ISAE 3402: Beviset på god IT-skik

Baseret på en risikovurdering er der udarbejdet et sæt informationssikkerhedspolitikker, som er godkendt af ledelsen. Politikkerne er blevet offentliggjort og kommunikeret til medarbejdere og relevante eksterne parter. Politikkerne gennemgås årligt, eller når det er påkrævet på grund af væsentlige ændringer, for at sikre, at de fortsat er hensigtsmæssige, tilstrækkelige og effektive. Politikkerne understøttes af en række operationelle procedurer.

Vismas ledelse har defineret og fordelt al ansvar for informationssikkerhed, udnævnt en informationssikkerhedsansvarlig og etableret et informationssikkerhedsråd. Roller og ansvar er defineret, og modstridende opgaver og modstridende ansvarsområder er adskilt.

Illustrationen ovenfor viser strukturen for informationssikkerhed. 

Før ansættelse sikrer Visma, at medarbejdere og eksterne konsulenter forstår deres ansvar, og at de er egnede til de roller, som de overvejes til. Dette omfatter screening af straffeattester og kontraktlige aftaler (herunder fortrolighedsaftaler) med medarbejdere og eksterne konsulenter, der angiver deres og organisationens ansvar for informationssikkerhed.

Under ansættelsen og efter opsigelse eller ændring af ansættelsen sikrer Visma, at medarbejdere og eksterne konsulenter er bevidste om deres informationssikkerhedsansvar. Dette omfatter bevidsthed om informationssikkerhed, træning og uddannelse.

Visma har identificeret organisationens aktiver og defineret passende beskyttelsesansvar. Der er udarbejdet en fortegnelse over aktiver, som vedligeholdes, herunder procedurer for acceptabel brug af aktiver.

Procedurer for fysisk medieoverførsel og for returnering og bortskaffelse af medier er blevet etableret og implementeret for at forhindre uautoriseret offentliggørelse, ændring, fjernelse eller ødelæggelse af information, der er gemt på medier.

Visma sikrer, at information og optegnelser får et passende beskyttelsesniveau i overensstemmelse med deres betydning for organisationen. Dette omfatter klassificering af oplysninger og optegnelser i forhold til lovkrav, værdi, kritikalitet og følsomhed over for uautoriseret offentliggørelse eller ændring. Personoplysninger, der behandles på vegne af kunder, er altid klassificeret som fortrolige.

For at sikre privatlivets fred og beskyttelse af personligt identificerbare oplysninger er der etableret, vedligeholdt og kommunikeret politikker for acceptabel brug og overførsel af oplysninger samt en privatlivspolitik.

Visma sikrer beskyttelsen af data, der bruges til test. Der er etableret en tilgang til test samt strategier og designteknikker til test.

For at understøtte informationsbeskyttelse og forhindre datalækage gennemføres der regelmæssigt træning i informationssikkerhed og privatlivets fred, og der implementeres sikkerhedsforanstaltninger på brugernes slutpunkter.

Visma sikrer, at adgangen til information og informationsbehandlingsfaciliteter er begrænset. En adgangskontrolpolitik, baseret på forretnings- og informationssikkerhedskrav, er blevet etableret og dokumenteret og gennemgås regelmæssigt. Brugere får kun adgang til tjenester, som de specifikt er blevet autoriseret til at bruge.

Visma sikrer autoriseret brugeradgang for at forhindre uautoriseret adgang til systemer og tjenester. Der er etableret og implementeret en proces for brugerregistrering, afregistrering og tildeling af brugeradgang. Privilegerede adgangsrettigheder som domæneadministratorer er begrænset og kontrolleret. Brugernes adgangsrettigheder til begrænsede oplysninger gennemgås med jævne mellemrum.

Adgangsrettighederne til information og informationsbehandlingsfaciliteter fjernes ved ansættelsens ophør.

Vismas medarbejdere er ansvarlige for at beskytte deres autentificeringsoplysninger. Brugere instrueres i at følge organisationens praksis for brug af hemmelige autentifikationsoplysninger.

Visma sikrer, at uautoriseret adgang til systemer og applikationer forhindres. Adgang til informations- og applikationssystemfunktioner begrænses og kontrolleres af en sikker log-on-procedure, og systemer til administration af adgangskoder sikrer adgangskoder af høj kvalitet.

Visma sørger for sikker og effektiv konfiguration af hardware, software, tjenester og netværk. Dette omfatter procedurer for brug af privilegerede hjælpeprogrammer og installation af software samt brug af kryptografi på udvalgte områder for at beskytte fortroligheden, autenticiteten og integriteten af information.

Visma sikrer, at uautoriseret adgang til organisationens information og informationsbehandlingsfaciliteter forhindres. Sikkerhedsperimetre er defineret, og kontorer, rum og faciliteter er sikret med fysiske adgangskontroller.

