Revisionsrapport 2017 Genomförd på uppdrag av revisorerna december Laholms kommun Granskning av IT-säkerhet och informationssäkerhet
|
|
- Christian Bergman
- för 5 år sedan
- Visningar:
Transkript
1 Revisinsrapprt 2017 Genmförd på uppdrag av revisrerna december 2017 Lahlms kmmun Granskning av IT-säkerhet ch infrmatinssäkerhet
2 Innehåll 1. Sammanfattning Inledning Bakgrund Syfte ch avgränsning Revisinsfrågr Revisinskriterier Metd Revisinskriterier Granskningsstruktur Myndigheten för samhällsskydd ch beredskaps ramverk för IT-säkerhet, BITS Kmmunens arbete avseende IT-säkerhet ch infrmatinssäkerhet Kntrllmiljö Riskanalys Kntrllåtgärder Infrmatin ch kmmunikatin Uppföljning ch utvärdering Implementering av GDPR ch NIS-direktivet Analys avseende intern kntrll...17 Bilagr: Bilaga 1 - Intervjuade funktiner 2
3 1. Sammanfattning Granskningens övergripande syfte är att bedöma hur kmmunstyrelsen säkerställer kmmunens arbete med IT-säkerhet ch infrmatinssäkerhet. Inm ramen för granskningen har vi bedömt ett antal lika kntrllpunkter fördelade på de lika mmenten kntrllmiljö, riskanalys, kntrllaktiviteter, infrmatin/kmmunikatin ch utvärdering/uppföljning. Resultatet av granskningen visar följande fördelning. Sammanfattande tabell, kntrllpunkter; Kntrllen finns ch fungerar tillfredsställande. Kntrllen finns ch fungerar delvis. Kntrllmiljö Riskanalys Kntrllåtgärd Infrmatin/km Uppföljning/utvärdering Kntrllen finns ej eller fungerar ej tillfredsställande. Det är vår sammanfattande bedömning att Lahlms kmmun inte har en helt tillfredsställande IT-säkerhet. Det finns ett flertal mråden med förbättringsptential i enlighet med COSO-analysen. Vi bedömer det sm en svaghet att det inm kmmunen inte finns en beslutad infrmatinssäkerhetsplicy. Det är dck vår bedömning att det finns en förståelse för vikten av det förändringsarbete sm implementeringen av den nya dataskyddsförrdningen (GDPR) innebär. Vi rekmmenderar kmmunstyrelsen att säkerställa att en infrmatinssäkerhetsplicy upprättas ch beslutas att säkerställa att verksamhetskritiska system klassificeras att säkerställa att det finns en ansvarsfördelning för kmmunens samtliga infrmatinstillgångar att utarbeta ch dkumentera en kntinuitetsplan för rganisatinens system att besluta m lägsta acceptabla tider sm infrmatinssystem får vara ur funktin 3
4 2. Inledning 2.1. Bakgrund Idag bedrivs så gtt sm all verksamhet i en kmmun med någn frm av datriserat stöd. Stödet har med tiden utvecklat sig till att bli en förutsättning för att kunna bedriva verksamhet ch antalet lika prgramvarr är strt. För att uppnå kmmunens mål krävs att infrmatinen i verksamhetsstödet är tillgänglig, riktig, har krrekt knfidentialitet samt är spårbar. Den 25 maj 2018 kmmer den nya dataskyddsförrdningen att ersätta den svenska persnuppgiftslagen ch bli lag i Sverige. Det nya regelverket kan innebära stra förändringar för den kmmunala verksamheten vilket gör det angeläget att börja analysera knsekvenser för kmmunens verksamheter ch planera för anpassning till det nya regelverket. Mt bakgrund av genmförd risk- ch väsentlighetsanalys har revisrerna beslutat att granska kmmunens arbete med intern kntrll av IT-säkerheten samt planering för anpassning till dataskyddsförrdningen Syfte ch avgränsning Granskningens övergripande syfte är att granska hur effektivt Lahlms kmmun arbetar med infrmatinssäkerhet. Granskningen utgår från ett intern kntrllperspektiv där granskningen sker av hur kmmunstyrelsen följer ch leder arbetet med intern kntrll inm ITsäkerhetsmrådet för att säkerställa att den interna kntrllen är tillräcklig. Avgränsning Granskningen avser