isae 3402 type 2 cloud services - bechtle › medias › wcbfvk9paevipdfncqyv58-30.pdfaccou nta nts...

1

ISAE 3402 Type 2Cloud Services

Eshgro B.V.te Boxmeer

15 januari 2015

2

InhoudsopgaveBlz.

1. Geheimhoudingsverklaring .................................................................................................. 4

2. Opdracht, doelstelling en beoogd gebruik.............................................................................. 5

2.1 Opdracht ...................................................................................................................... 5

2.2 Doelstelling en scope van het ISAE 3402 rapport............................................................... 5

2.3 Beoogd gebruik ............................................................................................................. 7

3. Managementverklaring ....................................................................................................... 8

4. Assurance-rapport van de onafhankelijke accountant ............................................................. 9

5. Beschrijving serviceorganisatie ...........................................................................................11

5.1 Inleiding......................................................................................................................11

5.2 Infrastructuur ..............................................................................................................14

5.3 Software .....................................................................................................................17

5.4 Mens/personeel............................................................................................................19

5.5 Processen....................................................................................................................22

5.6 Monitoring data............................................................................................................23

5.7 Subservice organisaties.................................................................................................24

5.8 Beheersomgeving/entity level controls ............................................................................25

5.8.1 Intern beheersmodel - COSO....................................................................................25

5.8.2 Beheersomgeving ...................................................................................................26

5.8.3 Risicomanagement..................................................................................................28

5.8.4 Beheersmaatregelen ...............................................................................................28

5.8.5 Monitoring .............................................................................................................28

5.8.6 Informatie en communicatie.....................................................................................28

5.9 Beheersingsmaatregelen gebruikende entiteit ..................................................................29

6. Opzet van de beheersmaatregelen ......................................................................................32

6.1 Service level management.............................................................................................32

6.2 Supplier management ...................................................................................................40

6.3 Security management ...................................................................................................47

6.4 Access management .....................................................................................................53

6.5 Availability management ...............................................................................................74

6.6 Continuity management ................................................................................................85

6.7 Configuration management............................................................................................91

6.8 Change management ....................................................................................................96

6.9 Incident management .................................................................................................111

6.10 Operations management ...........................................................................................121

7. Uitgevoerde testwerkzaamheden ......................................................................................128

7.1 Service level management...........................................................................................129

7.2 Supplier management .................................................................................................136

7.3 Security management .................................................................................................144

7.4 Access management ...................................................................................................150

3

7.5 Availability management .............................................................................................181

7.6 Continuity management ..............................................................................................194

7.7 Configuration management..........................................................................................200

7.8 Change management ..................................................................................................204

7.9 Incident management .................................................................................................218

7.10 Operations management ...........................................................................................227

4

1. Geheimhoudingsverklaring

Dit ISAE 3402 rapport (Type 2), gedateerd 15 januari 2015, bevat vertrouwelijke informatie.De vertrouwelijke informatie in dit rapport zal altijd eigendom blijven van Eshgro B.V., hiernagenoemd als Eshgro. Alleen het bestuur van de cliënten van Eshgro en hun accountants gebruikendeze informatie voor het beoordelen van de interne beheersing, voor zover relevant voor debetrouwbaarheid van financiële gegevens. Cliënten en/of hun accountants zullen de vertrouwelijkeinformatie niet kopiëren, reproduceren, verkopen, overdragen of op andere wijze distribueren ofbeschikbaar stellen aan een persoon, instelling of onderneming.

5

2. Opdracht, doelstelling en beoogd gebruik

2.1 OpdrachtEshgro wil het huidige niveau van interne beheersing verhogen en waarborgen. Als blijk van eenadequate beheersing is het gewenst de ISAE 3402 Type 2 verklaring te behouden, geschikt voor demeerderheid van de cliënten en hun accountants.

2.2 Doelstelling en scope van het ISAE 3402 rapportDoelstelling ISAE 3402

Eshgro heeft met dit ISAE 3402 rapport (Type 2) als doelstelling de cliënten en hun accountants eenredelijke mate van zekerheid te verschaffen over de interne beheersingsmaatregelen die Eshgrouitvoert, voor zover relevant voor de beschikbaarheid, integriteit en vertrouwelijkheid van deverleende Cloud Services.

Scope ISAE 3402

In onderstaand figuur wordt de scope van de ISAE 3402 verklaring in relatie met de financiëleverslaggeving van de cliënten weergegeven.

Figuur 1 in scope ISAE 3402

6

Figuur 2 Elementen out-of-scope

De activiteiten voor de technische en functionele ICT-beheerwerkzaamheden voor niet SaaS-diensten vallen buiten de scope. Een verdere toelichting hierop is opgenomen in paragraaf 5.7.

ISAE 3402 Type 1

In het ISAE 3402 Type 1 rapport wordt door het management van de serviceorganisatie eenbeschrijving van haar systeem van interne beheersing beschreven zoals in opzet aanwezig,beschreven en geïmplementeerd is op één bepaalde datum.

De auditor controleert in hoeverre deze beschrijving een getrouw beeld geeft van de opzet enimplementatie van de interne beheersing in de serviceorganisatie. Tevens geeft de auditor in deassurance-rapportage weer in hoeverre de beheersingsmaatregelen, indien zij effectief zoudenwerken, de beheersingsdoelstellingen behalen.

ISAE 3402 Type 2

Bij het ISAE 3402 Type 2 rapport worden de beheersingsdoelstellingen en debeheersingsmaatregelen in opzet en werking gedurende een bepaalde periode vastgesteld. Inhoeverre de beheersingsmaatregelen in opzet aanwezig zijn en bovendien gedurende een bepaaldeperiode ook effectief werkzaam zijn geweest, wordt door de auditor gecontroleerd. Daarover doet deauditor verslag in een assurance-rapport.

Eshgro brengt over de periode van 1 januari 2014 tot en met 31 december 2014 een rapport Type 2uit.

