Athena IT-Group A/S Erklæring fra uafhængig revisor ... · Athena IT-Group A/S (Athena), der blev...

www.pwc.dk

Athena IT-Group A/SErklæring fra uafhængig revisorvedrørende generelleit-kontroller for AthenaIT-Group A/S’ driftsydelser

Marts 2014

2

Indhold

1. Ledelsens erklæring 3

2. Athena IT-Group A/S’ beskrivelse af generelle it-kontroller for driftsydelser 5

3. Revisors erklæring om beskrivelse af kontroller, deres udformning og funktionalitet 9

4. Kontrolmål, kontroller, test og resultat heraf 11

1. Ledelsens erklæring

Medfølgende beskrivelse er udarbejdet til brug for kunder, der har anvendt Athena IT-Group A/S’ driftsydelser,og deres revisorer, som har en tilstrækkelig forståelse til at overveje beskrivelsen sammen med anden informa-tion, herunder information om kontroller, som kunderne selv har anvendt, ved vurdering af risiciene for væ-sentlig fejlinformation i kundernes regnskaber. Athena IT-Group A/S bekræfter, at:

(a) Den medfølgende beskrivelse, afsnit 2, giver en retvisende beskrivelse af Athena IT-Group A/S’ drifts-ydelser, der har behandlet kunders transaktioner i hele perioden fra 1. januar til 31. december 2013. Kri-terierne for dette udsagn var, at den medfølgende beskrivelse:

(i) redegør for, hvordan systemet var udformet og implementeret, herunder redegør for:

• de typer af ydelser, der er leveret, når det er relevant

• de processer i både it- og manuelle systemer, der er anvendt til at igangsætte, registrere, be-handle og om nødvendigt korrigere transaktionerne samt overføre disse til de rapporter, derer udarbejdet til kunder

• relevante kontrolmål og kontroller udformet til at nå disse mål

• kontroller, som vi med henvisning til systemets udformning har forudsat ville være imple-menteret af brugervirksomheder, og som, hvis det er nødvendigt for at nå de kontrolmål, derer anført i beskrivelsen, er identificeret i beskrivelsen sammen med de specifikke kontrol-mål, som vi ikke selv kan nå

• andre aspekter ved vores kontrolmiljø, risikovurderingsproces, informationssystem ogkommunikation, kontrolaktiviteter og overvågningskontroller, som har været relevante forbehandlingen og rapporteringen af kunders transaktioner.

(ii) indeholder relevante oplysninger om ændringer i serviceleverandørens system foretaget i periodenfra 1. januar til 31. december 2013

(iii) ikke udelader eller forvansker oplysninger, der er relevante for omfanget af det beskrevne systemunder hensyntagen til, at beskrivelsen er udarbejdet for at opfylde de almindelige behov hos enbred kreds af kunder og deres revisorer og derfor ikke kan omfatte ethvert aspekt ved systemet,som den enkelte kunde måtte anse for vigtigt efter deres særlige forhold

(b) de kontroller, der knytter sig til de kontrolmål, der er anført i medfølgende beskrivelse, var hensigtsmæs-sigt udformet og fungerede effektivt i hele perioden fra 1. januar til 31. december 2013. Kriterierne fordette udsagn var, at:

(i) de risici, der truede opnåelsen af de kontrolmål, der er anført i beskrivelsen, var identificeret

(ii) de identificerede kontroller ville, hvis anvendt som beskrevet, give høj grad af sikkerhed for, at depågældende risici ikke forhindrede opnåelsen af de anførte kontrolmål, og

(iii) kontrollerne var anvendt konsistent som udformet, herunder at manuelle kontroller blev udført afpersoner med passende kompetence og beføjelse i hele perioden fra 1. januar til 31. december2013.

Odense, den 7. marts 2014Athena IT-Group A/S

Jens Erik Thorndahl Poul SindbergCEO CFO

5

2. Athena IT-Group A/S’ beskrivelse af generelle it-kontroller fordriftsydelser

Indledning – kort om Athena IT-Group A/S

Athena IT-Group A/S (Athena), der blev stiftet i 1995, tilbyder totale løsninger inden for it-outsourcing og it-drift med fokus på mindre og mellemstore virksomheder og offentlige organisationer. Virksomheden er belig-gende i henholdsvis Vojens, Odense og Taastrup og har i alt 35 ansatte. I 2007 blev virksomheden børsnoteretpå NASDAQ OMX First North.

Athena tager det fulde ansvar kundens it-drift, herunder support, licenser, overvågning og backup. Athena sæt-ter en ære i at overholde deadlines, har en udpræget kvalitetsbevidsthed og holder samtidig fokus på en højgrad af fleksibilitet i løsningerne. For Athenas kunder betyder det effektivisering, besparelser og konkurrence-mæssige fordele – leveret til den aftalte tid.

Athenas driftsløsninger er karakteriseret ved høj oppetid, stabilitet og stor kundetilfredshed, og via højt uddan-net personale med solid erfaring og forretningsforståelse indgår rådgivning, strategisk planlægning og stærkansvarsfølelse som helt naturlige, implicitte ydelser i alle vores indgåede aftaler.

