Revisionsrapport. Granskning av. IT i organisationen ur ett nyttoperspektiv. Bollnäs kommun. Oktober Göran Persson Lingman Louise Cedemar

Transkript

1 Revisionsrapport Granskning av IT i organisationen ur ett nyttoperspektiv Bollnäs kommun Oktober 2005 Göran Persson Lingman Louise Cedemar

2 INNEHÅLLSFÖRTECKNING 1. Sammanfattande bedömning Inledning Bakgrund Syfte Påverkansfaktorer Metod och avgränsning Granskningsresultat Hur är kommunens totala IT-verksamhet organiserad och är roller och ansvar för regelverk, drift och utveckling tydliga? Har kommunen en tydlig bild över vilka krav som kommer att ställas på kommunens verksamheter den närmaste treårsperioden och finns det strategier och mål för hur dessa krav ska uppfyllas och om det finns strategier och mål, är de väl förankrade? Har kommunen ändamålsenliga policys, riktlinjer och rutiner? Har kommunen en ändamålsenlig finansiering av IT-kostnaderna och en tillfredsställande kostnads- och verksamhetsuppföljning? Finansiering Kostnadsuppföljning Verksamhetsuppföljning Har kommunen en ändamålsenlig IT-infrastruktur? Har användarna i kommunen en tillfredställande IT-kompetens och finns det ändamålsenliga rutiner för stöd och support? Har kommunen en fastställd och tillämpad IT-säkerhetspolicy och i så fall sker uppföljning över att policyn tillämpas?

3 1. Sammanfattande bedömning Vår bild är att många av de områden vi berört i granskningen fungerar på ett tillfredsställande sätt. Dock vill vi peka på områden som vi tycker är viktiga för Bollnäs kommun att förbättra: För att förbättra samverkan mellan verksamheterna och IT-avdelningen samt för att skapa en möjlighet för IT-chefen att på strategisk nivå diskutera IT-frågor föreslår vi att tillskapande av ett IT-råd övervägs. I ett eventuellt IT-rådet bör IT-chef och förvaltningschefer från de större förvaltningarna ingå. Inom skolan pågår viktiga och positiva förbättringsprojekt. Samtidigt har vår granskning visat att det finns problem som vi bedömer vara viktiga att ytterligare utreda och åtgärda. Vi föreslår att detta utreds närmare mellan förvaltningsledning/nämnd, ITchef, ansvariga från skolan och eventuellt andra aktörer. De styrande och stödjande dokument avseende IT som finns i kommunen bör revideras och samtidigt ses över hur de ska kommuniceras till olika ansvariga och användare. Kommunen bör se över hur IT-kostnaderna finansieras. Det är viktigt att det på ledningsnivå fastslås att IT-relaterade kostnader ska mätas. Det är positivt att man inom kommunen tagit fram en ny IT-säkerhetspolicy och att det finns en utsedd IT-säkerhetsansvarig. Det är dock viktigt att rollen ytterligare tydliggörs (t ex samspelet mellan IT-säkerhetsansvarig, IT-chef och kommunledning). 3

4 2. Inledning 2.1 Bakgrund Kommunens IT-stöd är av stor betydelse ur olika synvinklar. Den moderna informationsteknologin ger möjligheter att höja kvalité, säkerhet och effektivitet i verksamheten, sprida och öka tillgängligheten till information m m. Inom vissa områden är det idag självklart att IT-stöd är en förutsättning för att aktiviteter och processer skall fungera. Satsningar inom IT medför också risker att nyttan är alltför låg i förhållande till de kostnader som är relaterade till organisationens IT. Kostnader i förhållande till nyttoeffekter påverkas av en mängd olika faktorer, t ex brister i rutiner, otydligt ansvar och kompetens. 2.2 Syfte Granskningen har syftat till att översiktligt granska IT i organisationen utifrån några områden som påverkar kostnader och nyttan med IT-stödet s.k. påverkansfaktorer Påverkansfaktorer Med påverkansfaktorer menar vi ansvar, olika aktiviteter, processer och dylikt som kan påverka kostnaden och nyttan med IT i organisationen. Exempel på några påverkansfaktorer är: ändamålsenliga IT-system och infrastruktur (hårdvara, operativsystem, kommunikation etc. Finns erforderlig infrastruktur?) användarens kompetens för säkert och effektivt nyttjande (utbildning, support, dokumentation) motivation och acceptans tydlighet i ansvar internt och externt bra processer och rutiner som är kända och tillämpas samt uppföljning ledningens engagemang IT-säkerhet Att inte beakta påverkansfaktorer på ett erforderligt sätt innebär att nyttan bli mindre och/eller kostnaden högre. 4