Vitale faciliteter, vitalt udstyr og understøttende forsyninger er beskyttet mod fysiske og miljømæssige trusler eller andre forstyrrelser.

En politik vedrørende clear desk, clear screen og flytbare lagringsmedier er blevet etableret og implementeret.

Visma overvåger løbende trusselsbilledet og vurderer og evaluerer eventuelle sårbarheder i systemer og applikationer. Visma minimerer risikoen for udnyttelse af tekniske sårbarheder ved hjælp af en effektiv patch-procedure, penetrationstest i henhold til en defineret tidsplan samt løbende sårbarhedsscanninger.

Trussels- og sårbarhedsstyringen understøttes af et implementeret Cyber Threat Intelligence-program.

Visma sikrer korrekt og sikker drift af informationsbehandlingssystemer, applikationer og faciliteter. Der er etableret en politik for driftsprocedurer, og der er implementeret et workflow for ændringshåndtering for at sikre kontrol med ændringer i produktionsmiljøerne. Udviklings-, test-, staging- og produktionsmiljøer er adskilt, og ændringer i produktionsmiljøer skal planlægges og testes.

Visma sikrer, at information er beskyttet mod malware. Visma har implementeret og kommunikeret en politik for acceptabel brug. For at understøtte malware-beskyttelse er der etableret webfiltrering.

Der er etableret en software-rekvisitionsproces for at begrænse installationen af software. Antallet af arbejdsstationsadministratorer er begrænset og gennemgås regelmæssigt.

Revisionsaktiviteter planlægges for at minimere forstyrrelser.

Visma sikrer beskyttelse af information i netværk og dets understøttende informationsbehandlingsfaciliteter. Netværk administreres og kontrolleres, og grupper af informationstjenester og brugere adskilles på netværk.

Visma sikrer et sikkert design og implementering af informationssystemer for at sikre et struktureret og velkontrolleret miljø. En systemudviklings- og vedligeholdelsespolitik er blevet etableret og implementeret og understøttes af en etableret sikker softwareudviklingslivscyklus og ved brug af en etableret ændringsstyringsarbejdsgang.

Den etablerede livscyklus for sikker softwareudvikling indeholder krav til:

• gennemgang af applikationer efter ændringer i driftsplatformene
• restriktioner på ændringer i softwarepakker
• sikre systemtekniske principper
• sikkert udviklingsmiljø
• outsourcet udvikling
• systemsikkerhedstest og systemaccepttest.

Visma sikrer en konsekvent og effektiv tilgang til håndtering af informationssikkerheds- eller privatlivshændelser, herunder kommunikation om sikkerheds- eller privatlivshændelser og svagheder. Der er etableret og implementeret en proces for informationssikkerheds- eller privatlivsrelaterede hændelser eller svagheder. Rapporterede hændelser og svagheder vedrørende informationssikkerhed eller beskyttelse af personlige oplysninger gennemgås og klassificeres regelmæssigt.

Visma sikrer logning for at registrere hændelser og generere beviser. Hændelseslogfiler, der registrerer brugeraktiviteter, undtagelser, fejl og informationssikkerhedshændelser, genereres og opbevares. Der genereres logfiler til reaktiv brug. Logoplysninger beskyttes mod manipulation og uautoriseret adgang, og der sikres et korrekt tidsstempel. Udvalgte logfiler overvåges proaktivt og indeholder en alarmfunktion.

For at understøtte sporbarhed er der etableret tidssynkronisering.

Der er etableret en politik for styring af forretningskontinuitet. Business continuity-planer og action cards er etableret og implementeret og verificeres regelmæssigt.

Systemressourcer overvåges løbende for at sikre rettidig handling i tilfælde af afvigelser eller forstyrrelser. Væsentlige behandlingsfaciliteter og udstyr er redundant med indbygget failover-funktionalitet.

Visma sikrer beskyttelse mod tab af data. Backup- og backup-restore-tests udføres regelmæssigt.

I samarbejde med Vismas juridiske afdeling forebygger Visma brud på juridiske, lovmæssige, regulatoriske eller kontraktlige forpligtelser i forbindelse med informationssikkerhed og eventuelle sikkerhedskrav. Processer til identifikation af lovgivningsmæssige eller kontraktlige krav er blevet etableret og implementeret, og et register over kontraktlige afvigelser såvel som lovgivningsmæssige krav er blevet etableret og vedligeholdes.

Overholdelse af lovgivningsmæssige eller kontraktlige krav vedrørende intellektuelle ejendomsrettigheder sikres af Vismas juridiske afdeling og er angivet i kundekontrakter og ansættelseskontrakter.