7

2.3 Beoogd gebruikDit rapport is uitsluitend bestemd voor de cliënten die de Cloud Services afnemen van Eshgro en hunaccountants, die voldoende kennis hebben om deze te kunnen beoordelen in relatie tot andereinformatie, waaronder informatie over beheersingsmaatregelen die door de cliënten zelf wordenuitgevoerd, bij het bepalen van het risico op materiële onjuistheden in de financiële verslaggeving.Bij het beschikbaar stellen van het rapport aan anderen dan de beoogde gebruiker dient schriftelijketoestemming te worden verkregen van de auditor van de serviceorganisatie.

8

3. Managementverklaring

Eshgro B.V. heeft een beschrijving opgesteld van haar serviceorganisatie en haar control frameworkmet daarin de opgenomen beheersingsmaatregelen. Deze beheersingsmaatregelen zijn verwerkt inhet ISAE 3402 rapport. Deze ISAE 3402 verklaring geeft de cliënten en haar externeaccountants(dienst) redelijke mate van zekerheid over de kwaliteit van de Cloud Services in determen van beschikbaarheid, integriteit en vertrouwelijkheid.

Uitgangspunt is dat bovengenoemde cliënten en hun accountants voldoende kennis hebben om dezebeschrijving te beoordelen ten einde inzicht te verwerven in de interne beheersing van Eshgro dierelevant is voor de financiële verslaggeving van genoemde cliënten.Deze beschrijving dient gecombineerd te worden met overige informatie, waaronder informatie overde interne beheersingsmaatregelen die door de cliënten zelf worden uitgevoerd.

De directie van Eshgro B.V. bevestigt dat:a) De bijgaande beschrijving van haar serviceorganisatie en controle framework met daarinopgenomen beheersingsmaatregelen, weergegeven in de hoofdstukken 5, 6 en 7 van dezerapportage, een getrouwe weergave is van de interne beheersing over de periode van 1januari 2014 tot en met 31 december 2014. De criteria waarvan gebruik wordt gemaakt bijhet maken van deze managementverklaring hield in dat de bijgaande beschrijving weergeeftop welke wijze het systeem is opgezet en geïmplementeerd gedurende de periode van 1januari 2014 tot en met 31 december 2014. Het betreft de diensten, die zijn omschreven inparagraaf 2.2;

b) Er zich geen relevante wijzigingen in het systeem van de serviceorganisatie hebbenvoorgedaan gedurende de periode van 1 januari 2014 tot en met 31 december 2014, andersdan het doorvoeren van verbeteringen;

c) Er geen informatie is weggelaten of verkeerd is voorgesteld die relevant is voor de reikwijdtevan het systeem dat is beschreven terwijl erkend wordt dat de beschrijving is opgesteld omte voldoen aan de algemene behoeften van een brede groep gebruikers en hun accountantsen daarom niet ieder aspect van het systeem kan bevatten dat iedere individuele cliënt indiens eigen omgeving belangrijk kan achten;

d) De interne beheersingsmaatregelen die verband houden met de internebeheersingsdoelstellingen die in de bijgaande beschrijving staan vermeld op afdoende wijzezijn opgezet en gedurende de periode van 1 januari 2014 tot en met 31 december 2014effectief werkten. De criteria waarvan bij het maken van deze bewering gebruik werdgemaakt hielden in dat:x de door Eshgro B.V. onderkende risico’s zijn getrouw weergegeven in hoofdstuk 6;x de onderkende interne beheersingsmaatregelen, indien zij werkzaam zijn zoalsbeschreven, een redelijke mate van zekerheid verschaffen dat die risico’s het bereikenvan de vermelde interne beheersingsdoelstellingen niet zouden verhinderen;

x de interne beheersingsmaatregelen gedurende de periode van 1 januari 2014 tot en met31 december 2014 consistent zijn toegepast zoals opgezet.

Boxmeer, 15 januari 2015

De directie van Eshgro B.V.

A.T.J.M. Loeffen

Accou nta nts ~AKER TILLYBERK

De directie vanEshgro B.V.Bereklauw 75831 PE BOXMEER

Baker Tilly Berk N.V.Adastraat 7Postbus 5827600 AN AlmeloT: +31 (0)54682 70 00F: +31 (0)54681 87 66E: [email protected]: 24425560www.bakertillyberk.nl

Datum15 januari 2015

ReferentieGW\GW\JB\0142211 \000007

Behandeld doorG.F.L. Wolfert

4. Assurance-rapport van de onafhankelijke accountantOpdrachtWij hebben opdracht gekregen om te rapporteren over de beschrijving van de interne beheersingvan Eshgro B.V., over de periode van 1 januari 2014 tot en met 31 december 2014, die vantoepassing is op de beschikbaarheid, integriteit en vertrouwelijkheid van de verleende Cloud Servicesen over de opzet en werking van de interne beheersingsmaatregelen die verband houden met deinterne beheersingsdoelstellingen die in de beschrijving staan vermeld.

Verantwoordelijkheden van Eshgro B.V.Het bestuur van Eshgro B.V. is verantwoordelijk voor het opstellen van de beschrijving en demanagementverklaring op pagina 8, inclusief de volledigheid, juistheid en presentatie van debeschrijving en de managementverklaring, het verlenen van de diensten die door de beschrijvingworden omvat, het vermelden van de interne beheersingsdoelstellingen en het opzetten,implementeren en effectief laten werken van de interne beheersingsmaatregelen om de vermeldebeheersingsdoelstellingen te bereiken.