kmmunstyrelsens arbete med IT-säkerhet ch infrmatinssäkerhet ch baseras på infrmatin från intervjuer ch dkumentstudier. Inga tester av IT-säkerheten eller infrmatinssäkerheten har genmförts, såsm generella IT-kntrller eller applikatinskntrller. Det kan finnas brister i kmmunens hantering av IT sm vi inte har identifierat Revisinsfrågr I granskningen kmmer följande huvudmråden att följas upp: Kntrllmiljö Säkerhetsplicy Säkerhetsrganisatin Riskanalys Vilka riskanalyser av IT-säkerheten genmförs Kntrllåtgärd Klassificering ch kntrll av tillgångar Persnal ch säkerhet Fysisk ch miljörelaterad säkerhet Styrning av åtkmst Styrning ch kmmunikatin av drift Infrmatin ch kmmunikatin Incidenthantering Uppföljning ch utvärdering 4
5 Systemutveckling ch underhåll Kntinuitetsplanering Efterlevnad 2.4. Revisinskriterier COSO-mdellens ramverk för intern kntrll utgör grundkriterierna för granskningen. Vidare har granskningen genmförts mt så kallad gd praxis inm infrmatinssäkerhetsmrådet genm utvalda delar av Myndigheten för samhällsskydd ch beredskaps ramverk för IT- ch infrmatinssäkerhet BITS (Basnivå för IT-säkerhet), sm är ett etablerat ramverk i ett strt antal kmmuner ch inm ffentlig förvaltning. Ramverket bygger på den svenska ch internatinella standarden för infrmatinssäkerhet, ISO/IEC Dataskyddsförrdningen samt styrande ch stödjande dkument från Datainspektinen ligger till grund för granskningen i den del sm avser dataskyddsförrdningen. Ansvarig nämnd Granskningen avser kmmunstyrelsen Metd Granskningen har genmförts genm insamling av bakgrundsinfrmatin inför intervjuer. Relevant infrmatin är rganisatin, IT-säkerhetsplicy, riskanalyser, rapprtering av kntrllaktiviteter, tidigare granskningsrapprter mm. Intervjuer med representanter från kmmunens ITrganisatin sm arbetar med IT-ch infrmatinssäkerhet. Utifrån insamlat material har en bedömning gjrts av kmmunens IT-säkerhets- ch infrmatinssäkerhetsarbete. De intervjuade har beretts tillfälle att faktagranska rapprten. 5
6 3. Revisinskriterier 3.1. Granskningsstruktur Kntrllmiljön anger tnen i en rganisatin ch påverkar kntrllmedvetenheten hs dess medarbetare. Faktrer sm innefattas av kntrllmiljön är integritet, etiska värden, kmpetensen hs medarbetarna i rganisatinen, ledningens filsfi ch ledarstil, det sätt på vilket ledningen fördelar ansvar ch befgenheter ch rganiserar ch utvecklar dess medarbetare samt den uppmärksamhet ch vägledning sm ledningen ger. Riskbedömning, vilket innebär identifiering, analys ch hantering av relevanta risker för att uppnå rganisatinens mål ch krav. Riskvärderingen bör alltid dkumenteras i syfte att förtydliga systematiken. Kntrllaktiviteter är de riktlinjer ch rutiner sm bidrar till att säkerställa att brister upptäcks ch att direktiv genmförs. De bidrar till att säkerställa att nödvändiga åtgärder vidtas för att hantera risker för att rganisatinens mål inte uppnås. Infrmatin ch kmmunikatin måste identifieras, fångas, ch förmedlas i en sådan frm ch inm en sådan tidsram att de anställda kan utföra sina uppgifter. Interna styr- ch kntrllsystem behöver övervakas, följas upp ch utvärderas en prcess sm bestämmer kvaliteten på systemets resultat över tid. Det åstadkms genm löpande övervakningsåtgärder ch uppföljningar, separata utvärderingar eller en kmbinatin av dessa Myndigheten för samhällsskydd ch beredskaps ramverk för IT-säkerhet, BITS Begreppet infrmatinssäkerhet mfattar IT-säkerhet ch administrativ säkerhet. IT-säkerhet är skydd av infrmatin i infrmatinsbehandlande tekniska system. Administrativ säkerhet avser regler för persnal ch säkerhetsklassning av infrmatin. Infrmatinssäkerhet