Det primære datacenter er placeret i Danmarks Nationalbanks tidligere pengedepot under jorden i Odense, somgiver helt optimale og sikre fysiske forhold til it-drift.

Med fokus på kundens behov leverer vi de samlede ydelser, der dækker driften af kundens it-systemer, herun-der følgende produkter:

Managed hosting – leveret som dedikerede og virtuelle servere It-outsourcing Co-location IBM TSM-baserede fjernbackup.

I forhold til nærværende erklæring er grundydelsen i de forskellige produkter identiske og omfatter internetfor-bindelse, adgangskontroller, strøm, køling, overvågning, sikkerhed og backup.

I forbindelse med udfærdigelsen af nærværende erklæring er der hentet inspiration fra indholdet i ISO 27002.

Internetforbindelse

For internetforbindelser, stillet til rådighed i forbindelse med hostede ydelser, gør følgende sig gældende:

Athena benytter sig af separat fremførte fiberforbindelser til internet fremført i samarbejde med to af de størsteudbydere på det danske marked. Athenas interne opsætning understøtter failover ved fejl på fysisk forbindelseeller hos udbyder.

Ud over internetforbindelser, stillet til rådighed af Athena, kan kunder selv fremføre samt stille forbindelse tilrådighed for deres specifikke hostede løsning. Type og implementering afhænger her af den enkelte opsætning.

Adgangskontroller

Athenas hosting-center er som nævnt indrettet i Nationalbankens tidligere pengedepot i Odense. Der er etable-ret elektronisk adgangskontrol, foruden at oprindelig skalsikring er bibeholdt.

6

Køling

Hosting-centeret er udstyret med et redundant glykolbaseret køleanlæg. Temperatur og luftfugtighed monitore-res 24/7/365.

Sikkerhed

Hosting-centret er placeret i Nationalbankens tidligere pengedepot under jorden, indkapslet i beton og sikretmod tyveri, vand og brand. I tilfælde af brand aktiveres et Argonite-brandslukningsanlæg, som kvæler brandenuden beskadigelse af data, udstyr eller inventar.

Backup

Athena benytter IBM’s TSM-baseret backupsystem. Data opbevares i det særligt sikrede miljø – dubleret påfysisk adskilte lokationer og beskyttet mod både tyveri, brand, strømafbrydelser og oversvømmelse.

Kontrolmiljø

Med udgangspunkt i virksomhedens overordnede strategiplan er virksomhedens sikkerhedspolitik og informa-tionssikkerhedspoliti defineret. Det er ledelsen, der har defineret politikkerne, og ledelsen tilsikrer ligeledes, atde efterleves.

Organisationsdiagram – Athena IT-Group

Det overordnede ansvar ligger hos virksomhedens CEO, der er øverste ansvarlig for det tekniske område. Dentekniske chef implementer indholdet af politikkerne på de forskellige tekniske niveauer og tilsikrer, at der lø-bende sker en evaluering af hele det tekniske miljø for til stadighed at kunne opfylde vores interne krav og mål-sætninger. Sideløbende hermed foretages der en evaluering af det tekniske personale med henblik på at opgra-dere dets tekniske kvalifikationer, således at vi fortsat kan tilbyde kunderne den allernyeste og bedste teknologi.

Den tekniske chef har det overordnede ansvar for implementering af nye teknologiske tiltag, ligesom det erhans ansvarsområde at udfærdige uddannelsesplaner for den enkelte medarbejder.

Direktionen

JET,PS

Salg

JET

Salg Jylland

Salg Fyn

Salg Sjælland

Teknik

BRT

Kundeservice

MP

Team Support

TeamInfratruktur

TeknikTeams

BRT

Team Drift

Team Netværk

Økonomi

PS

AdministrationJylland

AdministrationFyn

AdministrationSjælland

IT-Udvikling

BJ

Marketing

MSP

7

Risikostyring

Der foretages løbende en evaluering af de til enhver tid ønskede sikkerhedsniveauer, som det er defineret i in-formationssikkerhedspolitikken og i sikkerhedspolitikken, set i forhold til den risiko, der ligger på de enkelteområder. Det er ledelsen, herunder den tekniske chef, der foretager den løbende evaluering og implementererændringer, såfremt det er hensigtsmæssigt.

Information og kommunikation

Hele informationsflowet i virksomheden er bygget op i et sagsstyringssystem, der dokumenterer og følger ensags forløb fra vugge til grav. Den tekniske chef har derved hele tiden det samlede overblik over igangværendesager, anvendte ressourcer, tidsfrister mv.

Medarbejderne følger virksomhedens retningslinjer omkring håndtering af følsomme data samt udfærdigetsikkerhedspolitik.

Den direkte kundekontakt er afgørende for et konstruktivt samarbejde, hvilket betyder, at vi ud over den løben-de kontakt tilbyder ydelser, der til stadighed dokumenterer, at de aftalte ydelser er udført uden bemærkninger.Øvrig relevant information, relateret til virksomheden, udsendes via vores nyhedsbrev.

Kontrolmål og kontrolaktiviteter

Til understøttelse af vores interne forretningsgange har vi iværksat en række kontrolaktiviteter, der sikrer, at viefterlever den kvalitetsnorm, vi har sat op i virksomheden.

