ISAE 3402 Type 2 Cloud Services Eshgro B.V. te Boxmeer 15 januari 2015 1
Inhoudsopgave Blz. 1. Geheimhoudingsverklaring... 4 2. Opdracht, doelstelling en beoogd gebruik... 5 2.1 Opdracht... 5 2.2 Doelstelling en scope van het ISAE 3402 rapport... 5 2.3 Beoogd gebruik... 7 3. Managementverklaring... 8 4. Assurance-rapport van de onafhankelijke accountant... 9 5. Beschrijving serviceorganisatie...11 5.1 Inleiding...11 5.2 Infrastructuur...14 5.3 Software...17 5.4 Mens/personeel...19 5.5 Processen...22 5.6 Monitoring data...23 5.7 Subservice organisaties...24 5.8 Beheersomgeving/entity level controls...25 5.8.1 Intern beheersmodel - COSO...25 5.8.2 Beheersomgeving...26 5.8.3 Risicomanagement...28 5.8.4 Beheersmaatregelen...28 5.8.5 Monitoring...28 5.8.6 Informatie en communicatie...28 5.9 Beheersingsmaatregelen gebruikende entiteit...29 6. Opzet van de beheersmaatregelen...32 6.1 Service level management...32 6.2 Supplier management...40 6.3 Security management...47 6.4 Access management...53 6.5 Availability management...74 6.6 Continuity management...85 6.7 Configuration management...91 6.8 Change management...96 6.9 Incident management... 111 6.10 Operations management... 121 7. Uitgevoerde testwerkzaamheden... 128 7.1 Service level management... 129 7.2 Supplier management... 136 7.3 Security management... 144 7.4 Access management... 150 2
7.5 Availability management... 181 7.6 Continuity management... 194 7.7 Configuration management... 200 7.8 Change management... 204 7.9 Incident management... 218 7.10 Operations management... 227 3
1. Geheimhoudingsverklaring Dit ISAE 3402 rapport (Type 2), gedateerd 15 januari 2015, bevat vertrouwelijke informatie. De vertrouwelijke informatie in dit rapport zal altijd eigendom blijven van Eshgro B.V., hierna genoemd als Eshgro. Alleen het bestuur van de cliënten van Eshgro en hun accountants gebruiken deze informatie voor het beoordelen van de interne beheersing, voor zover relevant voor de betrouwbaarheid van financiële gegevens. Cliënten en/of hun accountants zullen de vertrouwelijke informatie niet kopiëren, reproduceren, verkopen, overdragen of op andere wijze distribueren of beschikbaar stellen aan een persoon, instelling of onderneming. 4
2. Opdracht, doelstelling en beoogd gebruik 2.1 Opdracht Eshgro wil het huidige niveau van interne beheersing verhogen en waarborgen. Als blijk van een adequate beheersing is het gewenst de ISAE 3402 Type 2 verklaring te behouden, geschikt voor de meerderheid van de cliënten en hun accountants. 2.2 Doelstelling en scope van het ISAE 3402 rapport Doelstelling ISAE 3402 Eshgro heeft met dit ISAE 3402 rapport (Type 2) als doelstelling de cliënten en hun accountants een redelijke mate van zekerheid te verschaffen over de interne beheersingsmaatregelen die Eshgro uitvoert, voor zover relevant voor de beschikbaarheid, integriteit en vertrouwelijkheid van de verleende Cloud Services. Scope ISAE 3402 In onderstaand figuur wordt de scope van de ISAE 3402 verklaring in relatie met de financiële verslaggeving van de cliënten weergegeven. Figuur 1 in scope ISAE 3402 5
Figuur 2 Elementen out-of-scope De activiteiten voor de technische en functionele ICT-beheerwerkzaamheden voor niet SaaSdiensten vallen buiten de scope. Een verdere toelichting hierop is opgenomen in paragraaf 5.7. ISAE 3402 Type 1 In het ISAE 3402 Type 1 rapport wordt door het management van de serviceorganisatie een beschrijving van haar systeem van interne beheersing beschreven zoals in opzet aanwezig, beschreven en geïmplementeerd is op één bepaalde datum. De auditor controleert in hoeverre deze beschrijving een getrouw beeld geeft van de opzet en implementatie van de interne beheersing in de serviceorganisatie. Tevens geeft de auditor in de assurance-rapportage weer in hoeverre de beheersingsmaatregelen, indien zij effectief zouden werken, de beheersingsdoelstellingen behalen. ISAE 3402 Type 2 Bij het ISAE 3402 Type 2 rapport worden de beheersingsdoelstellingen en de beheersingsmaatregelen in opzet en werking gedurende een bepaalde periode vastgesteld. In hoeverre de beheersingsmaatregelen in opzet aanwezig zijn en bovendien gedurende een bepaalde periode ook effectief werkzaam zijn geweest, wordt door de auditor gecontroleerd. Daarover doet de auditor verslag in een assurance-rapport. Eshgro brengt over de periode van 1 januari 2014 tot en met 31 december 2014 een rapport Type 2 uit. 6
2.3 Beoogd gebruik Dit rapport is uitsluitend bestemd voor de cliënten die de Cloud Services afnemen van Eshgro en hun accountants, die voldoende kennis hebben om deze te kunnen beoordelen in relatie tot andere informatie, waaronder informatie over beheersingsmaatregelen die door de cliënten zelf worden uitgevoerd, bij het bepalen van het risico op materiële onjuistheden in de financiële verslaggeving. Bij het beschikbaar stellen van het rapport aan anderen dan de beoogde gebruiker dient schriftelijke toestemming te worden verkregen van de auditor van de serviceorganisatie. 7
3. Managementverklaring Eshgro B.V. heeft een beschrijving opgesteld van haar serviceorganisatie en haar control framework met daarin de opgenomen beheersingsmaatregelen. Deze beheersingsmaatregelen zijn verwerkt in het ISAE 3402 rapport. Deze ISAE 3402 verklaring geeft de cliënten en haar externe accountants(dienst) redelijke mate van zekerheid over de kwaliteit van de Cloud Services in de termen van beschikbaarheid, integriteit en vertrouwelijkheid. Uitgangspunt is dat bovengenoemde cliënten en hun accountants voldoende kennis hebben om deze beschrijving te beoordelen ten einde inzicht te verwerven in de interne beheersing van Eshgro die relevant is voor de financiële verslaggeving van genoemde cliënten. Deze beschrijving dient gecombineerd te worden met overige informatie, waaronder informatie over de interne beheersingsmaatregelen die door de cliënten zelf worden uitgevoerd. De directie van Eshgro B.V. bevestigt