innebär att tillgänglighet, riktighet, knfidentialitet ch spårbarhet säkerställs. För att kunna säkerställa en tillräcklig nivå av infrmatinssäkerhet är det viktigt att infrmatinssäkerhetsarbetet bedrivs systematiskt ch långsiktigt. Myndigheten för samhällsskydd ch beredskap (MSB) har utarbetat ett ramverk sm utgör en basnivå för infrmatinssäkerhet. EY har utifrån detta ramverk ch erfarenheter från tidigare granskningar inm mrådet valt ut följande aspekter att fkusera på: säkerhetsplicy, rganisatin, riskanalyser av IT-säkerheten, klassificering ch kntrll av tillgångar, persnal ch säkerhet, fysisk ch miljörelaterad säkerhet, styrning av åtkmst ch kmmunikatin av drift, incidenthantering, systemutveckling ch underhåll samt kntinuitetsplanering. 6
7 4. Kmmunens arbete avseende IT-säkerhet ch infrmatinssäkerhet Rapprten redvisar i vilken grad kmmunen uppfyller valda rekmmendatiner ur BITS. Resultatet är en sammanvägd bedömning, sm baseras på infrmatin sm lämnats vid intervjuerna samt genm erhållen dkumentatin. Den sammanvägda bedömningen av svaren på kntrllerna har bedömts enligt följande alternativ: Ja Delvis Nej E/T Kntrllen finns ch fungerar tillfredsställande. Kntrllen finns ch fungerar delvis. Kntrllen finns ej eller fungerar ej tillfredsställande. Ej tillämplig, kntrllen behövs ej av särskilda skäl Kntrllmiljö I kntrllmiljön ingår mment sm kan hänföras till ledningsfrågr, rganisatin, riktlinjer ch styrdkument samt resursfrågr. Kntrllmiljön inbegriper fta målfrmuleringar eller andra krav sm ställs på verksamheten, därför är bedömning av riktlinjer av särskilt intresse. Även persnalens kmpetens ch de insatser sm genmförs sm vidareutbildning m.m. ingår i kntrllmiljön. Kntrllmiljön är viktig för att bedöma kmmunens förmåga att leda verksamheten i riktning mt säkerhet i ch i anslutning till infrmatinssäkerhetssystemen. IK 1 Organisatin av säkerheten, plicy m.m. 1.1 Finns plicy ch riktlinjer för infrmatinssäkerhet? Det finns ingen beslutad plicy eller riktlinjer för infrmatinssäkerheten i kmmunen. Det har genmförts en förstudie sm tar sin grund i MSB:s åtta rekmmendatiner för kmmuner. Förstudien är inte beslutad av kmmunstyrelsen. Det finns beslutade riktlinjer för säkerhetsanalys. Dessa inkluderar säkerhetsanalys, handlings- ch åtgärdsplan ch hantering av infrmatin. 1.2 Beskriv rganisatin, kmpetens ch behv IT-chefen leder under kmmunstyrelsen arbetet med IT- ch infrmatinssäkerhet. Det finns därutöver en säkerhetschef i kmmunen. Denne har dck inte ansvar för IT- eller infrmatinssäkerhetsrelaterade frågr utan primärt räddningstjänsten. Det genmförs dck inm kmmunen för tillfället en mrganisatin där säkerhetschefens arbetsuppgifter utvärderas. Under IT-chefen utgörs rganisatinen av en medarbetare sm arbetar med säkerhet, en driftchef, en utredare ch fyra IT-tekniker. Utredningstjänsten har delvis ckså i uppgift att arbeta med säkerhetsrelaterade frågr. 7
8 1.3 Finns det en infrmatinssäkerhetssamrdnare eller mtsvarande? IT-chefen är infrmatinssäkerhetssamrdnare i kmmunen. IT-chefen samlar in infrmatin m hur verksamheterna arbetar med infrmatinssäkerhet. Kmmunen tillämpar inga samrdningsverktyg för detta arbete. 1.4 Har rganisatinen utsett systemägare för samtliga infrmatinssystem? Systemägare ch förvaltare är utsedda till kmmunens samtliga större infrmatinssystem. Detta mfattar främst eknmi-, persnal- ch de verksamhetsmässiga systemen. Systemägarna är dkumenterade i applikatinskatalgen. Det finns dck enligt intervju frtfarande mindre system där det inte finns någn utsedd systemägare. 