B 100 - 2012-13 - Endeligt svar på spørgsmål 3: Spm. om hvornår CSC Danmark senest har været igennem en sådan ekstern revision, til økonomi- og indenrigsministeren

FolketingetsRetsudvalg har d.7. juni 2013 stillet følgende spørgsmål nr. 3(B 100) tiløkonomi- og indenrigsministeren, som hermed besvares. Spørgsmålet er stillet efterønske fra Simon Emil Ammitzbøll (LA).Spørgsmålnr. 3:”Kan ministeren, i lyset af at ministeren i forbindelse med 1. behandlingen af B 100 omstyrket beskyttelse af personnummeret oplyste, at ”CPR-systemet er baseret på en it-sikkerhedsstandard, som hedder DS 484”, at ”CSC Danmark er kontraktligt forpligtettil at efterleve de relevante dele af denne standard” og at ”CPR-kontoret sørger medjævne mellemrum for, at en ekstern it-revisionsvirksomhed reviderer, om det så faktiskogså er tilfældet”, oplyse, hvornår CSC Danmark senest har været igennem en sådanekstern revision?”Svar:Der gennemføres på CPR-området hvert andet år en ekstern it-revision af CSC´s im-plementering og efterlevelse af de relevante dele af DS 484.Deloitte har den 31. januar 2012 afgivet en uafhængig revisionserklæring om generel-le it-kontroller for CPR-kontorets it-miljø hos CSC for perioden 1. januar 2011 –31.december 2011.På grundlag af den udførte revision, er det Deloittes vurdering, at de generelle it-kontroller, som CSC varetager for CPR i det væsentligste har været opretholdt i perio-den 1. januar 2011 til 31. december 2011.Deloitte har i forbindelse med revisionen anført følgende væsentlige kontrolsvagheder:Procedure for generel brugeradministration, herunder oprettelse og nedlæg-gelse af brugere på AD og dertil knyttede rettigheder, har ikke været effektive ihele revisionsperioden.Fejlkonfiguration på firewallen har medført, at der internt mellem CSCs Busi-ness Unit Net og CSC Management Net har været uhindret adgang.Anvendelse af usupporteret z/OS og ADABAS version.