Verantwoordelijkheid van de auditor van de serviceorganisatieOnze verantwoordelijkheid is, op basis van onze werkzaamheden, het geven van een oordeelover debeschrijving van Eshgro B.V. en over de opzet en werking van interne beheersingsmaatregelen dieverband houden met de interne beheersingsdoelstellingen die in de beschrijving staan vermeld. Wijhebben onze opdracht uitgevoerd overeenkomstig Nederlands recht, waaronder de NederlandseStandaard 3402, 'Assurance-rapporten betreffende interne beheersingsmaatregelen bij een service-organisatie'. Dit vereist dat wij voldoen aan de voor ons geldende ethische voorschriften en onzewerkzaamheden zodanig plannen en uitvoeren dat een redelijke mate van zekerheid wordtverkregen over de vraag of, in alle van materieel belang zijnde aspecten, de beschrijving getrouw isweergegeven en de interne beheersingsmaatregelen op afdoende wijze zijn opgezet en effectiefwerken.

Een assurance-opdracht om te rapporteren over de beschrijving, opzet en werking van internebeheersingsmaatregelen bij een serviceorganisatie omvat het uitvoeren van werkzaamheden terverkrijging van assurance-informatie over de toelichtingen in de beschrijving van de service-organisatie van haar systeem en de opzet en werking van interne beheersingsmaatregelen.De geselecteerde werkzaamheden zijn afhankelijk van de door de accountant van deserviceorganisatie toegepaste oordeelsvorming, met inbegrip van het inschatten van de risico's datde beschrijving niet getrouw is weergegeven en dat interne beheersingsmaatregelen niet opafdoende wijze zijn opgezet of effectief werken. Onze werkzaamheden bevatten het toetsen van dewerking van die interne beheersingsmaatregelen die wij noodzakelijk achten bij het verschaffen vaneen redelijke mate van zekerheid dat de interne beheersingdoelstellingen die in de beschrijvingstaan vermeld werden bereikt. Een assurance-opdracht van dit type omvat ook een evaluatie vanhet algehele beeld van de beschrijving, de geschiktheid van de interne beheersingsdoelstellingen dieerin staan vermeld en de geschiktheid van de criteria die door de serviceorganisatie zijngespecificeerd en beschreven staan in hoofdstuk 5.

• an independent member of

BAKER TILLYI NTE RNAT [0 NAL

Alle diensten worden verricht op basis van eenovereenkomst van opdracht, gesloten metBaker Tilly Berk N.V., waarop van toepassing zijn dealgemene voorwaarden, gedeponeerd bij de Kamervan Koophandelonder nr. 24425560.In deze voorwaarden is een beperking vanaansprakelijkheid opgenomen.

Accountants ~AKER TILLYBERK

Wij zijn van mening dat de door ons verkregen assurance-informatie voldoende en geschikt is omeen onderbouwing voor ons oordeel te bieden.

Beperkingen van interne beheersing bij een serviceorganisatieDe beschrijving van Eshgro B.V. is opgezet om aan de algemene behoeften van een brede groep vancliënten en hun accountants te voldoen en kan daarom niet ieder aspect van het systeem bevattendat iedere individuele cliënt in diens eigen bijzondere omgeving belangrijk kan achten. Bovendienkunnen interne beheersingsmaatregelen bij een serviceorganisatie, vanwege hun aard, niet allefouten of omissies bij het verwerken of rapporteren van transacties voorkomen of ontdekken.Bovendien is de projectie van een eventuele evaluatie van de effectiviteit naar toekomstigeverslagperioden onderhevig aan het risico dat interne beheersingsmaatregelen bij een service-organisatie inadequaat kunnen worden of falen.

OordeelOns oordeel is gevormd op basis van de aangelegenheden die in deze rapportage zijn uiteengezet.De criteria waarvan wij gebruik hebben gemaakt bij het vormen van ons oordeel zijn de criteria diein de bewering van Eshgro B.V. die in de hoofdstukken 5, 6 en 7 staan beschreven. Naar onsoordeel, in alle van materieel belang zijnde aspecten:

1. Geeft de beschrijving van Eshgro B.V. van haar interne beheersingssysteem, die van toepassingis op de beschikbaarheid, integriteit en vertrouwelijkheid van de verleende Cloud Services,getrouw weer zoals deze gedurende de periode van 1 januari 2014 tot en met 31 december2014 is opgezet en geïmplementeerd;

2. Zijn de interne beheersingsmaatregelen die verband houden met de interne beheersings-doelstellingen die in de beschrijving staan vermeld gedurende de periode van 1 januari 2014 toten met 31 december 2014 op afdoende wijze opgezet; en

3. Werkte de getoetste interne beheersingsmaatregelen, die noodzakelijk waren om een redelijkemate van zekerheid te verschaffen dat de in de beschrijving vermelde interne beheersings-doelstellingen waren bereikt, gedurende de periode 1 januari 2014 tot en met 31 december 2014effectief.

Beschrijving van getoetste interne beheersingsmaatregelenDe specifieke getoetste interne beheersingsmaatregelen en de aard, timing en resultaten van dietoetsingen zijn opgenomen in de hoofdstukken 5, 6 en 7.

Beoogde gebruikers en doelDeze rapportage en de beschrijving van toetsingen van de interne beheersingsmaatregelen in dehoofdstukken 5, 6 en 7 zijn alleen bestemd voor cliënten die gebruik hebben gemaakt van de CloudServices van Eshgro B.V. en hun accountants, die voldoende inzicht hebben om het in aanmerking tenemen bij het inschatten van de risico's op afwijkingen van materieel belang in de financiëleoverzichten van cliënten, tezamen met overige informatie met inbegrip van informatie over internebeheersingsmaatregelen die door cliënten zelf worden uitgevoerd.

Almelo, 15 januari 2015

Baker Tilly Berk N.V.

Was getekend:

drs. G.F.L. Wolfert RA

• an independent member of

BAKER TILLY[NTERNATIONAL

0555jber

10

11

5. Beschrijving serviceorganisatie

5.1 InleidingDe Eshgro-organisatie is zowel qua structuur als processen geheel ingericht op het verlenen vanonline services, specifiek voor cliënten die hoge eisen stellen aan beschikbaarheid, integriteit envertrouwelijkheid.