dat: a) De bijgaande beschrijving van haar serviceorganisatie en controle framework met daarin opgenomen beheersingsmaatregelen, weergegeven in de hoofdstukken 5, 6 en 7 van deze rapportage, een getrouwe weergave is van de interne beheersing over de periode van 1 januari 2014 tot en met 31 december 2014. De criteria waarvan gebruik wordt gemaakt bij het maken van deze managementverklaring hield in dat de bijgaande beschrijving weergeeft op welke wijze het systeem is opgezet en geïmplementeerd gedurende de periode van 1 januari 2014 tot en met 31 december 2014. Het betreft de diensten, die zijn omschreven in paragraaf 2.2; b) Er zich geen relevante wijzigingen in het systeem van de serviceorganisatie hebben voorgedaan gedurende de periode van 1 januari 2014 tot en met 31 december 2014, anders dan het doorvoeren van verbeteringen; c) Er geen informatie is weggelaten of verkeerd is voorgesteld die relevant is voor de reikwijdte van het systeem dat is beschreven terwijl erkend wordt dat de beschrijving is opgesteld om te voldoen aan de algemene behoeften van een brede groep gebruikers en hun accountants en daarom niet ieder aspect van het systeem kan bevatten dat iedere individuele cliënt in diens eigen omgeving belangrijk kan achten; d) De interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de bijgaande beschrijving staan vermeld op afdoende wijze zijn opgezet en gedurende de periode van 1 januari 2014 tot en met 31 december 2014 effectief werkten. De criteria waarvan bij het maken van deze bewering gebruik werd gemaakt hielden in dat: de door Eshgro B.V. onderkende risico s zijn getrouw weergegeven in hoofdstuk 6; de onderkende interne beheersingsmaatregelen, indien zij werkzaam zijn zoals beschreven, een redelijke mate van zekerheid verschaffen dat die risico s het bereiken van de vermelde interne beheersingsdoelstellingen niet zouden verhinderen; de interne beheersingsmaatregelen gedurende de periode van 1 januari 2014 tot en met 31 december 2014 consistent zijn toegepast zoals opgezet. Boxmeer, 15 januari 2015 De directie van Eshgro B.V. A.T.J.M. Loeffen 8
Accou nta nts ~AKER TILLY BERK De directie van Eshgro B.V. Bereklauw 7 5831 PE BOXMEER Baker Tilly Berk N.V. Adastraat 7 Postbus 582 7600 AN Almelo T: +31 (0)54682 70 00 F: +31 (0)54681 87 66 E: almelo@bakertillyberk.nl KvK: 24425560 www.bakertillyberk.nl Datum 15 januari 2015 Referentie GW\GW\JB\0142211 \000007 Behandeld door G.F.L. Wolfert 4. Assurance-rapport van de onafhankelijke accountant Opdracht Wij hebben opdracht gekregen om te rapporteren over de beschrijving van de interne beheersing van Eshgro B.V., over de periode van 1 januari 2014 tot en met 31 december 2014, die van toepassing is op de beschikbaarheid, integriteit en vertrouwelijkheid van de verleende Cloud Services en over de opzet en werking van de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de beschrijving staan vermeld. Verantwoordelijkheden van Eshgro B.V. Het bestuur van Eshgro B.V. is verantwoordelijk voor het opstellen van de beschrijving en de managementverklaring op pagina 8, inclusief de volledigheid, juistheid en presentatie van de beschrijving en de managementverklaring, het verlenen van de diensten die door de beschrijving worden omvat, het vermelden van de interne beheersingsdoelstellingen en het opzetten, implementeren en effectief laten werken van de interne beheersingsmaatregelen om de vermelde beheersingsdoelstellingen te bereiken. Verantwoordelijkheid van de auditor van de serviceorganisatie Onze verantwoordelijkheid is, op basis van onze werkzaamheden, het geven van een oordeelover de beschrijving van Eshgro B.V. en over de opzet en werking van interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de beschrijving staan vermeld. Wij hebben onze opdracht uitgevoerd overeenkomstig Nederlands recht, waaronder de Nederlandse Standaard 3402, 'Assurance-rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie'. Dit vereist dat wij voldoen aan de voor ons geldende ethische voorschriften en onze werkzaamheden zodanig plannen en uitvoeren dat een redelijke mate van zekerheid wordt verkregen over de vraag of, in alle van materieel belang zijnde aspecten, de beschrijving getrouw is weergegeven en de interne beheersingsmaatregelen op afdoende wijze zijn opgezet en effectief werken. Een assurance-opdracht om te rapporteren over de beschrijving, opzet en werking van interne beheersingsmaatregelen bij een serviceorganisatie omvat het uitvoeren van werkzaamheden ter verkrijging van assurance-informatie over de toelichtingen in de beschrijving van de serviceorganisatie van haar systeem en de opzet en werking van interne beheersingsmaatregelen. De geselecteerde werkzaamheden zijn afhankelijk van de door de accountant van de serviceorganisatie toegepaste oordeelsvorming, met inbegrip van het inschatten van de risico's dat de beschrijving niet getrouw is weergegeven en dat interne beheersingsmaatregelen niet op afdoende wijze zijn opgezet of effectief werken. Onze werkzaamheden bevatten het toetsen van de werking van die interne beheersingsmaatregelen die wij noodzakelijk achten bij het verschaffen van een redelijke mate van zekerheid dat de interne beheersingdoelstellingen die in de beschrijving staan vermeld werden bereikt. Een assurance-opdracht van dit type omvat ook een evaluatie van het algehele beeld van de beschrijving, de geschiktheid van de interne beheersingsdoelstellingen die erin staan vermeld en de geschiktheid van de criteria die door de serviceorganisatie zijn gespecificeerd en beschreven staan in hoofdstuk 5. an independent member of BAKER TILLY I N TE RN AT [0 N AL Alle diensten worden verricht op basis van een overeenkomst van opdracht, gesloten met Baker Tilly Berk N.V., waarop van toepassing zijn de algemene voorwaarden, gedeponeerd bij de Kamer van Koophandelonder nr. 24425560. In deze voorwaarden is een beperking van aansprakelijkheid opgenomen.