5 Figuren nedan illustrerar att det finns många faktorer som påverkar nyttan och kostnaden 2.3 Metod och avgränsning För genomförande har vi tagit del av relevanta dokument samt intervjuat ansvariga och andra nyckelpersoner inom kommunen. Vi har via ett webbaserat frågeformulär samlat in uppgifter från IT-chef, systemansvariga och användare. Kommunen har påbörjat en utredning avseende för- och nackdelar med outsourcing. Detta har inte berörts i denna granskning. Granskningen har avgränsats till de kontrollpunkter som redovisas under avsnitt 3, Granskningsresultat. 5

6 3. Granskningsresultat 3.1 Hur är kommunens totala IT-verksamhet organiserad och är roller och ansvar för regelverk, drift och utveckling tydliga? Kommunstyrelsen har det övergripande ansvaret för kommunens IT-system. I säkerhetsplan för IT som antagits i kommunfullmäktige 2002 anges olika ansvar inom IT i kommunen. Ett nytt dokument som bygger på Krisberedskapsmyndighetens basnivå för IT-säkerhet har arbetats fram och kommer att fastställas hösten Det ska enligt säkerhetsdokumenten utses systemägare och systemförvaltare för kommunens IT-system. De viktigaste verksamhetssystemen har uttalade systemförvaltare som är kontaktperson för användare och mot leverantör. IT-chefen och de systemförvaltare vi intervjuat upplever att rollfördelningen mellan IT-avdelningen och systemförvaltare i huvudsak är tydlig (systemförvaltare som tar ansvar för att systemen fungerar i verksamheten). Enligt de dokument som framtagits avseende IT-säkerhet ska systemsäkerhetsplaner tas fram för verksamhetens system. Detta har inte skett med undantag av Socialförvaltningen och Kultur- och fritidsförvaltningen. På IT-avdelningen arbetar förutom IT-chefen 10 personer (inklusive ansvariga för tekniken inom skolan). Under senaste åren har IT-teknisk personal flyttats från verksamheten till IT-avdelningen för att få en samlad teknisk kompetens. Sedan oktober förra året tillhör IT-avdelningen fastighetsavdelningen och inte som tidigare kommunkansliet. Detta innebär att IT-chefen nu rapporterar till fastighetschefen i stället för till kommunchefen. Fastighetschefen sitter med i kommunens ledningsgrupp där han har möjlighet att diskutera strategiska IT-frågor. Fastighetschefen anger att de inom IT-avdelningen successivt arbetar med att tydliggöra och förbättra rollfördelningen. Det har tidigare funnits ett IT-råd som hade som syfte att diskutera strategiska frågor som berörde IT. IT-rådet är idag avskaffat. IT-chefen upplever att det tidigare IT-rådet var positivt och att det idag inte finns motsvarande utrymme för honom att på strategisk nivå diskutera och skapa samsyn avseende frågor som berör IT. Det finns dock en IT-grupp idag där IT-chefen tillsammans med systemförvaltare ingår. I gruppen diskuteras bl a problem, brister och vad som krävs för att komma tillrätta med problem som uppkommer kring IT. 6