Dienstverlening Eshgro

Figuur 3 Functionaliteiten binnen de cloud omgeving

12

Figuur 4 Aangeboden functionele elementen binnen de cloud omgeving

De Cloud Services bevat de volgende hoofdactiviteiten:

Hoofdactiviteiten Korte omschrijving proces Primair betrokken

1. Platform &Application Production

De activiteiten van ‘Platform &Application Production’ bestaanonder andere uit het uitvoeren vanonderhoud, beheer en ontwikkelingvan het platform waarop de CloudServices wordt uitgevoerd.

Platform engineers

Quality manager

2. Pro-activeManagement,Service & Support

De activiteiten van ‘Pro-activeManagement, Service & Support’zijn gericht op het verlenen vanservice, het geven van support enhet uitvoeren van onderhoud enbeheer voor de klanten van deCloud Services.

Servicedesk manager

Client manager

Servicedesk engineers

Dispatch

Quality manager

3. Implementation &Migration

De activiteiten van ‘Implementation& Migration’ zijn gericht op demigratie en de implementatie vande ICT-omgeving van cliënten.

Project engineers

Project manager

Quality manager

13

De activiteiten ‘Platform & Application Production’ en ‘Pro-active Management, Service & Support’zijn in scope van dit rapport opgenomen. De activiteiten van ‘Implementation & Migration’ zijn buitenscope van dit rapport, aangezien deze activiteit gericht is op de migratie en implementatie van ICT-omgevingen van klanten waarbij deze activiteiten per klant verschillend zijn.

Figuur 5 Aangeboden diensten Eshgro

In de volgende hoofdstukken worden de componenten beschreven die door Eshgro worden gebruiktom de dienst te verlenen. Ze zijn onderverdeeld in: infrastructuur, software, mens, processen endata.

14

5.2 InfrastructuurHieronder is een beschrijving opgenomen van de infrastructuur.

Figuur 6 Logische opbouw Eshgro Cloud Services

15

Figuur 7 Onderliggende techniek

Figuur 8 Redundantie in hardware

16

Het Platform is zo ingericht dat er meer nodes per cluster zijn dan daadwerkelijk nodig is voor dewerking. Indien er één uitvalt, ondervinden cliënten geen hinder. Tevens zijn er meerdere clustersingericht zodat het verplaatsen van een virtuele omgeving altijd mogelijk is indien er clusterproblemen zijn. Er zijn meerdere firewalls waarvan één spare ingericht. Cliënten kunnen dus directnaar een andere firewall verplaatst worden indien nodig. De SSL is HA ingericht (high availability)wat inhoudt dat als er één uitvalt de ander het direct overneemt.

Figuur 9 virtualisatie van de servers

HP en DCA zijn als subservice organisatie betrokken bij de dienstverlening, zie hiervoor hoofdstuk5.7. De firewalls en de SSL-apparatuur wordt aangeschaft, onderhouden en ingericht door Eshgro.De overige aspecten worden geleverd door HP. Hiervoor is een contract en Statement of Workaanwezig. De daadwerkelijke inrichting wordt uitgevoerd door Eshgro. Daarnaast is de housing vande infrastructuur ondergebracht bij DCA. Met DCA is een overeenkomst (inclusief een Service LevelDescription en aanvullende bepalingen) afgesloten met betrekking tot de housing.

17

5.3 SoftwareEshgro maakt met betrekking tot de hiervoor genoemde hoofdactiviteiten gebruik van de volgendeapplicaties:

Hoofdactiviteit Applicatie Omschrijving Type contract

1. Platform &ApplicationProduction

MicrosoftHyper-V

Virtualisatie software van Microsoft SPLA1

Microsoft VirtualMachineManager

Beheerconsole virtuele servers SPLA

VMware ESX Virtualisatie software van VMware Supportovereenkomst

Microsoft SCOM Met behulp van SCOM worden deback-upstatussen van alle aangeslotenclients gemeld en gemonitord

SPLA

HPSIM HPSIM wordt gebruikt om metingenten aanzien van de hardware in hetdatacenter (blades, enclosures,storage) weer te geven

Supportovereenkomst

HPIMC HPIMC geeft informatie weer metbetrekking tot denetwerkcomponenten, waarbij onderandere de performance c.q. debelasting wordt weergegeven

Supportovereenkomst

HP Tipping Point HP TippingPoint geeft inzicht in hetdataverkeer

Supportovereenkomst

PRTG PRTG wordt gebruikt om de storageop de cluster te monitoren

Supportovereenkomst

2. Pro-activeManagement,Service &Support

Cherwell Cherwell is de servicedesk applicatiewaarin onder andere de incidenten,changes, service requesten,configuratie items worden vastgelegd.De verschillende operationeleprocessen zijn vastgelegd in dezeapplicatie

Supportovereenkomst

Microsoft SCOM Met behulp van SCOM worden deback-up statussen van alleaangesloten clients gemeld engemonitord. Tevens wordt SCOMgebruikt voor het monitoren van devirtuele machines op o.a.performance, schijfruimte en OSmeldingen.

SPLA

Kaseya Kaseya geeft informatie weer op basisvan het (klant) domein. Hierbijworden registraties weergegeven vanOS, data storage (binnen de virtuelemachine) en events. Kaseya isuitgefaseerd per Q2 van 2014.

Supportovereenkomst

1 Services Provider License Agreement

18

Hoofdactiviteit Applicatie Omschrijving Type contract

GoToAssist Remote control tool Supportovereenkomst

VisionApp Beheerconsole SaaS-servers Supportovereenkomst

3. Implemen-tation &Migration

MicrosoftHyper-V

Virtualisatie software van Microsoft SPLA

Microsoft VirtualMachineManager

Beheerconsole virtuele servers SPLA

VMware ESX Virtualisatie software van VMware Supportovereenkomst

19

5.4 Mens/personeelHieronder wordt de organisatiestructuur van Eshgro B.V. weergegeven:

Figuur 10 Organisatiestructuur Eshgro

Het bestuur van Eshgro wordt gevormd door de gezamenlijk bevoegde bestuurders zoals genoemd inde statuten van Eshgro Beheer B.V. De aandeelhouders benoemen het bestuur/directie. De directiebestaat uit de volgende personen:

Anton Loeffen Algemeen directeur:Verantwoordelijkheden: Strategie, Finance, Business Development;

Guido Wouters Operationeel directeur:Verantwoordelijkheden: Operations.