1.5 Finns det en samrdningsfunktin för att länka samman den perativa verksamheten för infrmatinssäkerhet ch ledningen? Det är uttalat att kmmunstyrelsen ansvarar för säkerheten inm kmmunen vilket inkluderar infrmatinssäkerhet. Under kmmunstyrelsen finns ett digitaliseringsnätverk med representanter från kmmunens verksamheter. Nätverket är beredande för kmmunstyrelsen. Exempelvis är denna grupp beredande för IT-verksamhetsplanen. Nätverket hanterar ckså IT-säkerhetsfrågr. IT-chefen har ckså en samrdnande funktin under kmmunstyrelsen 1.6 Har ansvaret för infrmatinssäkerheten reglerats i avtal i de fall verksamhet/drift m.m. lagts ut på en utmstående rganisatin? Kmmunen har inte någn i betydande utsträckning förlagt IT-drift på utmstående. Kmmunen använder sig av vissa mindre mlntjänster varpå infrmatinssäkerhet enligt uppgift har reglerats i avtal Riskanalys I riskanalysen ingår att bedöma hur kmmunen arbetar med IT-säkerheten utifrån riskanalys ch identifiering av lika risker. Riskanalysen bör vara utfrmad med vedertagna metder m sannlikhet ch knsekvenser. Riskanalysen bör ckså vara genmförd av medarbetare/persner sm besitter tillräcklig kmpetens för att identifiera ch bedöma risker. Handlingsplaner bör vara kpplade till risker sm har höga riskvärden. IK 2 Riskanalys 2.1 Genmförs riskanalyser avseende IT- ch infrmatinssäkerhet? Av intervju framkmmer att det nyligen genmfördes en riskinventering av IT- ch infrmatinssäkerheten inm kmmunen. Dkumentstudier visar att denna är upprättad sm en risk- ch väsentlig- 8
9 2.2 Har verksamhetskritiska IT-system identifierats ch bedömts? hetsanalys enligt vedertagen mdell. 13 riskmråden är identifierade ch bedömda utifrån dess risk ch väsentlighet enligt en femgradig skala. Riskvärdet multiplicerat med väsentlighetsvärdet utgör ett risktal. Därtill mfattar risk- ch väsentlighetsanalysen vilka rutiner sm finns i syfte att mtverka risker samt bedömningar av åtgärdsbehv. Riskmrådena i analysen mfattas av såväl verksamhetsmässiga risker sm kmmunmedlemmarnas behv av funktinella tjänster vilka påverkar IT-miljön. Den högst värderade risken är vi har inte ett systematiskt arbetssätt kring infrmatinssäkerhet. Till detta riskmråden är det kmmenterat att kmmunen för tillfället ser över infrmatinssäkerheten. Risk- ch väsentlighetsanalysen har enligt uppgift lyfts i såväl digitaliseringsnätverket sm kmmunstyrelsen. Specifika system har identifierats sm särskilt verksamhetskritiska vilka kräver en högre grad av tillgänglighet än andra. Däremt har inte samtliga system bedömts eller dkumenterats utifrån klassificering. Av intervju framkmmer att ett sådant arbete har påbörjats sm del av prjektet GDPR (arbetet kpplat till dataskyddsförrdningen). 2.3 Har mständigheter sm ska betecknas sm kris/katastrf (extrardinära händelser) för verksamheten kartlagts? Nej. Av intervju hänvisas till risk- ch väsentlighetsanalysen. Denna lyfter dck inte riskmment sm mfattar extrardinära händelser sm kan betecknas sm kris ch/eller katastrf. 9
10 Klassificering ch kntrll av tillgångar 2.4 Är rganisatinens infrmatin klassad avseende sekretess/riktighet/tillgänglighet (har systemägarna yttrat sig m klassning)? Det varierar berende på verksamhetstyp. Inm exempelvis scialtjänsten har infrmatin klassats, framförallt i verksamhetssystemen. Detta främst för att säkerställa rätt behörighet vid slagningar på individer. Det framförs att det inte genmförts dkumentklassningar av Wrd- ch Exceldkument. Det ses för tillfället över m sådan klassning ska införas med anledning av den nya dataskyddsförrdningen. 