7 Det finns en utsedd IT-säkerhetssamordnare i kommunen (räddningschefen). Räddningschefen har ett ansvar att driva och utveckla IT-säkerhetsfrågor i kommunen. Han ser ett behov i att förbättra uppföljningen avseende tillämpningen av fastställda rutiner. Säkerhetssamordnaren upplever att kraven från ledningen avseende hans roll inte är tillräckligt tydliga, t ex hur arbetet ska bedrivas. Vid intervjuer har framkommit att rollen inte är tydlig. IT-säkerhetssamordnaren anger att det ligger i hans roll att arbeta med uppföljningar avseende IT-säkerheten inom kommunen. Detta sker dock i ringa utsträckning bl a på grund av att resurser till detta inte finns tilldelade. Det finns en riskhanteringsgrupp i kommunen där även IT-säkerhetsfrågor diskuteras. Förvaltningarna äger sina datorer. IT-avdelningen tar dock successivt över skolans datorer. Skolan hyr därefter datorer från IT-avdelningen. IT-chefen ser ibland problem med att förvaltningarna inte byter ut maskiner i tid då detta leder till kostnader för IT-avdelningen. De flesta användare som besvarat vårt formulär har angett att de upplever det som tydligt vem som ansvarar för olika frågor inom IT. Dock har ca 40 (av 187 svarande) som besvarat vårt användarformulär angett inte alls till delvis tydligt på denna fråga. Kommentarer och rekommendationer: Vi bedömer det som positivt att kommunen samlat sin tekniska IT-kompetens inom en sammanhållen IT-avdelning. Vi ser ett behov av att förvaltningscheferna i kommunen tar ett mer aktivt ansvar för ITutvecklingen i kommunen som helhet och inom respektive förvaltning. T ex brister det idag kring dokumentation av systemsäkerhetsplaner. Systemsäkerhetsplaner är viktiga för kommunens IT-säkerhet och för att reglera ansvar, roller och befogenheter kring verksamhetskritiska system, samt säkerställa en säker och effektiv drift och utveckling. För att ytterligare förbättra samverkan mellan verksamheten och IT-avdelningen föreslår vi att ett IT-råd (eller motsvarande) skapas på nytt inom kommunen. I detta råd är det bra om förvaltningscheferna för de större förvaltningarna finns med tillsammans med IT-chef. Vi bedömer att det är positivt att kommunen har en utsedd IT-säkerhetsansvarig som är frikopplad från IT-verksamheten i kommunen. Det skapar bättre förutsättningar för en mer oberoende uppföljning av IT-säkerheten. Vår bild är dock att rollen som ITsäkerhetsansvarig inte är tillräckligt tydliggjord (t ex samspelet mellan ITsäkerhetsansvarig, IT-chef och kommunledning. Hur ska arbetet bedrivas avseende riskvärdering, information och uppföljning mot verksamheterna? Vad vill kommunledningen har svar på och på vilket sätt ska rapporteringen ske?). 7

8 3.2 Har kommunen en tydlig bild över vilka krav som kommer att ställas på kommunens verksamheter den närmaste treårsperioden och finns det strategier och mål för hur dessa krav ska uppfyllas och om det finns strategier och mål, är de väl förankrade? Bollnäs kommun har ingen aktuell IT-strategi. Den IT-strategi som finns fastställdes ursprungligen i april IT-strategin är senast utvärderad och reviderad i januari IT-chefen deltar i ett samarbetsprojekt kring IT-strategi tillsammans med andra kommuner. Projektet kan utgöra underlag i ett kommande arbete med att ta fram en IT-strategi för Bollnäs kommun. IT-chefen anger följande områden som viktiga för kommunen att förbättra och/eller där det idag pågår aktiviteter Uppbyggnad av ett separat och sammanhållet skoldatanät. Skolorna har tidigare haft lokala lösningar som inte varit effektiva. Fördelar som anges med ett sammanhållet skolnät är att underlätta central administration samt gemensamt nyttjande av brandvägg, backuptagning, servrar för inloggning, e-post, applikationer, utskrifter. Arbetet med ovanstående är påbörjat. Internleasing av hård- och mjukvara till skolorna. Syftet med detta är att erhålla en bättre och gemensam standard på hård- och mjukvara i skolorna. Detta leder bl a till att elever erhåller samma förutsättningar oberoende av i vilken skola de går. Viktigt är dessutom att de årliga kostnaderna blir jämnare och kända i förväg. Kommunledningen har beslutat att IT-avdelningen ska tillhandahålla hård- och mjukvara som byts ut med jämna mellanrum till förutsägbara årliga kostnader. IT-avdelningen har därför börjat undersöka olika former av hyra/leasing. Administrationen kring detta ser ut att kunna bli betydande, varför deras ambition är att hitta rutiner som ger så lite administration som möjligt. Standardisera mot en ökad användning av enklare datorer (tunna klienter) och där servern istället står för den tekniska kapaciteten inom skolan och administrationen. Syftet med detta är att sänka kostnader för inköp och administration. Utredning pågår idag avseende detta. T ex kommer översyn att göras av vilka applikationer som kan köras i den nya miljön. Idag finns möjlighet att via Internet (www) ansöka om barnomsorg och gymnasieval. Medborgare kan idag ställa frågor och lämna synpunkter till förtroendevalda via Internet. Kommunfullmäktiges sammanträden går även att följa på Internet. Bollnäs kommun är medlem i föreningen SAMBRUK som är en sammanslutning av för närvarande 8