De taken en verantwoordelijkheden van de directie staan beschreven in het directiereglement zoalsvastgesteld is op 1 januari 2011.

Functiescheiding:De doelstellingen welke middels functiescheiding afgedekt worden zijn:

x Het voorkomen dat de integriteit (juistheid, tijdigheid, volledigheid en controleerbaarheid)van ICT-diensten wordt aangetast (doordat ongeautoriseerde wijzigingen kunnen zijnaangebracht aan de onderliggende ICT-middelen);

x Het voorkomen dat de integriteit van data wordt aangetast (doordat ongeautoriseerdetransacties kunnen zijn uitgevoerd);

x Het voorkomen dat de vertrouwelijkheid van opgeslagen gegevens wordt aangetast.

Directie

Anton Loeffen (CEO)Guido Wouters (COO)

Parrner Sales &Marketing

Michel Jeucken

Datacenter & Techniek

Peter Stam

Operations

Nathalie Holwerda

Pro-activeManagement,Service & Support

Nathalie Holwerda

Implementation&Migration

Thijs Bisseling

Platform& Application production

Peter Stam

FinanceHRM

ProcurementOfficemanagement

Koen van Hoof

Total Quality Management

Nathalie Holwerda

R&D

Remco van den Bergh

20

KLANT - De klant heeft onderstaande taken, verantwoordelijkheden en bevoegdheden:

Registratie:

- Aanmelden van incidenten of change requests per mail;- Goedkeuring geven voor het doorvoeren van wijzigingen die door een niet-geautoriseerd persoonvan de klantorganisatie worden ingediend.

Uitvoering:

- Functionele wijzigingen binnen klantspecifieke applicaties zoals het aanmaken van een gebruikerbinnen een applicatie;

- Testen van klantspecifieke applicaties voor na een update op testen/of productieomgeving.

Controle:

- De klant beoordeelt zelf of het incident of de change die hij heeft ingediend naar wens isuitgevoerd, Dit door middel van de afmelding van het ticket dat hij altijd per mail ontvangt;

- De klant beoordeelt zelf of de inhoudelijke werking van een applicatie correct is;- De klant beoordeelt zelf welke rechten medewerkers binnen zijn organisatie horen te krijgen, opzowel Windows niveau als applicatie niveau.

Monitoring:

- De klant monitort zelf de status en voortgang van zijn ingediende incident of change request;- De klant monitort zelf of zijn medewerkers nog de juiste toegang en rechten hebben conformhun huidige functie.

BEHEERORGANISATIE – Eshgro heeft onderstaande taken, verantwoordelijkheden enbevoegdheden:

Registratie:

- Beoordelen van ingediende change requests en zorgen voor goedkeuring van een geautoriseerdpersoon bij de klant;

- Verwerken van incidenten en goedgekeurde change requests van de klant;- Aanmelden van incidenten per mail of via portal bij leveranciers.

Uitvoering:

- Uitvoer van platform activiteiten (incidenten en changes) door het platform production team; dithoudt bijvoorbeeld schijfuitbreiding van een server in of het wijzigen van poorten op een firewall.

- Uitvoer van servicedesk activiteiten (incidenten en changes) door het proactive management,service & support team; dit houdt bijvoorbeeld in het oplossen van een incident met betrekkingtot inlogproblemen van een klant of het updaten van een klantspecifieke applicatie;

- De platformen de klantspecifieke laag zijn door een rechtenstructuur gescheiden op basis vanhet functiehuis. Hierdoor kunnen Eshgro-medewerkers geen technische werkzaamhedenuitvoeren die niet binnen hun functie horen.

Controle:

- Vanuit de dispatch functie wordt er controle op de registratie van incidenten en changesuitgevoerd. Tijdens deze controle wordt bijvoorbeeld de CMDB bijgewerkt, wordt gecontroleerdof procedures zijn gevolgd, of wordt gecontroleerd of de afsluiting van de ticket correct is opbasis van de aanvraag van de klant.

Monitoring:

- De dispatcher monitort de voortgang van alle openstaande tickets en zorgt voor frequente statusupdates en communicatie met de klant;

- De planning monitort de voortgang van grotere wijzigingen, indien nodig samen met een projectmanager;

- Er worden periodieke controles en steekproeven op security aspecten uitgevoerd. Deze controlesworden uitgevoerd door een medewerker onafhankelijk van de uitvoering.

21

LEVERANCIER - De leverancier van Eshgro heeft onderstaande taken,verantwoordelijkheden en bevoegdheden:

Registratie:

- Verwerken van incidenten van Eshgro in het ticket systeem van de betreffende leverancier.Eshgro ontvangt altijd een registratie nummer per mail of via een portal.

Uitvoering:

- Uitvoeren van herstelwerkzaamheden aan hardware, bijvoorbeeld het vervangen van een diskvan een blade in het datacentrum;

- Een leverancier kan niet zelfstandig changes in de omgeving van Eshgro uitvoeren.

Controle:

- Door middel van afmelding van tickets per mail beoordeelt Eshgro of de leverancier het ticketnaar wens van Eshgro/de klant van Eshgro heeft uitgevoerd.

Monitoring:

- Eshgro kan zelf de performance van afgenomen hardware monitoren en is hiervan dus nietafhankelijk van de leverancier.

22

5.5 ProcessenVoor het waarborgen van de activiteiten van ‘Platform & Application Production’ en ‘Pro-activeManagement, Service & Support’ (zie beschrijving dienst) zijn de volgende beheersprocesseningericht volgens ITIL V2 (‘best practices’):

1. Service level management;2. Supplier management;3. Security management;4. Access management.5. Availability management;6. Continuity management;7. Configuration management;8. Change management;9. Incident management;10. Operations management.

