ÅSTORPS KOMMUN GRANSKNING AV INFORMATIONS-

Transkript

1 ÅSTORPS KOMMUN GRANSKNING AV INFORMATIONS- SÄKERHET 2001 Bengt Sebring SEPTEMBER 2001 Sida: 1

2 INNEHÅLLSFÖRTECKNING 1 Sammanfattning Uppdraget Inledning Genomförande Omfattning Avgränsningar Vidtagna åtgärder sedan IT-revision Styrning av informationssäkerhet Fysiskt skydd för datarummet Avbrottsplanering Rutiner beträffande personal Iakttagelser och rekommendationer under IT-revision IT-säkerhetsplan, dec Säkerhetsorganisation Klassificering och kontroll av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Riskanalyser och kontinuitetsplanering Efterlevnad Framtida projekt Källförteckning Bilaga 1 Åtgärdslista Bengt Sebring SEPTEMBER 2001 Sida: 2

3 1 Sammanfattning Syftet med uppdraget är att göra en bedömning av den praktiska tillämpningen av informationssäkerhet på IFO och Hyllinge skola (årskurs 1-9). Detta inkluderar en bedömning av befintlig IT-säkerhetsplan. En sammanfattande bedömning är att det finns brister i tillämpningen av informationssäkerhet både på central nivå och ute i verksamheten. Framförallt omfattar bristerna; otillräcklig styrning av - och förankring av informationssäkerhet med tillhörande riktlinjer i verksamheten, otydlig IT-organisation utan dokumenterade roller och ansvarsområden, avsaknad av riskanalyser och kontinuitetsplanering för kritiska verksamhetsprocesser och IT-system. En positiv bild har erhållits beträffande ett flertal områden, exempelvis tillgängligheten i IT-systemen, formella och centrala beslut vid inköp av IT-utrustning och god kontroll av IT-utrustning. Följande områden är särskilt viktiga att implementera i organisationen: Styrning av informationssäkerhet: o Uppdatera IT-strategin kontinuerligt och tydliggör verksamhetens krav på IT-verksamheten. o Skapa en övergripande informationssäkerhetspolicy med tillhörande riktlinjer, exempelvis för klassificering, märkning och hantering av information anpassad efter gällande lagstiftning. o IT-organisation: o I syfte att förankra arbetet med informationssäkerhet bör man arbeta i ett projekt efter en etablerad projektmetod. IT-organisationen upplevs som otydlig. En dokumenterad beskrivning av hela IT-organisationen med tillhörande roller och ansvarsområden behöver skapas. Personal och säkerhet: o Upprätta en utbildningsplan för alla medarbetare, i synnerhet för de som hanterar känslig information. o Tydliggör det personliga ansvaret vid användning av kommunens informationsbehandlingsresurser, exempelvis genom informationsspridning och utbildning. Inför om möjligt disciplinära åtgärder vid missbruk. Riskanalyser och kontinuitetsplanering: o Flera kritiska processer har identifierats, där ett avbrott får omfattande konsekvenserna för verksamheten. Ett arbete bör initieras för att på ett strukturerat sätt kartlägga risker och skapa kontinuitetsplaner. Ett förslag på en åtgärdslista finns i bilaga 1. Bengt Sebring SEPTEMBER 2001 Sida: 3