9 ca 60 kommuner. Målet för SAMBRUK är att sänka kommunernas kostnader för utveckling och drift av e-tjänster och påskynda införandet av tjänsterna. E-tjänsterna syftar till att underlätta för medborgarna samtidigt som kommunens (myndigheternas) processer effektiviseras. Ansvariga inom skolan anger att det idag finns krångel och störningar som upplevs otillfredsställande. T ex mailsystem som inte fungerar och svårigheter med att få hjälp i tillräcklig utsträckning. Kommentarer och rekommendationer: Vi kan konstatera att det pågår ett flertal viktiga aktiviteter inom kommunen. Vi bedömer därför att det är viktigt att kommunens verksamheter tillsammans med IT-chefen reviderar kommunens IT-strategi. Vi vill här betona vikten av en gemensam samsyn, målsättning och samordning avseende de övergripande utvecklingsområden som finns inom den närmaste treårsperioden. Här är det givetvis viktigt att respektive förvaltning tar sitt ansvar som beställare och engagerar sig ytterliggare i hur IT-utvecklingen ska ske i den egna förvaltningen. T ex vilka krav och behov finns det inom respektive förvaltning, (finns det en effektiviseringspotential med stöd av IT, finns möjligheter att öka kvaliteten, i vilken takt ska utvecklingen ske, hur ska det finansieras). I detta ligger även att färdigställa och säkerställa tillämpning av systemsäkerhetsplaner för verksamhetskritiska system. Vi kan konstatera att det pågår viktiga och positiva förbättringsprojekt inte minst inom skolan. Samtidigt kan vi inom skolan konstatera att det för närvarande finns problem som är viktiga att ta tag i snabbt. Vi föreslår att målen för skolans IT noga diskuteras mellan förvaltningsledning/nämnd, IT chef, ansvariga från skolan och eventuellt andra aktörer. Punkter som är viktiga att ha tydlig samsyn kring är bl a följande: Var befinner sig skolan idag i jämförelse med uppsatta mål avseende IT i skolan. Vad fungerar bra, mindre bra eller dåligt. Orsaken till vad som är dålig och där det redan förekommer eller inte förekommer förbättringsaktiviteter. Vad är viktigt att göra för att komma till rätta med de problem som finns och för att öka nyttan för skolan. Kan åtgärder prioriteras och i så fall hur. Vem ansvarar för att åtgärda olika frågor och när ska det vara klart. Vilka resurser krävs. 9

10 3.3 Har kommunen ändamålsenliga policys, riktlinjer och rutiner? De dokument som finns avseende IT och som vi tagit del av är: ADB-strategi för Bollnäs kommun (antagen av KF april 1983, rev jan 1997) ADB-policy för Bollnäs kommun (antagen av KF , rev ) Säkerhetsplan IT för Bollnäs kommun (antagen av KF ) IT-vision för Bollnäs ( ) som behandlar IT ur ett externt fokus Baskrav för verksamhetssystem i Bollnäs kommun (rev ) Råd och anvisningar ( , rev ) IT-säkerhetspolicy (ej politiskt antagen, upp i ks au hösten 2005) Vissa lokalt framtagna dokument finns, t ex IT-plan för skolan i Bollnäs Många av ovanstående dokument är endast till delar aktuella. Dokumentation avseende rutiner för inköp och avyttring av datorer saknas. Dokumenterade rutiner avseende backuptagning och återställningstester saknas. Kommentarer och rekommendationer: Vi kan konstatera att kommunen har många styrande och stödjande dokument men att flera av dokumenten är i behov av revidering. Vi har upplevt att det är svårt att överskåda de dokument som finns och att det därmed finns risker att dokumenten inte fyller sitt syfte. Det är viktigt att kommunen ser över de dokument som finns och i anslutning till detta även ser över hur de olika dokumenten ska kommuniceras till olika ansvariga och användare. 10