Accountants ~AKER TILLY BERK Wij zijn van mening dat de door ons verkregen assurance-informatie voldoende en geschikt is om een onderbouwing voor ons oordeel te bieden. Beperkingen van interne beheersing bij een serviceorganisatie De beschrijving van Eshgro B.V. is opgezet om aan de algemene behoeften van een brede groep van cliënten en hun accountants te voldoen en kan daarom niet ieder aspect van het systeem bevatten dat iedere individuele cliënt in diens eigen bijzondere omgeving belangrijk kan achten. Bovendien kunnen interne beheersingsmaatregelen bij een serviceorganisatie, vanwege hun aard, niet alle fouten of omissies bij het verwerken of rapporteren van transacties voorkomen of ontdekken. Bovendien is de projectie van een eventuele evaluatie van de effectiviteit naar toekomstige verslagperioden onderhevig aan het risico dat interne beheersingsmaatregelen bij een serviceorganisatie inadequaat kunnen worden of falen. Oordeel Ons oordeel is gevormd op basis van de aangelegenheden die in deze rapportage zijn uiteengezet. De criteria waarvan wij gebruik hebben gemaakt bij het vormen van ons oordeel zijn de criteria die in de bewering van Eshgro B.V. die in de hoofdstukken 5, 6 en 7 staan beschreven. Naar ons oordeel, in alle van materieel belang zijnde aspecten: 1. Geeft de beschrijving van Eshgro B.V. van haar interne beheersingssysteem, die van toepassing is op de beschikbaarheid, integriteit en vertrouwelijkheid van de verleende Cloud Services, getrouw weer zoals deze gedurende de periode van 1 januari 2014 tot en met 31 december 2014 is opgezet en geïmplementeerd; 2. Zijn de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de beschrijving staan vermeld gedurende de periode van 1 januari 2014 tot en met 31 december 2014 op afdoende wijze opgezet; en 3. Werkte de getoetste interne beheersingsmaatregelen, die noodzakelijk waren om een redelijke mate van zekerheid te verschaffen dat de in de beschrijving vermelde interne beheersingsdoelstellingen waren bereikt, gedurende de periode 1 januari 2014 tot en met 31 december 2014 effectief. Beschrijving van getoetste interne beheersingsmaatregelen De specifieke getoetste interne beheersingsmaatregelen en de aard, timing en resultaten van die toetsingen zijn opgenomen in de hoofdstukken 5, 6 en 7. Beoogde gebruikers en doel Deze rapportage en de beschrijving van toetsingen van de interne beheersingsmaatregelen in de hoofdstukken 5, 6 en 7 zijn alleen bestemd voor cliënten die gebruik hebben gemaakt van de Cloud Services van Eshgro B.V. en hun accountants, die voldoende inzicht hebben om het in aanmerking te nemen bij het inschatten van de risico's op afwijkingen van materieel belang in de financiële overzichten van cliënten, tezamen met overige informatie met inbegrip van informatie over interne beheersingsmaatregelen die door cliënten zelf worden uitgevoerd. Almelo, 15 januari 2015 Baker Tilly Berk N.V. Was getekend: drs. G.F.L. Wolfert RA an independent member of BAKER TILLY [NTERNATIONAL
5. Beschrijving serviceorganisatie 5.1 Inleiding De Eshgro-organisatie is zowel qua structuur als processen geheel ingericht op het verlenen van online services, specifiek voor cliënten die hoge eisen stellen aan beschikbaarheid, integriteit en vertrouwelijkheid. Dienstverlening Eshgro Figuur 3 Functionaliteiten binnen de cloud omgeving 11
Figuur 4 Aangeboden functionele elementen binnen de cloud omgeving De Cloud Services bevat de volgende hoofdactiviteiten: Hoofdactiviteiten Korte omschrijving proces Primair betrokken 1. Platform & Application Production De activiteiten van Platform & Application Production bestaan onder andere uit het uitvoeren van onderhoud, beheer en ontwikkeling van het platform waarop de Cloud Services wordt uitgevoerd. Platform engineers Quality manager 2. Pro-active Management, Service & Support De activiteiten van Pro-active Management, Service & Support zijn gericht op het verlenen van service, het geven van support en het uitvoeren van onderhoud en beheer voor de klanten van de Cloud Services. Servicedesk manager Client manager Servicedesk engineers Dispatch Quality manager 3. Implementation & Migration De activiteiten van Implementation & Migration zijn gericht op de migratie en de implementatie van de ICT-omgeving van cliënten. Project engineers Project manager Quality manager 12
De activiteiten Platform & Application Production en Pro-active Management, Service & Support zijn in scope van dit rapport opgenomen. De activiteiten van Implementation & Migration zijn buiten scope van dit rapport, aangezien deze activiteit gericht is op de migratie en implementatie van ICTomgevingen van klanten waarbij deze activiteiten per klant verschillend zijn. Figuur 5 Aangeboden diensten Eshgro In de volgende hoofdstukken worden de componenten beschreven die door Eshgro worden gebruikt om de dienst te verlenen. Ze zijn onderverdeeld in: infrastructuur, software, mens, processen en data. 13
5.2 Infrastructuur Hieronder is een beschrijving opgenomen van de infrastructuur. Figuur 6 Logische opbouw Eshgro Cloud Services 14
Figuur 7 Onderliggende techniek Figuur 8 Redundantie in hardware 15