Bovenstaande processen ten aanzien van ‘Platform & Application Production’ en ‘Pro-activeManagement, Service & Support’ zijn zoveel mogelijk ingebed in de servicedesk-tool Cherwell.De relaties tussen deze processen is tevens ingebed in de servicedesk-tool Cherwell. Incidentenworden geregistreerd in Cherwell waarbij de oplostijden vanuit de SLA worden gekoppeld aan hetincident. Daarnaast kunnen incidenten worden doorgezet naar changes of gekoppeld worden aan eenproblem. Bij het doorvoeren van een change waarbij configuratie items moeten worden bijgewerktkan de betreffende configuration item in de CMDB worden bijgewerkt. Op basis van deze registratiesen uitgangspunten gesteld vanuit de SLA worden de rapportages opgesteld welke periodiek wordenafgestemd met de klant. De impact voor security-, availability-, en access management wordt onderandere bij het beoordelen van een change vastgelegd in Cherwell. Op basis van deze gegevens wordtonder andere het beveiligingsbeleid periodiek geëvalueerd.

De vorenstaande processen zijn nader uitgewerkt. Deze processen zijn tezamen met debeheersingsdoelstellingen en beheersmaatregelen vastgelegd in hoofdstuk 6.

23

5.6 Monitoring dataOnderstaande monitoring tools worden bij Eshgro gebruikt:

Platform & Application Production:

- IMC: Metingen ten aanzien van de verbindingen tussen Eshgro en de klant;- Tippingpoint: Metingen ten aanzien van verkeer naar de firewalls;- HPSIM: Metingen ten aanzien van de hardware in het datacenter (blades, enclosures,storage);

- PRTG: Metingen ten aanzien van de aanwezige storage op cluster niveau;- SCOM 2012: Metingen ten aanzien van de platform servers.

Pro-active Management, Service & Support:

- Kaseya: Metingen ten aanzien van de virtuele servers (schijfruimte, geheugengebruik, CPU,up/down time). Kaseya is uitgefaseerd in Q2 2014;

- SCOM 2012: Metingen van alle virtuele servers op de klantlaag en de back-up statussen.

Eshgro verstuurt een rapportage over de prestaties naar haar klanten. Zelf meet Eshgro de KPI’s opde servers, netwerk en interne processen.

24

5.7 Subservice organisaties

In deze ISAE 3402 Type 2 wordt de uitsluitingsmethode (carve-out methode) gehanteerd voor debeschrijving van de belangrijkste diensten die worden verleend door subservice organisaties. Eshgromaakt gebruik van de volgende subservice organisaties. De wijze waarop gemonitord wordt, isbeschreven in hoofdstuk 6.2.

Organisatie Aard van de dienstverlening en belangrijke afspraken

HP Beschikbaar stellen van specifieke kennis ten aanzien vanblades, storage, netwerk componenten en inrichting.

Beschikbaar stellen van benodigde hardware componenten enovercapaciteit.

Monitoren en evaluatie van de ingezette hardwarecomponenten.

Samenwerking tussen Eshgro en HP voor het ontwikkelen enrealiseren van innoverende technische platformen. Eenuitvloeisel hiervan is onder andere de ‘HP innovative partner ofthe year Award’ gewonnen door Eshgro in 2011 + 2013.

Data Center Arnhem Data Center Arnhem levert in Nederland een geconditioneerdeen beveiligde ruimte aan onder andere Netlogics (Netlogics kande verbindingen leveren tussen het datacenter en de klant). Eendeel van deze ruimte neemt Eshgro af waarin zij haar hardwarecomponenten onderbrengt.

Voor onderhoud aan de hardware componenten van Eshgromaakt Eshgro gebruik van de fysieke toegangsbeveiliging metde daarbij behorende beheersingsmaatregelen van DCA.

DCA is verantwoordelijk voor het verzorgen van de juisteomgevingsvariabelen, de stroomvoorziening en de beveiligingvan de ruimte waarin de hardware is geplaatst. DCA garandeerteen minimaal beschikbaarheidspercentage van 99,9%.

DCA beschikt over een periode van 1 april 2013 tot en met30 september 2013 over een SOC2 Type 2 assurance-verklaringvoor haar primaire datacenter. Een nieuwe versie van dezeverklaring is nog niet beschikbaar.

Omdat deze relaties belangrijk zijn voor Eshgro en haar cliënten, besteedt de directie van Eshgroveel aandacht aan het beheren en onderhouden van deze relaties. Dit blijkt onder andere uitreguliere overleggen en mailwisselingen van de directie met deze partijen.

25

5.8 Beheersomgeving/entity level controls

In deze paragraaf wordt de interne beheersing nader toegelicht aan de hand van het COSO-model.Het COSO-model biedt een uniform en gemeenschappelijk referentiekader voor een internbeheersingssysteem en ondersteunt het management bij de verbetering van het systeem.

5.8.1 Intern beheersmodel - COSOHet COSO-model heeft de volgende indeling:

x Beheersomgeving;x Risicomanagement;x Beheersmaatregelen;x Monitoring;x Informatie en communicatie.

x Beheersomgeving

De interne omgeving omvat de toon van een organisatie en stelt de basis voor hoe risico’s wordenbeschouwd en aangepakt door de mensen van een onderneming, inclusief risicobeheer enrisicoacceptatiegraad, integriteit, ethische normen en waarden en de omgeving waarin zij opereren.

x Risicomanagement

Risico’s worden geanalyseerd, rekening houdend met hun waarschijnlijkheid en impact, als basisvoor het vaststellen hoe deze zouden moeten worden beheerst. De inherente en restrisico’s wordengeschat.

x Beheersmaatregelen

Richtlijnen en procedures worden geformuleerd en geïmplementeerd om te waarborgen dat demaatregelen het risico effectief mitigeert.

x Monitoring

De totaliteit van ondernemingsrisicomanagement wordt bewaakt en wijzigingen worden waar nodigaangebracht. Bewaking wordt mogelijk gemaakt door voortdurende managementactiviteiten,afzonderlijke evaluaties of beide.

x Informatie en communicatie

Relevante informatie wordt geïdentificeerd, verzameld en gecommuniceerd in een vorm entijdsbestek die mensen in staat stellen hun verantwoordelijkheden uit te voeren. Effectievecommunicatie vindt ook in ruimere zin plaats, horizontaal, verticaal en bilateraal binnen eenonderneming.