11 3.4 Har kommunen en ändamålsenlig finansiering av IT-kostnaderna och en tillfredsställande kostnads- och verksamhetsuppföljning? Finansiering IT-avdelningen har ett budgetanslag för IT-avdelningens kostnader inklusive vissa centrala system. Förvaltningarna står själva för kostnader som rör deras verksamhetssystem samt sin egen utrustning (PC, skrivare). Förvaltningarna påverkar själva när ny utrustning ska inköpas. IT-chefen ser ibland problem med att förvaltningarna styr takten i förnyelse av gammal utrustning (t ex undviker att förnya PC:n och då oftast av ekonomiska skäl). Konsekvensen kan vara extra arbete för IT-avdelning utan att de tilldelas resurser. Det saknas dokumenterade konsekvensbeskrivningar över hur IT-avdelningen belastas t ex när verksamheten undviker att uppdatera utrustning, förändrar sina processer och/eller införskaffar nya system. Kommentarer och rekommendationer: Det sätt som IT-stödet finansieras på i kommunen idag kan ge negativa konsekvenser. Förvaltningarna har möjlighet att inom sin budgetram göra IT-investeringar i system och datorer. Det medför dock inte alltid att IT-avdelningen får ökade medel för utrustning och personal för att möta de krav och behov som ökat antal system, servrar och datorer medför. Belastningen på personalen inom IT-avdelningen ökar och kapaciteten i ITinfrastrukturen blir ansträngd. Risker finns att förvaltningarna bidrar till en kostnadsutveckling som inte blir tydlig för kommunledningen. Vårt förslag att förbättra detta utgår utifrån två alternativ: 1. Samtliga IT-investeringar och/eller andra IT-berörda förändringsaktiviteter som görs inom förvaltningarna bör föregås av en konsekvensanalys, d v s en analys av inte bara vad det kostar för respektive förvaltning utan även vad det medför för IT-avdelningen (eller andra berörda verksamheter). Vid behov bör IT-avdelningen få täckning för ökade kostnader. Det är viktigt att de IT-investeringar som görs inom förvaltningarna överensstämmer med de strategier kommunen har och att medel avsätts i budgetprocessen. 2. IT-avdelningen tar betalt utifrån de faktiska kostnaderna för IT-stödet. Detta innebär att en kostnadsfördelningsmodell bör utarbetas. Samtlig IT-utrustning överförs till ITavdelningen och funktionshyra införs för IT-stödet. Respektive förvaltning betalar då 11

12 för vad de använder beräknat utifrån en faktisk kostnad. Förvaltningarna måste då överväga om nyttan med t ex ett nytt system eller fler antal användare är större än kostnaden. Vi bedömer att detta alternativ kan vara bättre eftersom det även bidrar till en bättre samordning och kontroll. (Förslaget kan underlätta rotation av datorer och annan teknik, samordning av system, standardisering, samlade inköp av IT-utrustning, effektivare drift o.dyl.) Kostnadsuppföljning Kommunens totala kostnad för IT är svårt att erhålla, t ex kan konsultkostnader som är relaterad till IT-system kodas som konsultstöd utan koppling till systemet. Dock finns i redovisningssystemet upplagd möjlighet att dels koda på respektive kostnadsslag och dels att kostnad avser IT. Tydliga krav från ledningen på att och hur IT-kostnader ska kodas och redovisas saknas. Kommentarer och rekommendationer: Kommunen har svårt att ge någon samlad bild över de totala IT-kostnaderna, vilket vi bedömer vara bristfälligt. Detta medför t ex att det är svårt att i dagsläget göra analyser över vad IT kostar i kommunen (vad är den totala kostnaden för ett system, vilken förvaltning har högst kostnad per användare, vad är orsaken till kostnader och kan kostnader minskas o.dyl.). Vi föreslår att kommunens kostnadsuppföljning avseende IT ses över. Ett förslag till förbättring är att systemen tilldelas olika nummer som används i någon av kommunens koddelar. Detta tillsammans med kostnadsslag bör underlätta uppföljningen avseende kommunens IT-relaterade kostnader. Här vill vi även tillägga att det är viktigt att det sker uppföljning av att kostnader konteras korrekt Verksamhetsuppföljning IT-avdelningen har arbetsträffsmöten varje vecka där det diskuteras vad som är gjort och ogjort, problem och egna fortbildningsfrågor m m. System för hantering av ärenden finns i kommunen. Det finns inte i något dokument uppsatt några mätbara mål för IT-avdelningens arbete (t ex tillgänglighetstal för nät och system). 12