Het Platform is zo ingericht dat er meer nodes per cluster zijn dan daadwerkelijk nodig is voor de werking. Indien er één uitvalt, ondervinden cliënten geen hinder. Tevens zijn er meerdere clusters ingericht zodat het verplaatsen van een virtuele omgeving altijd mogelijk is indien er cluster problemen zijn. Er zijn meerdere firewalls waarvan één spare ingericht. Cliënten kunnen dus direct naar een andere firewall verplaatst worden indien nodig. De SSL is HA ingericht (high availability) wat inhoudt dat als er één uitvalt de ander het direct overneemt. Figuur 9 virtualisatie van de servers HP en DCA zijn als subservice organisatie betrokken bij de dienstverlening, zie hiervoor hoofdstuk 5.7. De firewalls en de SSL-apparatuur wordt aangeschaft, onderhouden en ingericht door Eshgro. De overige aspecten worden geleverd door HP. Hiervoor is een contract en Statement of Work aanwezig. De daadwerkelijke inrichting wordt uitgevoerd door Eshgro. Daarnaast is de housing van de infrastructuur ondergebracht bij DCA. Met DCA is een overeenkomst (inclusief een Service Level Description en aanvullende bepalingen) afgesloten met betrekking tot de housing. 16
5.3 Software Eshgro maakt met betrekking tot de hiervoor genoemde hoofdactiviteiten gebruik van de volgende applicaties: Hoofdactiviteit Applicatie Omschrijving Type contract 1. Platform & Application Production Microsoft Hyper-V Virtualisatie software van Microsoft SPLA 1 Microsoft Virtual Machine Manager Beheerconsole virtuele servers SPLA VMware ESX Virtualisatie software van VMware Support overeenkomst Microsoft SCOM Met behulp van SCOM worden de back-upstatussen van alle aangesloten clients gemeld en gemonitord SPLA HPSIM HPSIM wordt gebruikt om metingen ten aanzien van de hardware in het datacenter (blades, enclosures, storage) weer te geven Support overeenkomst HPIMC HPIMC geeft informatie weer met betrekking tot de netwerkcomponenten, waarbij onder andere de performance c.q. de belasting wordt weergegeven Support overeenkomst HP Tipping Point HP TippingPoint geeft inzicht in het dataverkeer Support overeenkomst PRTG PRTG wordt gebruikt om de storage op de cluster te monitoren Support overeenkomst 2. Pro-active Management, Service & Support Cherwell Cherwell is de servicedesk applicatie waarin onder andere de incidenten, changes, service requesten, configuratie items worden vastgelegd. De verschillende operationele processen zijn vastgelegd in deze applicatie Support overeenkomst Microsoft SCOM Met behulp van SCOM worden de back-up statussen van alle aangesloten clients gemeld en gemonitord. Tevens wordt SCOM gebruikt voor het monitoren van de virtuele machines op o.a. performance, schijfruimte en OS meldingen. SPLA Kaseya Kaseya geeft informatie weer op basis van het (klant) domein. Hierbij worden registraties weergegeven van OS, data storage (binnen de virtuele machine) en events. Kaseya is uitgefaseerd per Q2 van 2014. Support overeenkomst 1 Services Provider License Agreement 17
Hoofdactiviteit Applicatie Omschrijving Type contract GoToAssist Remote control tool Support overeenkomst VisionApp Beheerconsole SaaS-servers Support overeenkomst 3. Implementation & Migration Microsoft Hyper-V Virtualisatie software van Microsoft SPLA Microsoft Virtual Machine Manager Beheerconsole virtuele servers SPLA VMware ESX Virtualisatie software van VMware Support overeenkomst 18
5.4 Mens/personeel Hieronder wordt de organisatiestructuur van Eshgro B.V. weergegeven: Directie Anton Loeffen (CEO) Guido Wouters (COO) Finance HRM Procurement Officemanagement Koen van Hoof Total QualityManagement Nathalie Holwerda R&D Remco van den Bergh Parrner Sales & Marketing Datacenter & Techniek Operations Michel Jeucken Peter Stam Nathalie Holwerda Pro-active Management, Service & Support Implementation & Migration Platform & Application production Nathalie Holwerda Thijs Bisseling Peter Stam Figuur 10 Organisatiestructuur Eshgro Het bestuur van Eshgro wordt gevormd door de gezamenlijk bevoegde bestuurders zoals genoemd in de statuten van Eshgro Beheer B.V. De aandeelhouders benoemen het bestuur/directie. De directie bestaat uit de volgende personen: Anton Loeffen Guido Wouters Algemeen directeur: Verantwoordelijkheden: Strategie, Finance, Business Development; Operationeel directeur: Verantwoordelijkheden: Operations. De taken en verantwoordelijkheden van de directie staan beschreven in het directiereglement zoals vastgesteld is op 1 januari 2011. Functiescheiding: De doelstellingen welke middels functiescheiding afgedekt worden zijn: Het voorkomen dat de integriteit (juistheid, tijdigheid, volledigheid en controleerbaarheid) van ICT-diensten wordt aangetast (doordat ongeautoriseerde wijzigingen kunnen zijn aangebracht aan de onderliggende ICT-middelen); Het voorkomen dat de integriteit van data wordt aangetast (doordat ongeautoriseerde transacties kunnen zijn uitgevoerd); Het voorkomen dat de vertrouwelijkheid van opgeslagen gegevens wordt aangetast. 19