4 2 Uppdraget 2.1 Inledning Bakgrund Ernst & Young genomförde under 2000 en IT-revision, vilken hade som syfte att kartlägga, analysera och bedöma de befintliga kontrollerna för informationssäkerhet hos Åstorps kommun. Som metod användes SBA-check, vilken är baserad på svensk standard för informationssäkerhet, SS Resultatet var en nulägesanalys där ett antal brister påtalades. Åstorps kommun har vidtagit vissa åtgärder för att förbättra kontrollen över informationssäkerheten. Bl.a. finns en IT-säkerhetsplan, daterad dec Till denna ska under 2001 ett flertal styrande dokument skapas. Under 1999 genomfördes en granskning av personaktshantering på socialförvaltningen, där också ett flertal brister påtalades. Syfte Att under 2001 göra en bedömning av den praktiska tillämpningen av informationssäkerhet inom Åstorps kommun. Utvalda enheter är IFO och Hyllinge skola (årskurs 1-9). Synpunkter på befintlig IT-säkerhetsplan daterad dec 2000 kommer även att genomföras. 2.2 Genomförande Granskningen är baserad på intervjuer och genomläsning av dokumentation. Intervjuerna har genomförts under perioden juni Lämpliga områden och frågor kommer att väljas ut och anpassas ur materialet svensk standard för informationssäkerhet (SS ), befintlig IT-säkerhetsplan, den förra ITrevisionen och -granskningen av personaktshantering på socialförvaltningen. För övriga dokument, se källförteckning. Personer att intervjua har valts ut i samråd med personal från kommunen och kommunrevisionen. Representanter och användares kännedom om riktlinjer och attityder till viktiga säkerhetsområden, exempelvis åtkomst, kommer att kontrolleras. Intervjuer är genomförda med: Två personer från IT-organisationen Två representanter och en användare från IFO. Två representanter och en användare från Hyllinge Skola. De intervjuade kommer att hållas anonyma. Bengt Sebring SEPTEMBER 2001 Sida: 4

5 2.3 Omfattning Uppdraget omfattar Åstorps kommun med fokus på IFO och Hyllinge skola. Dessutom ska en granskning av IT-säkerhetsplan, daterad dec 2000 genomföras. Uppdraget omfattar följande områden och frågeställningar: Vilka åtgärder är vidtagna sedan senaste IT-revisionen år 2000? Vilken status är det på befintlig IT-säkerhetsplan? Hur är roller och ansvar definierade i en säkerhetsorganisation? Vilka rutiner finns för klassificering och kontroll av tillgångar? Till vilken grad tar organisationen hänsyn till personalen? Fysisk och miljörelaterad säkerhet? Hur sker styrning av kommunikation och drift? Hurskerstyrningavåtkomst? Finns kontinuitetsplanering? Hur är efterlevnaden? 2.4 Avgränsningar Vår rapport baseras i huvudsak på information i form av befintlig dokumentation och intervjuer. Vi bedömer inte fullständighet och riktighet i erhållen information. 3 Vidtagna åtgärder sedan IT-revision 2000 I granskningsrapporten för IT-revisionen år 2000 framfördes i huvudsak brister inom fyra områden: 1. Styrning av informationssäkerhet 2. Fysiskt skydd för datarummet 3. Avbrottsplanering 4. Rutiner beträffande personal Nedan finns en sammanställning över de åtgärder som är vidtagna för att minska brister i ovanstående område. 3.1 Styrning av informationssäkerhet Detta område är en grundförutsättning för att arbetet med informationssäkerhet ska kunna genomföras inom kommunen med god kontroll och kvalitet, exempelvis att rätt beslut fattas och rätt prioriteringar görs. En IT-säkerhetsplan är framtagen, daterad dec Granskning av planen genomförs i separat avsnitt. Någon uppdatering av IT-strategidokument har inte genomförts och det finns inga planer på att göra detta heller. Både ute i verksamheten och de med ett dedikerat IT-ansvar upplever att skriftliga visioner, mål, eller andra krav på IT-arbetet inte är kommunicerade. De strategidokument som finns är från 1996 och Bengt Sebring SEPTEMBER 2001 Sida: 5