2.5 Har samtliga infrmatinssystem identifierats ch dkumenterats i en aktuell systemförteckning? Delvis. Systemen är dkumenterade i applikatinskatalg. Denna mfattar ttalt 87 prgramvarr ch inkluderar installatinsplats samt systemägare. Av intervju framkmmer att det kan finnas ett fåtal prgram av mindre vikt sm inte är inkluderad i systemkatalgen. 2.6 Finns det en ansvarsfördelning för rganisatinens samtliga infrmatinstillgångar? Nej. Det finns ansvarsfördelningar för många mråden men inte för samtliga. Det har förekmmit att det vid ett tillfälle funnits sekretessmaterial sm delats ut i större utsträckning än vad sm var tillåtet. Detta på grund av att fel server använts. Misstaget åtgärdades när det upptäcktes Kntrllåtgärder Kntrllåtgärder är lika insatser sm genmförs för att minska riskerna i verksamheten ch bidra till en ökad intern kntrll av prcesserna. De mment sm vi bedömer under detta avsnitt är: persnal ch säkerhet, fysisk ch miljörelaterad säkerhet, styrning av kmmunikatin ch drift, styrning av åtkmst samt anskaffning, utveckling ch underhåll av infrmatinssystem. Kntrllsystemen bidrar till att säkerställa IT-systemen är tillgängliga för rätt persn i rätt tid ch på ett spårbart sätt. IK 3 Persnal ch säkerhet 3.1 Får inhyrd/inlånad persnal infrmatin m vilka säkerhetskrav ch instruktiner sm gäller? (utbildning/ intrduktin/kurs m.m.) 3.2 Har systemägaren definierat vilka krav sm ställs på användare sm får tillgång till infrmatinssystem ch infrmatin (leta infrmatin i individuella akter m.m.)? Ja. Detta gäller främst inm scialtjänstmrådena samt sklan. Exempelvis får inhyrda sjuksköterskr ch rektrer intrduktin till systemen samt infrmatin m de gällande säkerhetsrutinerna. Det anses vid intervju att så är fallet. Det finns infrmatinsprgram för de anställda i kmmunen ch särskilda sådana för specifika verksamhetssystem. Det genmförs utbildning för systemanvändning. Det genmförs ckså stickprv i lggar på 10
11 3.3 Genmförs regelbundet utbildningsinsatser inm infrmatinssäkerhet? akter för att kntrllera detta. Det kmmer att införas stickprv ckså på medicinskåp på förekmmen anledning. Det genmförs utbildningar kntinuerligt för nyanställda. Kmmunen har infört ett IT verktyg för prcesskartläggning. I prcesserna ingår att chefer ska infrmera ch utbilda m infrmatinssäkerhet. Det genmförs ckså utbildning vid införandet av nya system. 3.4 Dras åtkmsträtten till infrmatin ch infrmatinsbehandlingsresurser in vid avslutande av anställning eller vid förflyttning? Ja. Detta genmförs med autmatik. Kmmunens AD-katalg är knuten till anställningen. Detta är av vikt för säkerheten men ckså för licenser till prgramvara. Kmmunen vill inte betala mer för licenser än vad sm är nödvändigt. Fysisk ch miljörelaterad säkerhet 3.5 Finns funktiner för att förhindra behörigt fysisk tillträde till rganisatinens lkaler ch infrmatin? 3.6 Har IT-utrustning sm kräver avbrttsfri kraft identifierats? 3.7 Finns larm kpplat till larmmttagare för: - Brand, temperatur, fukt? - Sker test av larmmttagare? 3.8 Finns i direkt anslutning till viktig datrkmmunikatinsutrustning en klsyresläckare? 3.9 Raderas känslig infrmatin på ett säkert sätt från utrustning sm tas ur bruk eller återanvänds? (mfrmatering, raderingsprgram m.m.) 3.10 Finns särskilda säkerhetsåtgärder för utrustning utanför rdinarie arbetsplats? 