KLANT - De klant heeft onderstaande taken, verantwoordelijkheden en bevoegdheden: Registratie: - Aanmelden van incidenten of change requests per mail; - Goedkeuring geven voor het doorvoeren van wijzigingen die door een niet-geautoriseerd persoon van de klantorganisatie worden ingediend. Uitvoering: - Functionele wijzigingen binnen klantspecifieke applicaties zoals het aanmaken van een gebruiker binnen een applicatie; - Testen van klantspecifieke applicaties voor na een update op test- en/of productieomgeving. Controle: - De klant beoordeelt zelf of het incident of de change die hij heeft ingediend naar wens is uitgevoerd, Dit door middel van de afmelding van het ticket dat hij altijd per mail ontvangt; - De klant beoordeelt zelf of de inhoudelijke werking van een applicatie correct is; - De klant beoordeelt zelf welke rechten medewerkers binnen zijn organisatie horen te krijgen, op zowel Windows niveau als applicatie niveau. Monitoring: - De klant monitort zelf de status en voortgang van zijn ingediende incident of change request; - De klant monitort zelf of zijn medewerkers nog de juiste toegang en rechten hebben conform hun huidige functie. BEHEERORGANISATIE Eshgro heeft onderstaande taken, verantwoordelijkheden en bevoegdheden: Registratie: - Beoordelen van ingediende change requests en zorgen voor goedkeuring van een geautoriseerd persoon bij de klant; - Verwerken van incidenten en goedgekeurde change requests van de klant; - Aanmelden van incidenten per mail of via portal bij leveranciers. Uitvoering: - Uitvoer van platform activiteiten (incidenten en changes) door het platform production team; dit houdt bijvoorbeeld schijfuitbreiding van een server in of het wijzigen van poorten op een firewall. - Uitvoer van servicedesk activiteiten (incidenten en changes) door het proactive management, service & support team; dit houdt bijvoorbeeld in het oplossen van een incident met betrekking tot inlogproblemen van een klant of het updaten van een klantspecifieke applicatie; - De platform- en de klantspecifieke laag zijn door een rechtenstructuur gescheiden op basis van het functiehuis. Hierdoor kunnen Eshgro-medewerkers geen technische werkzaamheden uitvoeren die niet binnen hun functie horen. Controle: - Vanuit de dispatch functie wordt er controle op de registratie van incidenten en changes uitgevoerd. Tijdens deze controle wordt bijvoorbeeld de CMDB bijgewerkt, wordt gecontroleerd of procedures zijn gevolgd, of wordt gecontroleerd of de afsluiting van de ticket correct is op basis van de aanvraag van de klant. Monitoring: - De dispatcher monitort de voortgang van alle openstaande tickets en zorgt voor frequente status updates en communicatie met de klant; - De planning monitort de voortgang van grotere wijzigingen, indien nodig samen met een project manager; - Er worden periodieke controles en steekproeven op security aspecten uitgevoerd. Deze controles worden uitgevoerd door een medewerker onafhankelijk van de uitvoering. 20
LEVERANCIER - De leverancier van Eshgro heeft onderstaande taken, verantwoordelijkheden en bevoegdheden: Registratie: - Verwerken van incidenten van Eshgro in het ticket systeem van de betreffende leverancier. Eshgro ontvangt altijd een registratie nummer per mail of via een portal. Uitvoering: - Uitvoeren van herstelwerkzaamheden aan hardware, bijvoorbeeld het vervangen van een disk van een blade in het datacentrum; - Een leverancier kan niet zelfstandig changes in de omgeving van Eshgro uitvoeren. Controle: - Door middel van afmelding van tickets per mail beoordeelt Eshgro of de leverancier het ticket naar wens van Eshgro/de klant van Eshgro heeft uitgevoerd. Monitoring: - Eshgro kan zelf de performance van afgenomen hardware monitoren en is hiervan dus niet afhankelijk van de leverancier. 21
5.5 Processen Voor het waarborgen van de activiteiten van Platform & Application Production en Pro-active Management, Service & Support (zie beschrijving dienst) zijn de volgende beheersprocessen ingericht volgens ITIL V2 ( best practices ): 1. Service level management; 2. Supplier management; 3. Security management; 4. Access management. 5. Availability management; 6. Continuity management; 7. Configuration management; 8. Change management; 9. Incident management; 10. Operations management. Bovenstaande processen ten aanzien van Platform & Application Production en Pro-active Management, Service & Support zijn zoveel mogelijk ingebed in de servicedesk-tool Cherwell. De relaties tussen deze processen is tevens ingebed in de servicedesk-tool Cherwell. Incidenten worden geregistreerd in Cherwell waarbij de oplostijden vanuit de SLA worden gekoppeld aan het incident. Daarnaast kunnen incidenten worden doorgezet naar changes of gekoppeld worden aan een problem. Bij het doorvoeren van een change waarbij configuratie items moeten worden bijgewerkt kan de betreffende configuration item in de CMDB worden bijgewerkt. Op basis van deze registraties en uitgangspunten gesteld vanuit de SLA worden de rapportages opgesteld welke periodiek worden afgestemd met de klant. De impact voor security-, availability-, en access management wordt onder andere bij het beoordelen van een change vastgelegd in Cherwell. Op basis van deze gegevens wordt onder andere het beveiligingsbeleid periodiek geëvalueerd. De vorenstaande processen zijn nader uitgewerkt. Deze processen zijn tezamen met de beheersingsdoelstellingen en beheersmaatregelen vastgelegd in hoofdstuk 6. 22