6 De visioner, mål och krav som eventuellt finns är inte skriftligt definierade eller kommunicerade. IT-strategi förmodas finnas, men denna är inte kommunicerad. Visioner, mål och strategier för verksamheten hänger samman med styrning för informationssäkerhet. I en föränderlig värld behöver visioner, mål och strategier anpassas. Med utgångspunkt i de dokument som finns bör en uppdatering göras regelbundet och efterlevnaden av ambitionsnivåer kontrolleras. 3.2 Fysiskt skydd för datarummet Brand- och inbrottslarm är installerat. Kodlås skall installeras. Fastställ ett datum för installation av kodlås. 3.3 Avbrottsplanering Dubblering av Vinca - och Procapitaservern är budgeterat för För övrig bedömning av avbrottsplanering, se avsnitt kontinuitetsplanering. 3.4 Rutiner beträffande personal Inga nya rutiner har införts. 4 Iakttagelser och rekommendationer under IT-revision 2001 Iakttagelserna är gjorda på central/övergripande nivå (IT-samordnare och ITsäkerhetsansvarig) och till vilken grad implementering skett ute i verksamheten (IFO och Hyllinge Skola). 4.1 IT-säkerhetsplan, dec 2000 IT-säkerhetsplanen (planen) har upprättats som ett led i IT-säkerhetsarbetet. Kommunsekreteraren och IT-avdelningen har deltagit i upprättande av planen. Planen är baserad på ÖCBs föreskrifter och allmänna råd om grundsäkerhet för samhällsviktiga system (FA22). Endast få tillägg och avdrag är genomförda, från standardformuleringen. Planen är fastställd av kommunfullmäktige. Tillhörande styrdokument, systemsäkerhetsplaner ska vara klara under Planen har kommunicerats till förvaltningschefer vid ett möte och via skrivelse. Bengt Sebring SEPTEMBER 2001 Sida: 6

7 Målgrupp är samtliga anställda i kommunen. Planen har framkommit genom möten mellan IT-säkerhetsansvarig och IT-funktionen. Någon dokumenterad projektmodell har dock inte använts. I verksamheten verkar planen inte vara känd. Då det råder osäkerhet kring området informationssäkerhet efterfrågas policys och rutiner. IT-säkerhetsplanen är inte känd i organisationen. En kommunikationsplan behöver upprättas, i syfte att förankra policys och regelverk. Befintlig plan behöver kompletteras eller en ny upprättas, vilken övergripande behandlar hantering av informationssäkerhet. Exempel på områden som bör innefattas i en övergripande policy och som saknas eller bör formuleras om i kommunens ITsäkerhetsplan: Att planen är fastställd av ledningen bör tydliggöras i planen. Fortsätt att kommunicera till personal via exempelvis intranätet. Tydliggör vikten av IT-säkerhet och/eller informationssäkerhet för kommunen. En tydlig definition av IT-säkerhet och/eller informationssäkerhet. Precisera vaga formuleringar, antingen i befintlig plan eller i kommande systemsäkerhetsplaner, exempelvis regelbunden uppföljning och formellt. Separera vem som ansvarar och vem som utför, och tydliggör genom att tilldela ansvaret på en individ istället för en grupp. Med hänsyn till målgruppen alla användare, bör ett anpassat språkbruk användas. Vid användning av externt framtagen och allmänt hållen mall krävs ett aktivt ställningstagande från kommunens sida. I syfte att skapa en ändamålsenlig plan/policy behöver kommunen hantera detta i ett projekt. Använd erfarna interna/externa experter för att säkerställa kvaliteten. 4.2 Säkerhetsorganisation Något dokumenterat organisationsschema finns inte. Den struktur som identifierats inom kommunen är följande: IT-säkerhetsansvarig IT-samordnare IT-tekniker Systemansvarig och IT-ansvariga på förvaltningar IT-grupp (vilken fattar övergripande beslut för hela nätet, d.v.s inte specifika program för enheter) Den övergripande IT-funktionen, bestående av IT-samordnare och IT-tekniker tillhör den administrativa funktionen. Några ansvarsområden finns inte dokumenterade för IT- Bengt Sebring SEPTEMBER 2001 Sida: 7

