Se seneste erklæring her (pdf) - EG A/S
Se seneste erklæring her (pdf) - EG A/S
Se seneste erklæring her (pdf) - EG A/S
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Kontrolmal: Adgangsstyring<br />
Der er etableret:<br />
• passende forretningsgange og kontroller for tildeling af opfolgning pa samt vedligeholdelse af adgangsrettigheder<br />
til systemer og data<br />
• logiske og fysiske adgangskontroller, som begrsenser risikoenfor uautoriseret adgang til systemer eller data<br />
• fornodne logiske adgangskontroller, der underbygger den organisatoriske funktionsadskillelse.<br />
Kontrolmal/Kontrol<br />
Inddragelse af adgangsrettigheder<br />
Brugerrettigheder til operativsystemer,<br />
netvaerk, databaser og datafiler vedrorende<br />
fratradte medarbejdere bliver<br />
inaktiveret rettidigt.<br />
Politik for anvendelse af netvaerkstjenester,<br />
<strong>her</strong>under autentifikation<br />
af brugere med ekstern forbindelse<br />
Datakommunikationen er tilrettelagt pa<br />
en hensigtsmaessig made og er tilstraekkeligt<br />
sikret mod risiko for tab af autenticitet,<br />
integritet, tilgaengelighed samt<br />
fortrolighed. Der benyttes SMS passcode,<br />
token eller VPN, nar medarbejdere skal<br />
tilga systemer udefra. Der er endvidere<br />
foretaget en opdeling af netvaerk, hvor<br />
dette er fundet nodvendigt eller aftalt<br />
med kunden.<br />
Styring af netvaerksforbindelser<br />
Der udfores halvarlige penetrationstest<br />
med en sikkerhedsscanner. Der udfores<br />
test af udvalgte IP ranges, for at teste at<br />
regler i firewall er sat rigtigt op.<br />
Kontrolmal E.i: Adgangsstyring<br />
Vi har forespurgt ledelsen om de procedurer/kontrolaktiviteter,<br />
der udfores,<br />
for at inddragelse af adgangsrettigheder<br />
sker efter betryggende forretningsgange,<br />
og at for der foretages opfolgning i<br />
henhold til forretningsgangene pa de<br />
tildelte adgangsrettigheder.<br />
Vi har endvidere ved stikprovevis inspektion<br />
kontrolleret, at de beskrevne<br />
forretningsgange er overholdt for nedlagte<br />
brugere pa systemer, samt at inaktive<br />
brugerkonti deaktiveres ved fratraedelse.<br />
Vi har forespurgt ledelsen om de procedurer/kontrolaktiviteter,<br />
der udfores,<br />
og paset, at der anvendes en passende<br />
autentificeringsproces for driftsmiljoet.<br />
Vi har ved stikprovevis inspektion kontrolleret,<br />
at brugere identificeres og<br />
verificeres, inden adgang gives, samt at<br />
fjernadgangen er beskyttet af VPN.<br />
Vi har ved inspektion konstateret, at<br />
netvaerket er segmenteret i mindre net<br />
ved hjaelp af VLANs og DMZs for at<br />
reducere risikoen for uautoriseret adgang.<br />
Vi har forespurgt ledelsen om de procedurer/kontrolaktiviteter,<br />
der udfores,<br />
for at styre netvaerksforbindelser.<br />
Vi har ved inspektion konstateret, at<br />
der er foretaget periodiske penetrationstest,<br />
samt kontrolleret, at der er<br />
taget stilling til konstaterede svagheder.<br />
Vi har ved stikprovevis inspektion gennemgaet<br />
firewallkonfiguration, og paset,<br />
at reglerne i firewallen er sat hensigtsmaessigt<br />
op.<br />
Vi har ikke ved vores test konstateret<br />
vaesentlige afvigelser.<br />
Vi har ikke ved vores test konstateret<br />
vaesentlige afvigelser.<br />
Vi har ikke ved vores test konstateret<br />
vaesentlige afvigelser.<br />
18