Til løsninger, hostet af Athena, specificeres logisk adgang i de enkelte indgåede kontrakter. Såfremt der er be-hov for ændringer i forhold til specifikationer i de oprindelige kontrakter, udformes firewall-formularer, somgodkendes af den enkelte kunde. Alle kunders løsninger er logisk adskilt fra hinanden såvel netværks- som da-tamæssigt. Kundeadskillelse kan kun afviges ved samtykke fra alle implicerede parter. Såfremt kundens egenløsning består af flere enheder, uden specificeret behov for logisk adgang data- eller netværksmæssigt på tværs,vil enhederne ikke kunne opnå adgang imellem hinanden. Til logisk adskillelse af netværksmæssig adgang be-nyttes VLAN. Dataadskillelse opnås via anvendelse af den funktionalitet som Storage-systemet og virtualise-ringssoftware stiller til rådighed.

Hostede løsninger, indeholdende backupydelse, benytter Athenas TSM-opsætning. Ved løsninger, der indehol-der backupydelser, reagerer Athena på eventuelle fejl i backup.

Fysisk adgang til virksomhedens driftscenter kontrolleres nøje. Kun personer med ærinde og autorisation fåradgang til driftsområdet. Adgange til driftsområder såvel som kontorområder kameraovervåges 24 timer i døg-net.

Driften i centret, herunder netværket, overvåges aktivt 24/7/365. Ved driftsforstyrrelser vil teknisk personaleblive tilkaldt, og forstyrrelsen vil blive afhjulpet omgående. Desuden monitorerer Athena kapacitet samt res-sourceforbrug på såvel delte som kundespecifikke elementer for i videst muligt omfang at kunne skalere indenfejl opstår.

Såfremt der foretages ændringer af systemer samt systemopsætninger sker dette altid ud fra kontraktmæssigaftale med den pågældende kunde eller ud fra en teknisk/driftmæssig vurdering. Ændringer dokumenteres iAthenas opgavesystem.

8

Athena bærer kun ansvar for kontrol af ydelser/løsninger, specificeret i kontrakt. Athena kan dog bistå medmonitorering af kundens/tredjepartens ydelse/løsning. I disse tilfælde vil information tilgå kun-den/tredjeparten direkte, og disse har selv ansvar for at reagere ud fra de modtagne informationer.

De detaljerede kontrolmål og kontrolaktiviteter i relation til ydelserne er beskrevet i afsnit 4 hvortil der henvi-ses.

Kundens ansvar for kontrolforanstaltninger

Kunden er ansvarlig for at tilsikre effektiv kontrol af egne brugeres samt eventuelle tredjeparters adgang til sinesystemer, der hostes og drives af Athena. Ligeledes er kunden ansvarlig for drift og vedligeholdelse af egne ap-plikationer.

PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, CVR-nr. 33 77 12 31Strandvejen 44, 2900 HellerupT: 3945 3945, F: 3945 3987, www.pwc.dk

3. Revisors erklæring om beskrivelse af kontroller, deres udform-ning og funktionalitet

Til ledelsen i Athena IT-Group A/S samt kunder af Athena IT-Group A/S’ driftsydelser i perioden 1. januar 2013til 31. december 2013 og disses revisorer.

Omfang

Vi har fået som opgave at afgive erklæring om Athena IT-Group A/S’ beskrivelse, afsnit 2, om udformningen ogfunktionen af generelle it-kontroller, i relation til Athena IT-Group A/S’ driftsydelser, der knytter sig til de kon-trolmål, som er anført i beskrivelsen for perioden 1. januar 2013 til 31. december 2013.

Athena IT-Group A/S’ ansvar

Athena IT-Group A/S er ansvarlig for udarbejdelsen af beskrivelsen og tilhørende udsagn, herunder fuldstæn-digheden, nøjagtigheden og måden, hvorpå beskrivelsen og udsagnet er præsenteret; for leveringen af de ydel-ser, beskrivelsen omfatter, for at anføre kontrolmålene samt for udformningen af implementeringen og effektivtfungerende kontroller for at nå de anførte kontrolmål.

Vores ansvar

Vores ansvar er på grundlag af vores handlinger at udtrykke en konklusion om Athena IT-Group A/S’ beskrivel-se samt om udformningen og funktionen af kontroller, der knytter sig til de kontrolmål, der er anført i dennebeskrivelse. Vi har udført vores arbejde i overensstemmelse med ISAE 3402, ”Erklæringer med sikkerhed omkontroller hos en serviceleverandør”, som er udstedt af IAASB. Denne standard kræver, at vi overholder etiskekrav samt planlægger og udfører vores handlinger for at opnå høj grad af sikkerhed for, om beskrivelsen i allevæsentlige henseender er retvisende, og om kontrollerne i alle væsentlige henseender er hensigtsmæssigt ud-formet og fungerer effektivt.