5.6 Monitoring data Onderstaande monitoring tools worden bij Eshgro gebruikt: Platform & Application Production: - IMC: Metingen ten aanzien van de verbindingen tussen Eshgro en de klant; - Tippingpoint: Metingen ten aanzien van verkeer naar de firewalls; - HPSIM: Metingen ten aanzien van de hardware in het datacenter (blades, enclosures, storage); - PRTG: Metingen ten aanzien van de aanwezige storage op cluster niveau; - SCOM 2012: Metingen ten aanzien van de platform servers. Pro-active Management, Service & Support: - Kaseya: Metingen ten aanzien van de virtuele servers (schijfruimte, geheugengebruik, CPU, up/down time). Kaseya is uitgefaseerd in Q2 2014; - SCOM 2012: Metingen van alle virtuele servers op de klantlaag en de back-up statussen. Eshgro verstuurt een rapportage over de prestaties naar haar klanten. Zelf meet Eshgro de KPI s op de servers, netwerk en interne processen. 23
5.7 Subservice organisaties In deze ISAE 3402 Type 2 wordt de uitsluitingsmethode (carve-out methode) gehanteerd voor de beschrijving van de belangrijkste diensten die worden verleend door subservice organisaties. Eshgro maakt gebruik van de volgende subservice organisaties. De wijze waarop gemonitord wordt, is beschreven in hoofdstuk 6.2. Organisatie Aard van de dienstverlening en belangrijke afspraken HP Beschikbaar stellen van specifieke kennis ten aanzien van blades, storage, netwerk componenten en inrichting. Data Center Arnhem Beschikbaar stellen van benodigde hardware componenten en overcapaciteit. Monitoren en evaluatie van de ingezette hardware componenten. Samenwerking tussen Eshgro en HP voor het ontwikkelen en realiseren van innoverende technische platformen. Een uitvloeisel hiervan is onder andere de HP innovative partner of the year Award gewonnen door Eshgro in 2011 + 2013. Data Center Arnhem levert in Nederland een geconditioneerde en beveiligde ruimte aan onder andere Netlogics (Netlogics kan de verbindingen leveren tussen het datacenter en de klant). Een deel van deze ruimte neemt Eshgro af waarin zij haar hardware componenten onderbrengt. Voor onderhoud aan de hardware componenten van Eshgro maakt Eshgro gebruik van de fysieke toegangsbeveiliging met de daarbij behorende beheersingsmaatregelen van DCA. DCA is verantwoordelijk voor het verzorgen van de juiste omgevingsvariabelen, de stroomvoorziening en de beveiliging van de ruimte waarin de hardware is geplaatst. DCA garandeert een minimaal beschikbaarheidspercentage van 99,9%. DCA beschikt over een periode van 1 april 2013 tot en met 30 september 2013 over een SOC2 Type 2 assurance-verklaring voor haar primaire datacenter. Een nieuwe versie van deze verklaring is nog niet beschikbaar. Omdat deze relaties belangrijk zijn voor Eshgro en haar cliënten, besteedt de directie van Eshgro veel aandacht aan het beheren en onderhouden van deze relaties. Dit blijkt onder andere uit reguliere overleggen en mailwisselingen van de directie met deze partijen. 24
5.8 Beheersomgeving/entity level controls In deze paragraaf wordt de interne beheersing nader toegelicht aan de hand van het COSO-model. Het COSO-model biedt een uniform en gemeenschappelijk referentiekader voor een intern beheersingssysteem en ondersteunt het management bij de verbetering van het systeem. 5.8.1 Intern beheersmodel - COSO Het COSO-model heeft de volgende indeling: Beheersomgeving; Risicomanagement; Beheersmaatregelen; Monitoring; Informatie en communicatie. Beheersomgeving De interne omgeving omvat de toon van een organisatie en stelt de basis voor hoe risico s worden beschouwd en aangepakt door de mensen van een onderneming, inclusief risicobeheer en risicoacceptatiegraad, integriteit, ethische normen en waarden en de omgeving waarin zij opereren. Risicomanagement Risico s worden geanalyseerd, rekening houdend met hun waarschijnlijkheid en impact, als basis voor het vaststellen hoe deze zouden moeten worden beheerst. De inherente en restrisico s worden geschat. Beheersmaatregelen Richtlijnen en procedures worden geformuleerd en geïmplementeerd om te waarborgen dat de maatregelen het risico effectief mitigeert. Monitoring De totaliteit van ondernemingsrisicomanagement wordt bewaakt en wijzigingen worden waar nodig aangebracht. Bewaking wordt mogelijk gemaakt door voortdurende managementactiviteiten, afzonderlijke evaluaties of beide. Informatie en communicatie Figuur 11 COSO-model Relevante informatie wordt geïdentificeerd, verzameld en gecommuniceerd in een vorm en tijdsbestek die mensen in staat stellen hun verantwoordelijkheden uit te voeren. Effectieve communicatie vindt ook in ruimere zin plaats, horizontaal, verticaal en bilateraal binnen een onderneming. 25