3.11 Finns infrmatin ch regler sm anger att IT-utrustning Ja. Det tillämpas tag-system i kmmunens lkaler. För lkaler till infrastruktur till IT, så sm serverrum, finns det mfattande säkerhet. Besökare hämtas i receptinen av tjänstepersnen denne besöker. Ja. Ja. Kmmunen har därtill fått medel från MSB för att säkerställa detta säkerhetsarbete. MSB följer upp tilldelningen av medel genm kntrller. Ja. Enligt intervju finns detta. Ja. Datrer lggfrmateras när de tas ur bruk eller byter användare. Detta sker främst för datrer inm sklan. Scialtjänstens datrer återanvänds aldrig. Hårddiskarna klipps vid destruering. Ja, kmmunen har särskilda verktyg för att nå system utanför lkalerna. Det tillämpas en tvåfaktrsinlggning med engångslösenrd. Använder WMware för krypterade virtuella servrar. Både ja ch nej. Att använda datr utanför kmmunens lkaler kräver chefs tillåtelse. Att använda smartphne utanför kmmunens lkaler kräver ej 11
12 m.m. inte får föras ut från rganisatinens lkaler utan medgivande från ansvarig chef? tillåtelse. Detta tydliggörs i kmmunens riktlinjer för distansarbete Finns driftdkumentatin för verksamhetskritiska infrmatinssystem? (backup, jurpärm m. kntaktpersner) Delvis. Det finns driftdkumentatin för vissa system genm lggar. IT-miljön är autmatiserad så att rätt persn får varning m någt system inte fungerar sm det ska Sker system-/prgramutveckling samt tester av mdifierade system åtskilt från driftsmiljön? 3.14 Finns rutiner för hur utmstående leverantörers tjänster följs upp ch granskas? 3.15 Gdkänner systemägaren eller annan lämplig persnal driftsättningar av förändrade infrmatinssystem? Det finns testmiljöer för de verksamhetskritiska systemen. För andra system saknas det testmiljöer. Ja. Dessa kntrlleras ckså. Det framförs vid intervju att knsulter kan tycka att de är för petiga i detta avseende. Har kntrll för överlämning till drift. Ja. Exempelvis vid uppdateringar testar systemförvaltaren att allt fungerar innan prgramvaran driftsätts Finns det för både servrar ch klienter rutiner för skydd mt skadlig prgramkd? Ja. Dessa är skyddade på flera lika sätt. Det kan trts detta finnas risk för skadlig prgramvara men då vanligtvis på grund av den mänskliga faktrn. Det har därför genmförts utbildningar m att exempelvis inte öppna länkar i mail m avsändaren inte är känd Har rganisatinens nätverk delats upp i mindre enheter (segmentering) så att en (virus-) attack enbart drabbar en del av nätverket? 3.18 Genmförs säkerhetskpiering regelbundet? 3.19 Saknas det alternativa vägar vid sidan av rganisatinens brandvägg in till det interna nätverket? Ja. Nätverket är fysiskt segmenterat på flera lika mråden. Detta enligt VLAN 1 -principer. Ja. Varje natt. Vissa system säkerhetskpieras ftare än så. Det genmförs ckså tester för att säkerställa att det finns innehåll i backuperna. Ja. Allt går via brandväggen. Det framförs att det är viktigt med stringensen i detta. Särskilt i förhållande till leverantörer. Kmmunen har därtill infört ett system för kntinuerliga penetratinstester tillsammans med Hylte, Falkenberg ch Varberg. 1 VLAN är ett virtuellt nätverk sm utgör en segmenterad del av det fysiska nätet. 12
13 3.20 Finns det dkumenterade regler avseende vilken infrmatin sm får skickas utanför rganisatinen? (ex sekretessbelagd inf) 3.21 Sparas revisinslggar för säkerhetsrelevanta händelser? Ja. Detta tydliggörs i kmmunens riktlinjer för säkerhetsanalys. Ja, det finns säkerhetslggar i de system sm tilllämpar funktinen. Dessa raderas aldrig. Styrning av åtkmst 3.22 Har rganisatinen satt upp dkumenterade regler för åtkmst/tillträde för tredje parts åtkmst till infrmatin eller infrmatinssystem? 