder fra erklæringsperioden til ultimo 2014 og
modtaget svar herpå fra Front-
Side 24 af 28
safe A/S. Kp kan ud fra svaret
modtaget fra Front-safe A/S konkludere, at der ikke har været relevante begivenheder i den pågældende periode.
Side 25 af 28
6. Driftsmonitorering, incident og problem management
Kontrolmål: Kontrollerne giver rimelig sikkerhed for, at problemer der er opstået i driftsmiljøet, bliver registreret, klassificeret, undersøgt, overvåget og løst.
Kontrol
Kontroller beskrevet af
Tests udført af EY
Resultat af udførte tests
nr.
Klestrup partners A/S
6.1
Der er overvågnings-
Vi har påset, at der findes
Ingen relevante bemærkninger.
systemer til løbende moni-
overvågningssystemer til
torering og serverdrift.
løbende monitorering og
serverdrift, og at der findes
passende procedurer omkring driftsmonitorering.
6.2
Alle incidents logges og føl-
Vi har gennemgået proce-
ges rettidigt op afhængig af
durer for håndtering af in-
hændelsernes alvor.
cidents samt eskalering og
rettidig løsning af disse. Vi
har for en stikprøve af incidents testet, at der følges
rettidigt op på disse, og at
processen overholdes.
Side 26 af 28
Ingen relevante bemærkninger.
7. Registrering af informationsrelaterede aktiver
Kontrolmål: Kontrollerne giver rimelig sikkerhed for, at alle informationsrelaterede aktiver er identificeret, at
disse er blevet klassificeret, og at en systemejer med ansvar for aktiverne er udpeget. Kontroller giver også
rimelig sikkerhed for, at retningslinjer for accepteret brug af alle informationsrelaterede aktiver foreligger og
er tilgængelig for relevant personale.
Kontrol
Kontroller beskrevet af
Tests udført af EY
Resultat af udførte tests
nr.
Klestrup partners A/S
7.1
Alle informationsrelaterede
Vi har konstateret, at der er
Ingen relevante bemærkninger.
aktiver er identificeret,
etableret en CMDB-
klassificeret, ansvarlig ejer
database, som indeholder
er udpeget.
dokumentation af opsætning af servere, DNS,
firewalls mv.
Vi har for en stikprøve af
servere påset, at der er udpeget en dataejer, og at
disse er korrekt registreret
CMDB-databasen.
Side 27 af 28
4.2 Komplementære kontroller hos brugerorganisationer
For at opnå de ovenstående specificerede kontrolmål skal følgende kontroller være etableret og håndteret
korrekt af brugerorganisationerne:
 Administration, herunder oprettelse, nedlæggelse og ændring af rettigheder for kundens egne brugere.
 Valg af sikkerhedsniveau på servere, hvor man afviger fra Kp’s standard, er sikkerhedsmæssigt tilstrækkeligt for brugerorganisationen.
 Rapportering af incidents til Kp.
 Større programrettelsespakker (Service Packs) er underlagt endelig godkendelse af kunden.
Ovennævnte kontroller er således ikke omfattet af denne rapport.
Side 28 af 28