En erklæringsopgave med sikkerhed, hvor der afgives erklæring om beskrivelsen, udformningen og funktionali-teten af kontroller hos en serviceleverandør, omfatter udførelse af handlinger for at opnå bevis for oplysninger-ne i serviceleverandørens beskrivelse af sit system samt for kontrollernes udformning og funktionalitet. Devalgte handlinger afhænger af serviceleverandørens revisors vurdering, herunder vurderingen af risiciene for, atbeskrivelsen ikke er retvisende, og at kontrollerne ikke er hensigtsmæssigt udformet eller ikke fungerer effek-tivt. Vores handlinger har omfattet test af funktionaliteten af sådanne kontroller, som vi anser for nødvendigefor at give høj grad af sikkerhed for, at de kontrolmål, der er anført i beskrivelsen, blev nået. En erklæringsop-gave med sikkerhed af denne type omfatter endvidere vurdering af den samlede præsentation af beskrivelsen,hensigtsmæssigheden af de heri anførte mål samt hensigtsmæssigheden af de kriterier, som serviceleverandø-ren har specificeret og beskrevet.

Det er vores og Athena IT-Group A/S’ opfattelse, at det opnåede bevis er tilstrækkeligt og egnet til at dannegrundlag for vores konklusion.

Begrænsninger i kontroller hos en serviceleverandør

Athena IT-Group A/S’ beskrivelse er udarbejdet for at opfylde de almindelige behov hos en bred kreds af kun-der og disses revisorer og omfatter derfor ikke nødvendigvis alle de aspekter ved systemet, som hver enkeltkunde måtte anse for vigtige efter dennes særlige forhold. Endvidere vil kontroller hos en serviceleverandør somfølge af deres art muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporte-ringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidigeperioder undergivet risikoen for, at kontroller hos en serviceleverandør kan blive utilstrækkelige eller svigte.

10

Konklusion

Vores konklusion er udformet på grundlag af de forhold, der er redegjort for i denne erklæring. De kriterier, vihar anvendt ved udformningen af konklusionen, er de kriterier, der er beskrevet. Det er vores opfattelse,

(a) at beskrivelsen af Athena IT-Group A/S’ driftsydelser, således som den var udformet og implementeret ihele perioden fra 1. januar 2013 til 31. december 2013, i alle væsentlige henseender er retvisende, og

(b) at kontrollerne, som knytter sig til de kontrolmål, er anført i beskrivelsen, i alle væsentlige henseendervar hensigtsmæssigt udformet i hele perioden fra 1. januar 2013 til 31. december 2013,

(c) at de testede kontroller, som var de kontroller, der var nødvendige for at give høj grad af sikkerhed for, atkontrolmålene i beskrivelsen blev nået, i alle væsentlige henseender har fungeret effektivt i hele periodenfra 1. januar 2013 til 31. december 2013.

Beskrivelse af test af kontroller

De specifikke kontroller, der blev testet, samt arten, den tidsmæssige placering og resultater af disse tests frem-går af afsnit 4.

Tiltænkte brugere og formål

Denne erklæring og beskrivelsen af test af kontroller i afsnit 4 er udelukkende tiltænkt kunder, der har anvendtAthena IT-Group A/S’ driftsydelser, og disses revisorer, som har en tilstrækkelig forståelse til at overveje densammen med anden information, herunder information om kunders egne kontroller, når de vurderer risicienefor væsentlige fejlinformationer i deres regnskaber.

København, den 7. marts 2014PricewaterhouseCoopersStatsautoriseret Revisionspartnerselskab

Jess Kjær Mogensen Jan Wright

statsautoriseret revisor statsautoriseret revisor

11

4. Kontrolmål, kontroller, test og resultat heraf

Kontrolmål: Informationssikkerhedspolitik

Ledelsen har udarbejdet en informationssikkerhedspolitik, som udstikker en klar målsætning for it-sikker-hed, herunder valg af referenceramme samt tildeling af ressourcer. Informationssikkerhedspolitikken vedli-geholdes under hensyntagen til en aktuel risikovurdering.

Kontrolmål/Kontrol PwC-test Resultat af test

Skriftlig politik for informa-tionssikkerhed

Sikkerhedspolitikken, som er god-kendt af ledelsen, er dokumenteretog vedligeholdes ved gennemgangmindst en gang årligt.

Sikkerhedspolitikken er gjort tilgæn-gelig for medarbejdere via intranet-tet.

Vi har forespurgt ledelsen om deprocedurer/kontrolaktiviteter, derudføres.

Vi har foretaget inspektion af, atledelsen har godkendt sikkerheds-politikken, samt at den som mini-mum er revurderet en gang årligt.Endvidere har vi foretaget inspekti-on af, at politikken forefindes lettilgængelig for medarbejderne.

Vi har ikke ved vores test kon-stateret væsentlige afvigelser.

Kontrolmål: Organisering af informationssikkerhed

Det organisatoriske ansvar for informationssikkerhed er passende dokumenteret og implementeret, ligesomhåndtering af eksterne parter sikrer en tilstrækkelig behandling af sikkerhed i aftaler.


Ledelsens forpligtelse vedrø-rende informationssikkerhed

Det organisatoriske ansvar for in-formationssikkerhed er dokumente-ret og implementeret. Endvidere erder fastlagt regler for fortrolighedsaf-taler og rapportering om informa-tionssikkerhedshændelser samt ud-arbejdet en fortegnelse over aktiver.

Vi har overordnet drøftet styring afinformationssikkerheden med le-delsen.