8 funktionen och i övrigt finns inget beskrivet över vilka uppgifter som ska utföras. I ITsäkerhetsplanen finns ledning och ansvar för IT-säkerhet beskrivet. I den mån ansvar tilldelas i nedanstående text i detta avsnitt avses informellt ansvar. Varje anställd har erhållit information om vad IT-funktionen gör samt att denna information finns tillgänglig på intranätet. IT-funktionen ansvarar för det administrativa och publika nätet, men BUN (Barn och Utbildningsnämnden) ansvarar för utbildningsnätet. Inom IT-frågor finns ett samarbete mellan kommunerna; Åstorp, Klippan, Örkelljunga och Perstorp. Detta samarbete utnyttjas vid bl.a. upphandling och erfarenhetsutbyte. Även mellan Skånes kommuners IT-samordnare finns ett samarbete där erfarenheter och tips utbytes. Vid exempelvis inköp av hårdvara lämnas förslag från förvaltningar till IT-funktionen, som bedömer och skapar en lista. Listan lämnas till IT-gruppen för prioritering. Den nya listan lämnas till budgetberedningen som avgör hur stora medel som ska avsättas i budgeten. Någon oberoende säkerhetsexpert utnyttjas inte regelbundet, utan konsulter kontaktas vid behov, exempelvis vid senaste installationen av brandvägg. Ett externt företag gör även årliga säkerhetskontroller av brandväggen. Ansvarsområden och roller är inte skriftligt beskrivna. IT-organisationen upplevs därmed som otydlig. Kännedom om den interna IT-organisationen är låg. Det är förankrat att inköp av ny IT-utrustning görs via central IT-funktion. Behov av ny ITutrustning budgeteras av förvaltning och IT-avdelningen godkänner och införskaffar. Ökade samordningsresurser till IT-frågor önskas. En låg kännedom finns om befintlig samordnande resurs. Ansvar och roller är otydliga. I ett flertal fall tas lokala och individuella initiativ till ansvar. Det finns flera risker med detta. Exempelvis kan uppgifter hamna mellan stolar, arbetsbelastning bli för hög, irritation, beroendet av nyckelpersoner öka, etc. För att uppnå en ökad effektivitet bör IT-organisationen tydliggöras med dokumenterade ansvarsområden för samtliga roller. Beskrivet ansvar i IT-säkerhetsplan behöver kommuniceras och tydliggöras. Telefoni är idag ett IT-intensivt område, varför även IT-personal bör delta i och/eller ansvara för telefonifrågor. Bengt Sebring SEPTEMBER 2001 Sida: 8

9 4.3 Klassificering och kontroll av tillgångar Enligt den tidigare IT-revisionen åligger ansvaret att utveckla riktlinjer för klassificering av information på förvaltningarna. Alla har undertecknat förbindelse om rekommendationer beträffande e-post. Känslig information behandlas ute i verksamheten. Det följer ett ansvar med yrket som styr hur information får hanteras. En klar bild över vad som är känslig information verkar föreligga. Dock verkar inte medvetenheten om riskerna vid informationshantering vara förankrad, exempelvis vanlig post och e-post. Dokumentförstörare används för känsligt material. Riktlinjer för klassificering av information saknas, samt rutiner för märkning och hantering av information. Upprätta riktlinjer för klassificering, och rutiner för märkning och hantering av information. De klasser som normalt används är hemlig, intern och öppen. Tillse att riktlinjerna överensstämmer med tillämplig lagstiftning. Riktlinjerna är ett stöd för ordinarie personal, men de kommer att vara än mer värdefulla för de som tillfälligt arbetar på arbetsplatsen och för nyanställda. 4.4 Personal och säkerhet De nyanställda får en kort information av IT-samordnaren och IT-ansvariga på berörd förvaltning ansvarar för vidare utbildning. Samtliga anställda har skrivit under en förbindelse om att följa regler för exempelvis användning av Internet, e-post och utloggning när arbetsplats lämnas. De utbildningsmöjligheter som ges för IT-funktionen anses tillräcklig för att genomföra det dagliga arbetet. Det verkar inte finnas några rutiner för att dra lärdom av incidenter. Däremot finns ett formellt tillvägagångssätt vid funktionsfel. Förvaltningarna beställer utbildning av IT-funktionen. Ett flertal kontroller saknas för befattningsbeskrivningar och vid rekrytering. Vid anställning genomförs utdrag ur brottsregistret. Vikarier från uthyrningsfirmor Bengt Sebring SEPTEMBER 2001 Sida: 9