13 Kommentarer och rekommendationer: Vi föreslår att IT-avdelningen ser över hur deras egen verksamhetsuppföljning skulle kunna förbättras. Vi föreslår att ansvariga ser över hur befintligt helpdesksystem skulle kunna stödja kommunen ytterligare i deras arbete, för att bättre analysera orsaken till olika ärenden och att sedan kunna arbeta mer förebyggande. (T ex - är problemet tekniskt eller kompetensrelaterat? Vad beror ett tekniskt problem på? Har det att göra med systemet eller infrastrukturen? Vem ansvarar för att åtgärda problem, vilka utbildnings-/informationsinsatser bör göras etc). 3.5 Har kommunen en ändamålsenlig IT-infrastruktur? Kommunen har idag cirka 700 datorer och användarkonton. Inom skolan finns ytterligare datorer och användarkonton. IT-chefen bedömer att de flesta datorer är tillräckligt bra. Dock finns datorer som orsakar störningar för användare och arbete för IT-avdelningen. Det finns idag ingen dokumenterad bild över vilka konsekvenser detta medför. IT-avdelningen har ett tekniskt processtöd vilket gör att de idag klarar att göra ordning en dator över nätet på 20 minuter. Inköp av alla datorer passerar IT-avdelningen. IT-chefen bedömer att kommunikationen är tillräcklig bra på de flesta områden. Dock borde kapaciteten vara bättre för vissa decentraliserade arbetsplatser. Störningar uppkommer även i delar av kommunikationsnätet där förbindelser hyrs. (IT-chefen upplever att han inte har tillräcklig kontroll över den hyrda förbindelsen). Enligt IT-chefen förekommer avbrott och väntetider men dessa är sällsynta. De allra flesta som besvarat vårt webbformulär har angett att det inte är vanligt med tekniska störningar som orsakar betydande tidsbortfall. (Dock har några användare angett att de förlorar onödig tid p g a störningar då de arbetar med sin dator.) Det finns idag ingen enhetlig dokumenterad bild över konsekvenser kring störningar i kommunikationen. Vissa problem fångas via helpdesksystemet men störningar och åtgärder hamnar i dag hos olika ansvariga inom IT-avdelningen. Serverrum som är avsett för ändamålet finns. Skolans IT-miljö flyttas successivt in i serverrum. Bandrobot för backup finns i annan brandcell. Brandvägg finns. Via leverantören 13

14 av brandväggen erhåller kommunen kontinuerligt stöd avseende konfigurering av brandväggen. Oberoendetester av kommunens brandvägg har ej skett. Reservkraft för servrar och backuputrustning finns. Kommentarer och rekommendationer: Vi upplever att kommunen har en tillfredsställande IT-infrastruktur utifrån de krav som ansvariga och användare ställer idag. Dock har vissa användare och även IT-chefen angett att det förekommer störningar som är relaterade till datorer och annan teknik. Vi bedömer därför att det är viktigt att de störningar som finns ytterligare analyseras, dokumenteras och kommuniceras. IT-chef tillsammans med ledningen diskuterar igenom vad som krävs för att förbättra den tekniska plattformen. (vad är bra, vad brister, vad ger brister för konsekvenser, vilka resurser krävs för att komma tillrätta med problemen, vem ansvarar för att åtgärda o.dyl.). 14