Vi har påset, at det organisatoriskeansvar for informationssikkerhed erdokumenteret og implementeret. Vihar endvidere foretaget inspektionaf, at fortrolighedsaftaler, rapporte-ring om informationssikkerheds-hændelser samt fortegnelse overaktiver er udarbejdet.


Eksterne parter

Der er foretaget identifikation afrisici i relation til eksterne parter,herunder håndtering af sikkerhed iaftaler med tredjemand og sikker-hedsforhold i relation til kunder.

Der er fortaget gennemgang af ydel-ser fra serviceleverandører. Forholdundersøges og løses rettidigt.


Vi har ved inspektion påset, at derer etableret betryggende procedurerfor samarbejde med eksterne leve-randører.

Vi har desuden ved stikprøvevisinspektion påset, at samarbejdetmed eksterne parter er baseret pågodkendte kontrakter.


12

Kontrolmål: Fysisk sikkerhed

Driftsafviklingen foregår fra lokaler, som er beskyttet mod skader, der er resultatet af hændelser som f.eks.brand, vandskade, strømafbrydelse, tyveri eller hærværk.


Fysisk sikkerhedsafgrænsning

Adgang til sikrede områder (for såvelnye som eksisterende medarbejdere)er begrænset (f.eks. ved anvendelseaf adgangskort) til autoriseredemedarbejdere og forudsætter doku-menteret ledelsesmæssig godkendel-se.

For nuværende består sikrede ad-gangsområder af nedenstående trezoner, og kriterierne er som beskre-vet. Afvigelser fra de pr. zone be-skrevne kriterier kræver godkendelseaf den administrerende direktør.

Zone 1: kontorområder, alle ansatte iAthena IT-Group A/S (Athena) kanopnå godkendelse.

Zone 2: hosting- og produktionsom-råder kræver ansættelsesforhold iden tekniske del af Athena.

Zone 3: ekstern båndlokation kræveransættelse i den tekniske del afAthena samt backuprelaterede ar-bejdsopgaver.

Personer uden godkendelse til sikre-de zone 2-områder skal registreresog ledsages af medarbejder medbehørig godkendelse.


Vi har påset, at der er etableretzone-opdeling vedrørende fysiskadgang til forskellige områder.

Vi har observeret under besøg idatacentre, at adgang til sikre om-råder er begrænset ved anvendelseaf afgangssystem og er kun tildeltde medarbejdere, der har tilladelsetil indgang til den pågældende zone.

Vi har ved stikprøvevis inspektiongennemgået procedurer for fysisksikkerhed vedrørende sikrede om-råder for at vurdere, om adgang tildisse områder forudsætter doku-menteret ledelsesmæssig godken-delse, samt om personer uden god-kendelse til sikrede områder skalregistreres og ledsages af medar-bejder med behørig godkendelse.

Vi har ved stikprøvevis inspektiongennemgået medarbejdere medadgang til sikre områder og påset,at relevant dokumenteret ledelses-mæssig godkendelse foreligger.


Sikring af kontorer, lokaler ogfaciliteter

Der er etableret adgangskontrolsy-stem til alle serverrum samt kontor-områder, som sikrer, at alene ledel-sesgodkendte medarbejdere har ad-gang. Jævnfør punktet ”Fysisk sik-kerhedsafgrænsning” revideres ad-gange i forbindelse med ændring iansættelsesforhold eller opgavervedrørende adgangsrettigheder dogmindst en gang årligt.


Vi har foretaget inspektion af alleserverrum og påset, at alle ad-gangsveje er sikret med kortlæser.

Vi har foretaget stikprøvevis kon-trol af, at årlig gennemgang foreta-ges.


13

Kontrolmål: Fysisk sikkerhed

Driftsafviklingen foregår fra lokaler, som er beskyttet mod skader, der er resultatet af hændelser som f.eks.brand, vandskade, strømafbrydelse, tyveri eller hærværk.


Placering og beskyttelse af ud-styr

Datacentre er beskyttet mod f.eks.brand, vand og varme. Der er endvi-dere installeret udstyr til overvåg-ning af indeklima, herunder luftfug-tighed.


Vi har inspiceret driftsfaciliteterneog har påset, at brandbekæmpelses-systemer, monitorering af indekli-ma og køling i datacentre forefin-des.

Vi har ved stikprøvevis inspektiongennemgået dokumentation forvedligeholdelse af udstyr til bekræf-telse af, at dette løbende vedlige-holdes.


Understøttende forsyninger(forsyningssikkerhed)

Datacentre er beskyttet mod strøm-afbrydelse ved anvendelse af redun-dant UPS (Uninterruptible PowerSupply)-opsætning samt dieselbase-ret nødstrømsanlæg. Der køres ”livetest” månedligt med fuld last påhenholdsvis UPS- og dieselgenerator.Brandslukningsudstyr testes af leve-randøren under de gældende ser-viceaftaler.


Vi har under besøg i datacentreobserveret, at der foretages monito-rering af UPS og nødstrømsanlæg.

Vi har ved stikprøvevis inspektiongennemgået dokumentation forvedligeholdelse til bekræftelse af, atUPS eller nødstrømsanlæg løbendevedligeholdes og testes.


Sikring af kabler

Alle netværkskabler er placeret iserverrum.

Vi har observeret, at kabler til elek-tricitetsforsyning og datakommuni-kation er sikret mod skader og uau-toriserede indgreb.