10 förekommer. Lärare har en moralisk sekretess, men elevassistenter och vikarier skriver under en sekretessförbindelse. Krångel och bristande kunskaper gör att datorn som redskap uppfattas som stressig. För nyanställda sker en viss utbildning och vid enstaka tillfälle har information spridits inom området informationssäkerhet. Det finns dock ingen dokumenterad utbildningsplan. Behovet anses vara stort av kontinuerlig utbildning inom IT-området, för att hantera exempelvis e-posten. Följande är exempel på förbättringsområden: Kännedom om de vanligaste virusen är begränsad, samt inställningar för att minska risken för virus, exempelvis makrovirus. Kunskap om var information lagras är ojämn, exempelvis förekommer lagring lokalt på hårddisk och diskett, vilket inte är i linje med föreslagna rekommendationer. Hantering av lösenord. Antivirusskydd uppdateras automatiskt hos användare. För rapportering av säkerhetsincidenter eller -svagheter finns ingen kännedom om några rutiner. Några allvarliga incidenter har dock inte inträffat, men virus har förekommit. De intervjuade uppfattar att funktionsfel hanteras informellt, men fungerar tillfredställande. Flera användare utnyttjar samma dator. Tydliggör det personliga ansvaret vid användning av kommunens IT-resurser, exempelvis genom informationsspridning och utbildning. Om möjligt inför disciplinära åtgärder vid missbruk. Bristande kunskaper inom IT-området utgör en risk mot upprätthållande av god informationssäkerhet. Upprätta därför en utbildningsplan för alla medarbetare, i synnerhet för de som hanterar känslig information. 4.5 Fysisk och miljörelaterad säkerhet Se avsnitt 3.2. De olika verksamheterna som besökts är till karaktären helt olika. Vissa av svaren i avsnittet gäller därför enbart för en av verksamheterna. Dörrar förefaller vara låsta till arbetsutrymmen, rum och skåp innehållande känslig information. Det finns både lås med nyckel och kod. För serverrum finns fönstergaller, brand- och inbrottslarm. Dock saknas fuktlarm och kylanläggning. Lokaler och IT-utrustning delas av olika enheter och personal, exempelvis skrivare, arkivrum och datorer. Bengt Sebring SEPTEMBER 2001 Sida: 10

11 Det finns en rutin för avveckling och återanvändning av IT-utrustning. Dokumentförstörare används mot spridning av papper. Policy för hur information ska hanteras på skrivbord saknas och för bildskärm efterlevs den inte. De bärbara datorer som används är privat egendom och saknar nätverkskort. För lokala serverrrum bör en total översyn genomföras för att identifiera brister. Fuktlarm och kylanläggning bör införskaffas. Upprätta riktlinjer för hur serverrum ska vara skyddade. 4.6 Styrning av kommunikation och drift Kommunen har ingen separat testmiljö för nya IT-system, utan de driftsätts direkt i skarp miljö. För godkännande av system fattas inget formellt beslut av IT. I framtiden kommer elektronisk handel att implementeras. Kritiska tidpunkter för kommunikation finns identifierade, exempelvis vid betygsättning, brådskande ärenden till Länsrätten och utbetalningar vid månadsskifte. Vid inträffade avbrott försämras kommunens servicegrad och frustration skapas. Överlag upplevs tillgängligheten som god. Det föreligger en diskrepans i uppfattningen om virus förekommit eller inte. Några riktlinjer eller förebyggande åtgärder är inte kända. Antivirusprogram uppdateras automatiskt två till tre gånger per år. Disketter används för lokal säkerhetskopiering. Allmän rutin för informationshantering saknas, exempelvis för mobiltelefoner. Policy eller regler för elektronisk post är inte känd och medvetenheten om risken med elektronisk post och bifogade filer förefaller vara låg. Möjliga krypteringsalternativ finns det ingen kännedom om. Även om tillgängligheten anses hög bör det finnas en beredskap för att hantera de tillfällen då avbrott inträffar i IT-systemen. En process för kontinuitetsplanering bör initieras. De skydd som finns mot virus bör uppdateras oftare än tre gånger per år. Ett avtal bör tecknas med extern part, för att uppdatera virusdefinitioner regelbundet. Bengt Sebring SEPTEMBER 2001 Sida: 11