15 I samband med detta föreslår vi att IT-chefen ser över möjligheten att förbättra kodningen i helpdesksystemet för att utgöra underlag till en tydlig dokumenterad bild över problem, andra ärenden och konsekvenser på ett bättre sätt. För att säkerställa att brandvägg och andra resurser fungerar på ett tillfredsställande sätt föreslår vi att kommunen genomför en oberoende s.k. intrångstest både från insidan och utsidan av kommunens brandvägg. 3.6 Har användarna i kommunen en tillfredställande IT-kompetens och finns det ändamålsenliga rutiner för stöd och support? Helpdeskfunktion finns. Support finns under kontorstid. Ärenden dokumenteras i helpdesksystemet. Dokumentationen används till vissa delar i förebyggande syfte. Många frågor som kommit till IT-avdelningen har varit kompetensrelaterade därför har IT- och fastighetskontoret tillsammans med personalkontoret och datorteket initierat en grundutbildning som pågår inom kommunen (fler än hundra personer har gått hittills och ytterligare några hundra står i kö). En första utvärdering av utbildningen har skett. När det gäller verksamhetssystem ska användare vända sig till sin korridorstödjare eller systemansvarig. Det händer också att de vänder sig direkt till kommunens helpdesk. När det gäller andra problem (Windows, nätverk, e-post, hårdvara m m) vänder de sig till ITavdelningens helpdesk. De allra flesta användare som besvarat vårt formulär är nöjda med kommunens helpdesk samt hur de får hjälp från ansvariga för olika system. Några användare har angett att det ibland tar för lång tid att erhålla hjälp från helpdesk. Rutin för prioritering av ärenden finns, dock ej dokumenterad. Systemsäkerhetsplaner finns ej upprättade för flertalet av kommunens system. Användarna informeras kring fel som uppstår via intranätet och vid speciella fall även via e-post. IT-chefen bedömer att anställda inom IT-avdelningen har en tillräcklig kompetens för att förvalta och utveckla kommunens IT-infrastruktur på ett effektivt och säkert sätt. IT-chefen upplever att kraven på stöd ute i organisationen är stora och att det ibland är svårt att motsvara förväntningarna. En anledning som anges är att antalet användare, datorer och servrar ökat men IT-avdelningens resurser är ganska oförändrade. Eftersom verksamhetssystemen sprids allt längre ut i organisationen har många nya användare tillkommit det senaste åren. Många av de användare som tillkommit har inte någon bra grundut- 15

16 bildning i pc-handhavande och Windows. Detta har ökat belastningen på IT-avdelningens helpdesk. När det gäller verksamhetssystemen är det respektive verksamhet som svarar för utbildningen. När det gäller grundläggande utbildningar är ansvaret otydligt. IT-avdelningen upplever dock att de tar ett ansvar för detta men att resurser saknas. Kommentarer och rekommendationer: Vi bedömer att det är positivt att kommunen har en helpdesk för inkomna ärenden. Vi föreslår att IT-chefen tillsammans med andra ansvariga ser över hur helpdesksystemet ytterligare kan vara ett stöd för olika åtgärder. Systemet bör kunna ge ett bättre stöd/information för olika åtgärder. ( T ex - är problemet tekniskt eller kompetensrelaterat? Vad beror ett tekniskt problem på? Har det att göra med systemet eller infrastrukturen? Vem ansvarar för att åtgärda problem, vilka utbildnings-/informationsinsatser bör göras etc). Systemet bör kunna användas av flera ansvariga i kommunen som idag samlar upp IT-relaterade frågor och störningar från användare. Det är viktigt att ansvariga på olika nivåer informerar och följer upp att användare använder helpdeskfunktionen på ett erforderligt sätt. Det är positivt att kommunen genomför en grundutbildning för vissa användare. Vi föreslår att kommunen genomför en kompetensinventering för respektive kommungemensamt och verksamhetsspecifikt system och ser till att användarna för respektive system når en kompetensnivå där de upplever att de har tillräckliga kunskaper. 3.7 Har kommunen en fastställd och tillämpad IT-säkerhetspolicy och i så fall sker uppföljning över att policyn tillämpas? Kommunen har en Säkerhetsplan IT, enligt FA22, som antogs av KF Säkerhetsplanen är kompletterad med fyra bilagor: Ledning och styrning för IT-säkerhet ÖCB:s Allmänna Råd och Föreskrifter om Grundsäkerhet Förteckning över Bollnäs kommuns datasystem Säkerhetsinstruktion för användare 16

17 Säkerhetsplan IT finns tillgänglig på kommunens intranät. En ny IT-säkerhetspolicy har tagits fram i Bollnäs kommun. Den nya policyn har utarbetats efter KBM:s rekommendationer om basnivå för IT-säkerhet (BITS). I ITsäkerhetspolicyn ingår IT-säkerhetsinstruktioner för förvaltning och användare. Kommunens räddningschef är IT-säkerhetssamordnare. Roll och ansvarsområden för ITsäkerhetssamordnaren finns beskrivna både i Säkerhetsplan IT (Bilaga 1, Ledning och styrning av IT-säkerhet) samt i den nya IT-säkerhetspolicyn (IT-säkerhetsinstruktion: Förvaltning). Kommentarer och rekommendationer: Det är viktigt att arbetet med att ta fram systemsäkerhetsplaner fortsätter för verksamhetskritiska system. Det är viktigt att det genomförs uppföljningar över att framtagna dokument tillämpas av ansvariga och användare. 17