14

Kontrolmål: Styring af kommunikation og drift

Der er etableret:

passende forretningsgange og kontroller vedrørende drift, herunder overvågning samt registreringaf og opfølgning på relevante hændelser

tilstrækkelige procedurer for sikkerhedskopiering og beredskabsplaner passende funktionsadskillelse i og omkring it-funktionerne, herunder mellem udvikling, drift samt

brugerfunktioner passende forretningsgange og kontroller vedrørende datakommunikationen, som på en hensigts-

mæssig måde sikrer mod risiko for tab af autenticitet, integritet, tilgængelighed samt fortrolighed.


Dokumenterede driftsprocedu-rer

Der forefindes drifts- og implemen-teringsprocedurer på alle væsentligeproduktområder. Ansvaret for vedli-geholdelse af disse ligger i de enkelteproduktområder.

Vi har forespurgt ledelsen om,hvorvidt alle relevante driftsproce-durer er dokumenteret.

I forbindelse med revision af deenkelte driftsområder er det vedstikprøvevis inspektion kontrolle-ret, at der foreligger dokumentere-de procedurer, samt at der er over-ensstemmelse mellem dokumenta-tionen og de handlinger, som fak-tisk udføres.


Funktionsadskillelse

Ledelsen har implementeret politik-ker og procedurer til sikring af til-fredsstillende funktionsadskillelse iden tekniske afdeling. Disse politik-ker og procedurer omfatter krav til,at:

adgange er tildelt ud fra arbejds-betingede behov

Athenas administrative platformer adskilt netværksmæssigt såvelsom brugermæssigt fra den tek-niske platform

udelukkende personale, ansat iden tekniske del, har adgang tilden tekniske platform – net-værksmæssigt såvel som bru-germæssigt.


Vi har gennemgået brugere medadministrative rettigheder til verifi-cering af, at adgange er begrundet iet arbejdsbetinget behov.

Vi har ved stikprøvevis inspektionkontrolleret, at det tekniske net eradskilt fra det administrative, samtat kun relevante personer har ad-gang til det tekniske net.


Foranstaltninger mod virus oglignende skadelig kode

Der er på både den tekniske og denadministrative platform etableretantivirusprogrammer, som bliveropdateret regelmæssigt.


Vi har ved stikprøvevis inspektiongennemgået teknisk opsætning tilbekræftelse af, at der er installeretantivirusprogrammer, samt at disseer opdateret.


15


Der er etableret:






Sikkerhedskopiering af infor-mationer

Der bliver foretaget sikkerhedskopie-ring af data med passende mellem-rum. Periodisk sker der test af, atdata kan genskabes fra sikkerheds-kopier.

Som backupsystem internt samt tilhostede løsninger benyttes Athenasfjernbackupprodukt efter sammeSLA som eksterne kunder. For ho-stede ydelser vil frekvens og versio-ner være beskrevet i den enkeltekontrakt med udgangspunkt i enminimumssikring, der går tre ugertilbage.

Vi har forespurgt ledelsen om deprocedurer/kontrolaktiviteter, derudføres, gennemgået backup-procedurer samt påset, at de ertilstrækkelige og formelt dokumen-terede.

Vi har ved stikprøvevis inspektiongennemgået backup-log for bekræf-telse af, at backup er gennemførtsuccesfuldt, alternativt at der fore-tages afhjælpning i tilfælde af mis-lykkede backupper.

Desuden har vi stikprøvevis kon-trolleret, at restore-test er udført.


Overvågning af systemanven-delse og auditlogning

Der er implementeret logning på allekritiske systemer.

Log fra kritiske systemer opsamlesog gennemgås i tilfælde af mistankeom uautoriserede hændelser og akti-viteter.

Aktivitet samt brugere med privile-gerede rettigheder (f.eks. superbru-gere) bliver overvåget i alle af Athenaudviklede systemer, som benyttes tilopgavestyring vedrørende ændrings-styring samt vedligehold af abonne-menter. Afvigende forhold undersø-ges og løses rettidigt.

Særligt risikofyldte operativsystemerog netværkstransaktioner eller akti-vitet samt brugere med privilegerederettigheder bliver overvåget. Afvi-gende forhold undersøges og løsesrettidigt.


Vi har gennemgået systemopsæt-ningen på servere og væsentligenetværksenheder samt ved stikprø-vevis inspektion påset, at parametrefor logning er opsat, således athandlinger, udført af brugere medudvidede rettigheder, bliver logget.

Vi har endvidere stikprøvevis kon-trolleret, at der foretages tilstræk-kelig opfølgning på log fra kritiskesystemer.


16


Der er etableret:






Fejllogning

Systemer er konfigureret til at opda-ge fejl i automatiske transaktions-processer (batch eller realtime), ba-seret på foruddefinerede kriterier, ogtil at blokere for viderebehandling.Systemgenererede fejlrapporter ved-rørende fejl i automatiske transakti-onsprocesser bliver undersøgt ogregistrerede fejl bliver løst rettidigt.Relevant vagtpersonale bliver infor-meret 24/7/365.