Figuur 11 COSO-model

26

5.8.2 BeheersomgevingEen belangrijk deel van de beheersomgeving zijn de entity level controls. Entity level controls zijninterne controles die zorgdragen dat de richtlijnen die gesteld worden door het management in degehele entiteit (lees: organisatie) worden uitgevoerd. Het COSO-model in combinatie met de entitylevel controls kunnen als volgt schematisch worden weergegeven:

Figuur 12 Beheersomgeving en entity level controls

De directie van Eshgro staat centraal in de beheersomgeving gezien de eindverantwoordelijkheid dieze draagt en de richtlijnen die ze stelt voor de organisatie. De belangrijkste componenten in deorganisatie zijn weergegeven in de cirkel rondom het management. Hieronder zijn deaandachtgebieden in het COSO-proces weergegeven.

Financieel- Directie onderhoudt periodieke persoonlijke contacten met HP, Microsoft DCA (waaronderNetlogics).

- Verantwoordelijke medewerkers binnen Eshgro dragen zorg voor het voldoen aan de formelevereisten voor partnership.

- Jaarlijks wordt een begroting opgesteld en middels KPI’s wordt hierover gerapporteerd.- Concurrentie- en markt analyse wordt periodiek uitgevoerd.

Wet- en regelgeving- Periodiek wordt getoetst of de online diensten van Eshgro voldoen aan de relevante wet- enregelgeving.

Infrastructuur

- Maandelijks wordt de directie geadviseerd over de benodigde capaciteit.- Periodiek wordt middels interne reviews en externe audits de omgeving getoetst.

Software- Directie onderhoudt periodieke persoonlijke contacten met HP, Microsoft en DCA.- Verantwoordelijke medewerkers binnen Eshgro dragen zorg voor het voldoen aan de formelevereisten voor partnership.

27

Mens/personeel

- De serviceorganisatie beschikt over voldoende deskundigheid door intern personeel/ofexterne dienstverleners, inclusief vervangend personeel in geval van tijdelijke afwezigheid.

- Medewerkers worden periodiek bijgeschoold in relevante nieuwe ontwikkelingen enprocesaanpassingen.

Processen- Beleid is vastgelegd en door het management van de serviceorganisatie geaccordeerd overde doelstellingen, reikwijdte, randvoorwaarden, relaties met aanverwante processen,prioriteiten en werkwijze van het proces.

- De inrichting van het proces, de procedures, rollen, functiescheidingen en ondersteunendesystemen worden beschreven en door management geaccordeerd.

- Het proces is in onderlinge afstemming met aanverwante processen ingericht.- De verantwoordelijkheden voor de inrichting, uitvoering, bewaking en onderhoud van hetproces zijn toegewezen.

- Transacties van het beheersproces worden in een doorlopende reeks vastgelegd.- Registraties van het proces worden veilig gesteld en gearchiveerd.

Data- De data is gemonitord op de servers.- Controle op de prestatie van de hardware.

28

5.8.3 RisicomanagementEshgro heeft geen Raad van Commissarissen. De directie is in grote mate betrokken bij deactiviteiten en hecht veel waarde aan een goede interne beheersing. Dit uit zich bijvoorbeeld in hetrisicomanagementproces van Eshgro.

Risicomanagement heeft op alle niveaus binnen Eshgro veel aandacht. De strategische risicoanalysestaat standaard op de agenda van de directie van Eshgro. Vanuit de strategische risico’s zijnbeheersingsinstrumenten door het bestuur gedefinieerd die onder meer zichtbaar zijn in procedures,richtlijnen en standaard werkwijzen. De naleving wordt door en namens de directie continu getoetst.De directie van Eshgro beoordeelt periodiek of sprake is van nieuwe risico’s en relevanteontwikkelingen.

5.8.4 BeheersmaatregelenHet formuleren en implementeren van beleid en procedures is erop gericht risico’s effectief tebeheersen.

Binnen Eshgro zijn de noodzakelijke functiescheidingen en beslissingsbevoegdheden vastgelegd in degepresenteerde organisatiestructuur in paragraaf 5.4 en is de functiescheiding tussen de klant,beheerorganisatie en leveranciers beschreven.

5.8.5 MonitoringEshgro beschikt niet over een interne audit dienst. Het management van Eshgro toetst de werkingvan de interne controle op de volgende wijzen:

x Rapportages door de financial controller tijdens periodiek managementoverleg;x Periodiek bespreken van de key performance indicatoren;x Periodiek een quality review door professionals;x Controles uitgevoerd door de auditor in het kader van ISAE 3402;x Controles door de Quality manager.

5.8.6 Informatie en communicatieHet management van Eshgro hecht veel waarde aan de communicatie en informatie van haarmedewerkers en cliënten.

Interne communicatie

Wekelijks zijn er team meetings waarbij minimaal een MT-lid aanwezig is. Tweewekelijks is er eenmanagementvergadering waarbij de directie aanwezig is. Maandelijks is de managementvergaderingen een financieel overleg waarin ook de controller aanwezig om de resultaten van de afgelopenperiode te evalueren en de doelstelling voor de komende perioden te bepalen. Jaarlijks wordt voorafeen begroting vastgesteld.

Externe communicatie

Op de website worden nieuwsbrieven geplaatst zodat relaties geïnformeerd blijven over deontwikkeling van Eshgro. Daarnaast worden actief lezingen en seminars gegeven. Via relatiebeheeren bezoek van prospects worden contacten onderhouden en uitgebreid.