5.8.2 Beheersomgeving Een belangrijk deel van de beheersomgeving zijn de entity level controls. Entity level controls zijn interne controles die zorgdragen dat de richtlijnen die gesteld worden door het management in de gehele entiteit (lees: organisatie) worden uitgevoerd. Het COSO-model in combinatie met de entity level controls kunnen als volgt schematisch worden weergegeven: Figuur 12 Beheersomgeving en entity level controls De directie van Eshgro staat centraal in de beheersomgeving gezien de eindverantwoordelijkheid die ze draagt en de richtlijnen die ze stelt voor de organisatie. De belangrijkste componenten in de organisatie zijn weergegeven in de cirkel rondom het management. Hieronder zijn de aandachtgebieden in het COSO-proces weergegeven. Financieel - Directie onderhoudt periodieke persoonlijke contacten met HP, Microsoft DCA (waaronder Netlogics). - Verantwoordelijke medewerkers binnen Eshgro dragen zorg voor het voldoen aan de formele vereisten voor partnership. - Jaarlijks wordt een begroting opgesteld en middels KPI s wordt hierover gerapporteerd. - Concurrentie- en markt analyse wordt periodiek uitgevoerd. Wet- en regelgeving - Periodiek wordt getoetst of de online diensten van Eshgro voldoen aan de relevante wet- en regelgeving. Infrastructuur - Maandelijks wordt de directie geadviseerd over de benodigde capaciteit. - Periodiek wordt middels interne reviews en externe audits de omgeving getoetst. Software - Directie onderhoudt periodieke persoonlijke contacten met HP, Microsoft en DCA. - Verantwoordelijke medewerkers binnen Eshgro dragen zorg voor het voldoen aan de formele vereisten voor partnership. 26
Mens/personeel - De serviceorganisatie beschikt over voldoende deskundigheid door intern personeel/of externe dienstverleners, inclusief vervangend personeel in geval van tijdelijke afwezigheid. - Medewerkers worden periodiek bijgeschoold in relevante nieuwe ontwikkelingen en procesaanpassingen. Processen - Beleid is vastgelegd en door het management van de serviceorganisatie geaccordeerd over de doelstellingen, reikwijdte, randvoorwaarden, relaties met aanverwante processen, prioriteiten en werkwijze van het proces. - De inrichting van het proces, de procedures, rollen, functiescheidingen en ondersteunende systemen worden beschreven en door management geaccordeerd. - Het proces is in onderlinge afstemming met aanverwante processen ingericht. - De verantwoordelijkheden voor de inrichting, uitvoering, bewaking en onderhoud van het proces zijn toegewezen. - Transacties van het beheersproces worden in een doorlopende reeks vastgelegd. - Registraties van het proces worden veilig gesteld en gearchiveerd. Data - De data is gemonitord op de servers. - Controle op de prestatie van de hardware. 27
5.8.3 Risicomanagement Eshgro heeft geen Raad van Commissarissen. De directie is in grote mate betrokken bij de activiteiten en hecht veel waarde aan een goede interne beheersing. Dit uit zich bijvoorbeeld in het risicomanagementproces van Eshgro. Risicomanagement heeft op alle niveaus binnen Eshgro veel aandacht. De strategische risicoanalyse staat standaard op de agenda van de directie van Eshgro. Vanuit de strategische risico s zijn beheersingsinstrumenten door het bestuur gedefinieerd die onder meer zichtbaar zijn in procedures, richtlijnen en standaard werkwijzen. De naleving wordt door en namens de directie continu getoetst. De directie van Eshgro beoordeelt periodiek of sprake is van nieuwe risico s en relevante ontwikkelingen. 5.8.4 Beheersmaatregelen Het formuleren en implementeren van beleid en procedures is erop gericht risico s effectief te beheersen. Binnen Eshgro zijn de noodzakelijke functiescheidingen en beslissingsbevoegdheden vastgelegd in de gepresenteerde organisatiestructuur in paragraaf 5.4 en is de functiescheiding tussen de klant, beheerorganisatie en leveranciers beschreven. 5.8.5 Monitoring Eshgro beschikt niet over een interne audit dienst. Het management van Eshgro toetst de werking van de interne controle op de volgende wijzen: Rapportages door de financial controller tijdens periodiek managementoverleg; Periodiek bespreken van de key performance indicatoren; Periodiek een quality review door professionals; Controles uitgevoerd door de auditor in het kader van ISAE 3402; Controles door de Quality manager. 5.8.6 Informatie en communicatie Het management van Eshgro hecht veel waarde aan de communicatie en informatie van haar medewerkers en cliënten. Interne communicatie Wekelijks zijn er team meetings waarbij minimaal een MT-lid aanwezig is. Tweewekelijks is er een managementvergadering waarbij de directie aanwezig is. Maandelijks is de managementvergadering en een financieel overleg waarin ook de controller aanwezig om de resultaten van de afgelopen periode te evalueren en de doelstelling voor de komende perioden te bepalen. Jaarlijks wordt vooraf een begroting vastgesteld. Externe communicatie Op de website worden nieuwsbrieven geplaatst zodat relaties geïnformeerd blijven over de ontwikkeling van Eshgro. Daarnaast worden actief lezingen en seminars gegeven. Via relatiebeheer en bezoek van prospects worden contacten onderhouden en uitgebreid. 28