Vi har ved stikprøvevis inspektionkontrolleret konfigurationen af dekritiske systemer og påset, at drifts-relaterede fejl på serverne opdages.Vi har endvidere kontrolleret, at derelevante teknikere informeres viaalarmer.


17

Kontrolmål: Adgangsstyring

Der er etableret:

passende forretningsgange og kontroller for tildeling af, opfølgning på samt vedligeholdelse af ad-gangsrettigheder til systemer og data

logiske og fysiske adgangskontroller, som begrænser risikoen for uautoriseret adgang til systemer el-ler data

fornødne logiske adgangskontroller, der underbygger den organisatoriske funktionsadskillelse.


Brugerregistrering og admini-stration af privilegier

Alle adgange for nye og eksisterendebrugere vedrørende operativsyste-mer, netværk, databaser og datafilerblev gennemgået for at sikre over-ensstemmelse med virksomhedenspolitikker. Endvidere sikring af, atrettigheder er tildelt ud fra et ar-bejdsbetinget behov, er godkendt ogoprettet korrekt i systemer.


Vi har gennemgået procedurernefor brugeradministration samt kon-trolleret, at kontrolaktiviteter ertilstrækkeligt dækkende.

Vi har ved stikprøvevis inspektionpåset, at oprettelse af brugere ogtildeling af adgang var dokumente-ret og godkendt i overensstemmelsemed forretningsgangene.


Administration af brugerad-gangskoder (password)

Adgange til operativsystemer, net-værk, databaser og datafiler er be-skyttet med password. På Microsoft-platform er passwordpolitikken mi-nimum syv karakterer, og krav tilpasswordkompleksitet er aktiveret.

Desuden er der implementeret re-striktioner for både fysisk og logisknetværksadgang.

Vi har forespurgt ledelsen om deprocedurer/kontrolaktiviteter, derudføres i forbindelse med pass-wordkontroller, og påset, at detsikres, at der anvendes passendeautentifikation af brugere på alleadgangsveje.

Vi har ved inspektion kontrolleret,at der anvendes en passende pass-wordkvalitet i Athenas driftsmiljø –ved stikprøvevise test af, at adgangtil virksomhedens systemer skerved brug af brugernavn og pass-word.

Vi har observeret, at passwordsfor brugerkonti med administra-tor adgang til netværksenhederog VMware i perioden er skiftetmed varierende interval, og atder ultimo perioden er imple-menteret formelle procedurerfor regelmæssigt passwordskiftaf disse brugerkonti.

Vi har ikke ved vores test kon-stateret øvrige væsentlige afvi-gelser.

Evaluering af brugeradgangs-rettigheder

Ledelsen foretager periodisk gen-nemgang af brugerrettigheder tilsikring af, at disse er i overensstem-melse med brugernes arbejdsbetin-gede behov. Uoverensstemmelserundersøges og rettes rettidigt.


Vi har ved stikprøvevis inspektionkontrolleret, at der foretages perio-diske gennemgange til bekræftelseaf, at disse har fundet sted. Desu-den har vi ved stikprøvevis inspek-tion påset, at identificerede afvigel-ser afhjælpes.


18


Der er etableret:





Inddragelse af adgangsrettig-heder

Brugerrettigheder til operativsyste-mer, netværk, databaser og datafilervedrørende fratrådte medarbejderebliver inaktiveret rettidigt. Inddra-gelse af adgangsrettigheder påbe-gyndes med nærmeste leders god-kendelse.

Vi har forespurgt ledelsen om deprocedurer/kontrolaktiviteter, derudføres, for at inddragelse af ad-gangsrettigheder sker efter betryg-gende forretningsgange, og for atder foretages opfølgning i henholdtil forretningsgangene for de tildelteadgangsrettigheder.

Vi har endvidere ved stikprøvevisinspektion kontrolleret, at de be-skrevne forretningsgange er over-holdt for nedlagte brugere på sy-stemer, samt at inaktive brugerkon-ti deaktiveres ved fratrædelse.


Politik for anvendelse af net-værkstjenester, herunder au-tentifikation af brugere medekstern forbindelse

Datakommunikationen er tilrettelagtpå en hensigtsmæssig måde og ertilstrækkeligt sikret mod risiko fortab af autenticitet, integritet, tilgæn-gelighed samt fortrolighed. Der erendvidere foretaget en opdeling afnetværk, som følger Athenas funkti-onsopdeling såvel som opdeling iforhold til hver enkelt kunde. Til deleaf den tekniske platform udbydesVPN fra faste ip-adresser samt to-ken. Til den administrative platformbenyttes token-system. De nævnteplatforme er adskilt ved implemente-ring af adskillige VLANs.

Vi har forespurgt ledelsen om deprocedurer/kontrolaktiviteter, derudføres, og påset, at der anvendesen passende autentificeringsprocesfor driftsmiljøet.

Vi har ved stikprøvevis inspektionkontrolleret, at brugere identifice-res og verificeres, inden adganggives, samt at fjernadgangen erbeskyttet af VPN og opnås ved atanvende faste ip-adresser og to-kens.

Vi har ved inspektion konstateret,at netværket er segmenteret i ad-skilte net ved hjælp af VLANs for atreducere risikoen for uautoriseretadgang.