29

5.9 Beheersingsmaatregelen gebruikende entiteitDe interne beheersingsmaatregelen zoals uitgevoerd door Eshgro vormen een deel van het geheelvan interne beheersingsmaatregelen ter waarborging van de betrouwbaarheid van bedrijfsprocessenen financiële verslaggeving van haar cliënten. Daarom is het belangrijk dat de cliënten van Eshgrozelf een aantal interne beheersingsmaatregelen uitvoeren om tot een afdoende betrouwbaar geheelvan interne controle te komen. Hieronder worden de belangrijkste activiteiten weergegeven die doorde cliënt uitgevoerd dienen te worden.

Activiteit Proces Door de cliënt uit te voeren controles

Aandragenbeleidspunten

Service levelmanagement

De klantorganisatie is zelf verantwoordelijkvoor het aandragen van eigen beleidspuntenmet betrekking tot de beveiliging dieaanvullend op het Eshgro beveiligingsbeleidgeïmplementeerd dienen te worden.

Beoordelen geleverdedienstverlening


De klantenorganisatie is zelf verantwoordelijkom de SLR-rapportage te beoordelen en temelden indien de SLR onjuistheden bevaten/of niet eens is met de rapportage.



De klantenorganisatie dient zelfstandig tebeoordelen of de geleverde dienstverlening(bijvoorbeeld beschikbaarheid, incidenten,changes, problems) overeenkomt met de doorEshgro gerapporteerde dienstverlening.


Security management De klantorganisatie is zelf verantwoordelijkvoor het aandragen van beleidspunten metbetrekking tot de beveiliging.

De klantenorganisatie is zelf verantwoordelijkvoor het uitvoeren van een risicoanalyse en deonderkende risico's aan te geven bij Eshgro.

Wijzigingen intoegangsrechten

Access management De klantenorganisatie dient aan te geven in dewijzigingen waartoe de medewerker rechtenheeft.

ICT-contactpersonen van de klant dieaccountgegevens (inlognaam en wachtwoord)verkrijgen van een servicedeskmedewerkervan Eshgro dienen hiermee vertrouwelijk omte gaan, en deze alleen af te geven aan dejuiste persoon.

Eindgebruikers van de klantenorganisatiesdienen inlognamen en wachtwoorden niet teverspreiden onder andere eindgebruikers.

De klantenorganisatie is zelf verantwoordelijkvoor het inbedden van een procedure om decontrole van de identiteit van de gebruikervast te stellen bij nieuwe indiensttredingen.


Access management Binnen de applicatie is de klantenorganisatiezelf verantwoordelijk voor het aanmaken,toekennen, wijzigen en verwijderen vanidentiteits- en authenticatiemiddelen.


Access management De klantenorganisatie is zelf verantwoordelijkvoor de inhoudelijke controle of de gebruikerde juiste rechten heeft verkregen.

30

Activiteit Proces Door de cliënt uit te voeren controles


Access management De klantenorganisatie dient zelfstandigchanges te melden indien wijzigingenplaatsvinden (indienst, uitdienst enfunctiewijziging) aan medewerkers. Daarbijdient de klantenorganisatie eenduidig aan tegeven welke wijzigingen plaats dienen tevinden die door Eshgro uitgevoerd dienen teworden. Klanten zijn zelf verantwoordelijk voorhet gebruikersbeheer bij de klantspecifiekeapplicaties.


Access management De klantenorganisatie dient zelfstandig deautorisaties en de toegangsrechten van haarmedewerkers te beoordelen binnen deWindows omgeving en de klant specifiekeapplicaties.


Access management De klantenorganisatie is zelf verantwoordelijkvoor het monitoren van de verleendeidentiteits- en authenticatiemiddelen.


Access management De klantenorganisatie dient zelf te beoordelenof wijzigingen kunnen leiden tot consequentiesop de ingerichte toegangsrechten eningebedde functiescheidingen.


Access management De klantenorganisaties die gebruikmaken vangroepenbeheer kunnen zelfstandig wijzigingenaanbrengen aan de autorisaties binnen deklantomgeving. De klantenorganisatie diehiervan gebruikmaken dienen zelfstandig dedoorgevoerde wijzigingen te beoordelen.


Availabilitymanagement

De klantenorganisatie dient zelfstandigmetingen bij te houden ten aanzien van debeschikbaarheid van de ICT-dienst.



De klantenorganisatie dient het back-upschema en de retentietijd daarvan aan tegeven.



De klantenorganisatie dient zelf de mate vanbeschikbaarheid te bepalen (bijvoorbeeld metof zonder uitwijklocatie).


Continuity management Indien de klantenorganisatie ook in het gevalvan een calamiteit wil beschikken over deCloud-dienst dient de klantenorganisatie eenredundante productieomgeving op de co-locatie in te laten richten door Eshgro.

De klantenorganisatie is zelf verantwoordelijkvoor de data-connectie tussen het datacenteren vestiging. Om in het geval van eencalamiteit internetverbinding te behoudendient hierbij een secundaire internetverbindingen te worden afgesloten.

Wijzigingen melden Change management De klantenorganisatie dient changes zelf temelden indien het een wijziging wil doorvoerenin haar omgeving.

Wijzigingen beoordelen Change management Indien een wijziging niet naar behoren isuitgevoerd dient de klantenorganisatie dewijziging te heropenen.

31

Wijzigingen beoordelen Change management Het inhoudelijke testen van de cliënt specifiekeapplicaties dient uitgevoerd te worden door degebruikersorganisatie/klant.

Incidenten melden Incident management Indien incidenten plaatsvinden, dient deklantenorganisatie deze incidenten te melden;ook beveiligingsincidenten.

isae 3402 type 2 cloud services - bechtle › medias › wcbfvk9paevipdfncqyv58-30.pdfaccou nta nts...

Documents