5.9 Beheersingsmaatregelen gebruikende entiteit De interne beheersingsmaatregelen zoals uitgevoerd door Eshgro vormen een deel van het geheel van interne beheersingsmaatregelen ter waarborging van de betrouwbaarheid van bedrijfsprocessen en financiële verslaggeving van haar cliënten. Daarom is het belangrijk dat de cliënten van Eshgro zelf een aantal interne beheersingsmaatregelen uitvoeren om tot een afdoende betrouwbaar geheel van interne controle te komen. Hieronder worden de belangrijkste activiteiten weergegeven die door de cliënt uitgevoerd dienen te worden. Activiteit Proces Door de cliënt uit te voeren controles Aandragen beleidspunten Beoordelen geleverde dienstverlening Beoordelen geleverde dienstverlening Aandragen beleidspunten Wijzigingen in toegangsrechten Wijzigingen in toegangsrechten Wijzigingen in toegangsrechten Service level management Service level management Service level management Security management Access management Access management Access management De klantorganisatie is zelf verantwoordelijk voor het aandragen van eigen beleidspunten met betrekking tot de beveiliging die aanvullend op het Eshgro beveiligingsbeleid geïmplementeerd dienen te worden. De klantenorganisatie is zelf verantwoordelijk om de SLR-rapportage te beoordelen en te melden indien de SLR onjuistheden bevat en/of niet eens is met de rapportage. De klantenorganisatie dient zelfstandig te beoordelen of de geleverde dienstverlening (bijvoorbeeld beschikbaarheid, incidenten, changes, problems) overeenkomt met de door Eshgro gerapporteerde dienstverlening. De klantorganisatie is zelf verantwoordelijk voor het aandragen van beleidspunten met betrekking tot de beveiliging. De klantenorganisatie is zelf verantwoordelijk voor het uitvoeren van een risicoanalyse en de onderkende risico's aan te geven bij Eshgro. De klantenorganisatie dient aan te geven in de wijzigingen waartoe de medewerker rechten heeft. ICT-contactpersonen van de klant die accountgegevens (inlognaam en wachtwoord) verkrijgen van een servicedeskmedewerker van Eshgro dienen hiermee vertrouwelijk om te gaan, en deze alleen af te geven aan de juiste persoon. Eindgebruikers van de klantenorganisaties dienen inlognamen en wachtwoorden niet te verspreiden onder andere eindgebruikers. De klantenorganisatie is zelf verantwoordelijk voor het inbedden van een procedure om de controle van de identiteit van de gebruiker vast te stellen bij nieuwe indiensttredingen. Binnen de applicatie is de klantenorganisatie zelf verantwoordelijk voor het aanmaken, toekennen, wijzigen en verwijderen van identiteits- en authenticatiemiddelen. De klantenorganisatie is zelf verantwoordelijk voor de inhoudelijke controle of de gebruiker de juiste rechten heeft verkregen. 29
Activiteit Proces Door de cliënt uit te voeren controles Wijzigingen in toegangsrechten Wijzigingen in toegangsrechten Wijzigingen in toegangsrechten Wijzigingen in toegangsrechten Wijzigingen in toegangsrechten Beoordelen geleverde dienstverlening Aandragen beleidspunten Aandragen beleidspunten Aandragen beleidspunten Access management Access management Access management Access management Access management Availability management Availability management Availability management Continuity management De klantenorganisatie dient zelfstandig changes te melden indien wijzigingen plaatsvinden (indienst, uitdienst en functiewijziging) aan medewerkers. Daarbij dient de klantenorganisatie eenduidig aan te geven welke wijzigingen plaats dienen te vinden die door Eshgro uitgevoerd dienen te worden. Klanten zijn zelf verantwoordelijk voor het gebruikersbeheer bij de klantspecifieke applicaties. De klantenorganisatie dient zelfstandig de autorisaties en de toegangsrechten van haar medewerkers te beoordelen binnen de Windows omgeving en de klant specifieke applicaties. De klantenorganisatie is zelf verantwoordelijk voor het monitoren van de verleende identiteits- en authenticatiemiddelen. De klantenorganisatie dient zelf te beoordelen of wijzigingen kunnen leiden tot consequenties op de ingerichte toegangsrechten en ingebedde functiescheidingen. De klantenorganisaties die gebruikmaken van groepenbeheer kunnen zelfstandig wijzigingen aanbrengen aan de autorisaties binnen de klantomgeving. De klantenorganisatie die hiervan gebruikmaken dienen zelfstandig de doorgevoerde wijzigingen te beoordelen. De klantenorganisatie dient zelfstandig metingen bij te houden ten aanzien van de beschikbaarheid van de ICT-dienst. De klantenorganisatie dient het backupschema en de retentietijd daarvan aan te geven. De klantenorganisatie dient zelf de mate van beschikbaarheid te bepalen (bijvoorbeeld met of zonder uitwijklocatie). Indien de klantenorganisatie ook in het geval van een calamiteit wil beschikken over de Cloud-dienst dient de klantenorganisatie een redundante productieomgeving op de colocatie in te laten richten door Eshgro. De klantenorganisatie is zelf verantwoordelijk voor de data-connectie tussen het datacenter en vestiging. Om in het geval van een calamiteit internetverbinding te behouden dient hierbij een secundaire internet verbindingen te worden afgesloten. Wijzigingen melden Change management De klantenorganisatie dient changes zelf te melden indien het een wijziging wil doorvoeren in haar omgeving. Wijzigingen beoordelen Change management Indien een wijziging niet naar behoren is uitgevoerd dient de klantenorganisatie de wijziging te heropenen. 30
Wijzigingen beoordelen Change management Het inhoudelijke testen van de cliënt specifieke applicaties dient uitgevoerd te worden door de gebruikersorganisatie/klant. Incidenten melden Incident management Indien incidenten plaatsvinden, dient de klantenorganisatie deze incidenten te melden; ook beveiligingsincidenten. 31