12 De regler som finns för e-post och säkerhetskopiering bör kommuniceras och förankras hos samtliga medarbetare inom kommunen. Utbildning bör ske i åtgärder för att kunna följa reglerna, exempelvis kryptering. Vid införande av elektronisk handel ställs det stora krav på informationssäkerhet mellan alla inblandade parter. Ta hjälp av experter för att utreda ett sådant initiativ. 4.7 Styrning av åtkomst Ansvaret för hantering av användares åtkomsträttigheter ligger på förvaltningsnivå. Den vanliga användaren, dess hantering av lösenord och utloggning, betraktas som det största hotet mot kommunens informationssäkerhet. För varje system fastställer systemägaren kraven på längden av lösenord. För åtkomst till nätverket ska lösenordet vara minst fem tecken långt, utan krav på någon speciell konstruktion. Efter hundra dagar tvingas användare att byta lösenord. Två gånger årligen utförs en genomgång av användares åtkomst till informationsbehandlingsresurser samt en inventering av underskrifter av säkerhetsförbindelser. Någon loggning förekommer inte av användares aktiviteter på nätverk och i system. Däremot sker en övervakning av systemanvändning. Någon formell policy för styrning av åtkomst saknas. Däremot verkar det finnas en informell rutin för hur åtkomst hanteras. Ansvaret för åtkomst är tilldelat olika befattningar, i en jämförelse mellan förvaltningar. Vikarier får egna konton upplagda. Personalomsättningen har varit ganska hög och inhyrning av personal från uthyrningsföretag förekommer. Någon regelbunden granskning genomförs inte, men det finns en informell rutin för att hantera personalförändringar. De regler som samtliga av kommunens personal ska ha tagit del av, följs inte av samtliga av de intervjuade, exempelvis förvaras lösenord på icke lämpliga platser. I något fall kände användare till skriften Välkommen som användare i vårt datanät. Några av de intervjuade uppfattar inte det tvingande bytet av lösenord. Distansarbete förekommer inom vissa delar av kommunen, vilket i förekommande fall är begränsat till e-post. Ansvaret för hantering av användares åtkomsträttigheter bör formaliseras och dokumenteras. En regelbunden granskning av rättigheter bör genomföras. För de enheter med hög personalomsättning är det svårare att kontrollera manuellt och tekniska hjälpmedel bör utnyttjas. Bengt Sebring SEPTEMBER 2001 Sida: 12

13 Kraven på användares lösenord bör skärpas, exempelvis bör lösenord vara minst åtta tecken långa, tvingande byte, siffror och specialtecken utnyttjas. 4.8 Riskanalyser och kontinuitetsplanering Som en grund för avbrottsplanering ligger riskanalyser genomfördes av ÖCB riskanalyser på varje förvaltning. Riskanalyserna genomfördes tillsammans med bl.a. förvaltningschefer. Av riskanalyserna framgick att alla IT-system kunde vara otillgängliga i en vecka utan att detta skulle innebära en katastrof för verksamheten. Totalt strömavbrott uppstod den 31 maj. Den ersättningskraftkälla (UPS=Uninteruptable Power Supply) tog över och systemen kunde stängas ner utan att data förlorades. Det största hotet mot informationssäkerheten i kommunen anses vara användarnas (o)avsiktliga hantering av lösenord och utloggning. Förvaltningar upplever att de är oerhört beroende av att IT-systemen är tillgängliga. Kritiska processer existerar, exempelvis när utbetalningar vid månadsskifte hanteras, tidsbegränsade uppdrag till Länsrätten och betygsättning. Avbrott i IT-system har förekommit i samband med de kritiska processerna. Som en stor risk med katastrofala följder i små orter betecknas om känslig information sprids till obehöriga. Kännedom om riskanalyser och avbrottsplanering saknas. Riskanalyser är inte genomförda lokalt. Dock har allmänna IT-risker diskuterats vid informella möten. En strukturerad form av kontinuitetsplanering är inte genomförd. Utvecklingstakten är hög inom IT och inom kommunens verksamhet sker ständigt förändringar. Kommunen bör kontinuerligt genomföra riskanalyser. Ett syfte är att fånga upp förändringar, vilka kan påverka verksamheten och de IT-system verksamheten är beroende av. Resultaten från riskanalyserna används i utvecklande av kontinuitetsplaner för verksamheten och dess kritiska IT-system. 4.9 Efterlevnad I dokumentet regler för Internet och elektronisk post hänvisas till datalagen. Datalagen kommer under 2001 att fullt ut ersättas av Personuppgiftslagen (PUL). IT-samordnare för kommunen är tillfrågad som personuppgiftsombud, men något beslut är inte taget. ITsamordnare har tidigare erfarenhet av frågor rörande personuppgifter och kontakt med Datainspektionen som är tillsynsmyndighet. Bengt Sebring SEPTEMBER 2001 Sida: 13