19


Der er etableret:





Styring af netværksforbindelser

Der udføres regelmæssigt gennem-gang af firewallregelsæt samttests/overvågning af den trafik dertillades gennem firewallen til sikringaf netværksforbindelser.

Vi har forespurgt ledelsen om deprocedurer/kontrolaktiviteter, derudføres, for at styre netværksfor-bindelser.

Vi har ved inspektion konstateret,at der er foretaget periodiske test afnetværkstrafikken, samt kontrolle-ret, at der er taget stilling til konsta-terede svagheder.

Vi har ved stikprøvevis inspektiongennemgået firewallkonfigurationog påset, at reglerne i firewallen ersat hensigtsmæssigt op.


Begrænset adgang til informa-tioner

Alle adgangsønsker for nye og eksi-sterende brugere vedrørende appli-kationer, databaser og datafiler bli-ver gennemgået for at sikre overens-stemmelse med virksomhedens poli-tikker til sikring af, at rettigheder ertildelt ud fra et arbejdsbetinget be-hov, er godkendt samt bliver korrektoprettet i systemer.

Vi har forespurgt ledelsen om deprocedurer/kontrolaktiviteter, derudføres, for at begrænse adgangentil informationer.

Vi har gennemgået procedurernefor brugeradministration samt kon-trolleret, at kontrolaktiviteter ertilstrækkeligt dækkende.

Vi har ved stikprøvevis inspektionkontrolleret, at tildeling af adgangtil data og systemer udføres ud fraet arbejdsrelateret behov og er god-kendt i overensstemmelse medforretningsgangene.


20

Kontrolmål: Anskaffelse, udvikling og vedligeholdelse af styresystemer

Der er etableret passende forretningsgange og kontroller for implementering og vedligeholdelse af styresy-stemer.


Styring af software på driftssy-stemer

Der er etableret separate it-miljøerfor udvikling, test og produktion.

Vi har forespurgt ledelsen om deprocedurer/kontrolaktiviteter, derudføres, herunder eksistensen af etversionsstyringsværktøj.

Vi har ved stikprøveinspektion gen-nemgået ændringer i perioden tilverifikation af, at ændringer er te-stet i testmiljøet – forinden idrift-sættelsen – og dokumenteret.


Ændringsstyring

Ændringer til operative systemer ognetværk bliver testet af kvalificeretpersonale inden flytning til produk-tion.

Test af ændringer til operativsyste-mer og netværk godkendes før flyt-ning til produktion.

Nødændringer af operativsystemerog netværk uden om den normaleforretningsgang bliver testet og god-kendt efterfølgende.

Kunderelaterede ændringer registre-res i opgavesystemet.

Interne ændringer (infrastruktur,interne platforme) registreres i op-gavesystemet eller i enkelte områ-ders dokumentation.

Samme formular anvendes til bådekunderelaterede og interne ændrin-ger.

Vi har forespurgt ledelsen om deprocedurer/kontrolaktiviteter, derudføres, gennemgået ændringssty-ringsprocedurernes tilstrække-lighed samt påset, at der er etable-ret et passende ændringshåndte-ringssystem, der er understøttet afen teknisk infrastruktur.

Vi har ved stikprøvevis inspektiongennemgået ændringsønsker forfølgende:

Registrering af ændringsan-modninger i det dertil etablere-de system.

Dokumenteret test af ændrin-ger, herunder godkendelse.

Godkendelse skal være opnåetfør implementering. Mundtligledelsesmæssig godkendelseanses for tilstrækkelig ved nød-ændringer, men skal dokumen-teres efterfølgende.

Dokumenteret plan for tilbage-rulning, hvor relevant.


21

Kontrolmål: Katastrofeplan

Athena IT-Group A/S er i stand til at fortsætte servicering af kunder i en katastrofesituation.


Opbygning/Struktur af Athenaskatastrofeberedskab

Den samlede katastrofeplan er medudgangspunkt i en risikoanalyse,opbygget af en overordnet katastro-festyringsprocedure samt operatio-nelle katastrofeplaner for de konkre-te katastrofeområder.

Den operationelle katastrofeplanindeholder beskrivelse af katastrofe-organisationen med de ledelsesmæs-sige funktionsbeskrivelser, kontakt-informationer, varslingslister samtinstrukser for de nødvendige ind-satsgrupper.

For de enkelte platforme er udarbej-det detaljerede indsatsgruppein-strukser for reetablering i forhold tilnøddrift.

Test af katastrofeberedskab

Der sker årlig test af katastrofebe-redskabet ved såvel skrivebordstestsom faktiske testscenarier.


Vi har gennemgået udleveret mate-riale vedrørende katastrofebered-skab samt påset, at den organisato-riske og operationelle it-kata-strofeplan indeholder ledelsesmæs-sige funktionsbeskrivelser, kontakt-informationer, varslingslister samtinstrukser.

Vi har ved stikprøvevis inspektionkontrolleret, at beredskabsplanertestes ved skrivebordstest eller viarealistiske testscenarier, i det om-fang det er muligt.


Athena IT-Group A/S Erklæring fra uafhængig revisor ... · Athena IT-Group A/S (Athena), der blev...

Documents

Transcript of Athena IT-Group A/S Erklæring fra uafhængig revisor ... · Athena IT-Group A/S (Athena), der blev...