14 Yrkesspecifika lagar finns det kännedom om och i en del fall finns förteckning över tillämpliga lagar. Däremot är den generella medvetenheten om exempelvis Upphovsrättslagen eller Personuppgiftslagen låg. För att förhindra missbruk av skolans datasalar har en del kontroller införts. Utse ett personuppgiftsombud. Utred vilket förhållande PUL har till yrkesspecifika lagar och i vilka fall PUL är tillämplig. Se över register innehållande persondata Framtida projekt Kommunen har startat ett e-handelsprojekt. Kommunchefen är projektledare och projektdeltagare från andra kommuner medverkar. Från IT-funktionen deltar ingen. Vid IT-relaterade projekt s kommun deltar inte IT-funktionen förrän den tekniska lösningen börjar diskuteras. De skäl som anges för IT-funktionens frånvaro är tidsbrist. I IT-relaterade projekt bör någon från IT-funktionen delta. Åstorp den 7 september 2001 Paul Übelacker Bengt Sebring SEPTEMBER 2001 Sida: 14

15 5 Källförteckning Åstorps kommun, Granskning av IT-säkerhet 2000, okt 2000 Åstorps kommun, Granskning av personaktshantering, nov 1999 Välkommen som användare i vårt datanät Till dig som är datoranvändare i vår kommun, daterad Regler för Internet och elektronisk post IT-säkerhetsplan för Åstorps kommun, dec 2000 Rapport med förslag Nr 1, Åstorps kommuns IT-grupp, mars 1996 Rapport med förslag Nr 2, Åstorps kommuns IT-grupp, april 1997 Bengt Sebring SEPTEMBER 2001 Sida: 15

16 6 Bilaga 1 Åtgärdslista Ordningen i nedanstående åtgärdslista är Ernst & Youngs förslag på en prioritering, vilken är gjord efter information insamlad och bearbetad under Granskning av informationssäkerhet 2001 för Åstorps kommun. Det är även viktigt att Åstorps kommun gör en egen prioritering, avgör vem som ansvarar och vem som utför samt bestämmer en realistisk tidplan. Denna prioritering bör alltid föranledas av regelbundna och uppdaterade riskanalyser. Aktivitet A 1 U 2 Tidplan 1. Uppdatera och kommunicera befintlig ITstrategi till berörda personer, exempelvis beslutsfattare och IT-organisationen 2. Upprätta informationssäkerhetspolicy med tillhörande riktlinjer, exempelvis klassificering och rutiner för märkning och hantering av information 3. Dokumentera kommunens IT-organisation, d.v.s. roller och ansvarsområden 4. Genomför riskanalyser 5. Starta ett projekt med uppgift att kommunicera och förankra resultat från riskanalyser och - säkerhetsarbetet 6. Skapa kontinuitetsplaner 7. Upprätta en utbildningsplan 8. Formalisera en rutin för att regelbundet granska personalens åtkomst och använd vid behov tekniska hjälpmedel 9. Skärp kraven på användares lösenord, exempelvis åtta tecken (bokstäver, siffror och specialtecken) och tvingande byte regelbundet, 10. Utred konsekvenser för införande av elektronisk handel Åtgärd Datum 1 A = Den person som ansvarar för att en uppgift ska bli utförd 2 U=Denpersonsomutföruppgiften Bengt Sebring SEPTEMBER 2001 Sida: 16