3.23 Tilldelas användare en behörighetsprfil sm endast medger åtkmst till de system sm krävs för arbetsuppgiften? Det finns för vissa system reglerat i avtal hur åtkmst till infrmatin får ske. Detta regleras gentemt knsultfirman ch inte enskilda externa knsulter. Huvudregeln är att användare inte ska ha större tillgång än vad sm krävs för arbetsuppgifterna. Vid särskilda tillfällen, så sm semestertider, kan behörighetsgraden höjas för medarbetare i syfte att säkerställa driften Begränsas rätten att installera nya prgram i nätverket samt den egna arbetsstatinen till endast utsedd behörig persnal? Det är begränsat vilken prgramvara sm kan installeras på server. På enskildas datrer är det möjligt att installera prgramvara. Samtliga datrer har dck virusprgram vilket mtverkar risken att installera skadlig prgramvara Har samtliga administratörer fullständiga systembehörigheter eller endast vad sm krävs för att fullgöra arbetsuppgiften? Administratörer har rättigheter till system sm krävs för sina ansvarsuppgifter. IT-chefen ansvarar för bedömningen av vad sm anses vara nödvändig behörighet Genmförs kntinuerligt (minst en gång per år) kntrll av behörigheterna i rganisatinen? Ja. Detta sker till str del per autmatik mt ADregistret sm reglerar behörighet för anställda sm slutat alternativt bytt arbetsuppgifter Öppnas låsta användarkntn endast efter säker identifiering av användaren? Ja, det anses vid rutin att sådana kntrller görs. Om en persn inte känns igen görs kntrller av denne bland annat genm kntrllfrågr. Krav för säker identifiering är inte dkumenterat Finns en gemensam lösenrdsplicy? Delvis. Det finns ingen central plicy. Däremt finns krav på att lösenrd är inbyggda i systemen. 13
14 3.29 Finns en dkumenterad brandväggsplicy där det beskrivs vilka tjänster brandväggen ska tillhandahålla? Inte en fullständig förteckning. Av intervju framgår att det finns flera tusen regler för brandväggen vilket är svårt att dkumentera. Finns dck beskrivningar i brandväggen för vad de lika reglerna har för syfte. Istället testas brandväggen genm penetratinstester Har rganisatinen ställt ch dkumenterat tekniska säkerhetskrav ch krav på praktisk hantering avseende användandet av mbil datrutrustning ch distansarbete? 3.31 Finns det aktuell dkumentatin med regler för distansarbete? Ja. Detta är tydliggjrt i kmmunens riktlinjer för distansarbete samt riktlinjer för användande av kmmunens datrer ch internet. Samma sm dkumentatinen Anskaffning, utveckling ch underhåll av infrmatinssystem 3.32 Har en systemsäkerhetsanalys upprättats ch dkumenterats för varje infrmatinssystem sm bedöms sm viktiga? 3.33 Krypteras persndata sm förmedlas över öppna nät? 3.34 Finns det utsedd persnal sm ansvarar för systemunderhåll (angivna persner per system?) 3.35 Finns det regler ch rutiner för hur system- ch prgramutveckling ska genmföras? 3.36 Finns det en uppdaterad ch aktuell systemdkumentatin för infrmatinssystemen? Det finns systemsäkerhetsplaner på flertalet infrmatinssystem men inte för samtliga. Kmmunen kan inte garantera att det görs för uppgifter sm enskilda medarbetare skickar över mail. Däremt används krypterade verktyg för krrespndens med myndigheter eller liknande innehållandes persndata. System till systemkrrespndens är alltid krypterad. Ja. Kmmunen köper främst paketerade system. Har inte egen prgramutveckling. För kmmunens vidkmmande är detta inte så relevant. Ja. Denna tillhandahålls av leverantörerna. De större systemen har mfattande dkumentatin vilken ckså kmmunen har tillgång till Infrmatin ch kmmunikatin Det är av str vikt att medarbetare vet var de ska vända sig eller hur de ska agera vid lika situatiner. Hantering av infrmatinssäkerhetsincidenter ingår därför sm en del av infrmatins- ch kmmunikatinskanalerna genm att medarbetare ska ha just den infrmatinen m störningar m.m. i systemen uppstår. 14
15 IK 4 Hantering av infrmatinssäkerhetsincidenter 4.1 Finns det dkumenterade instruktiner avseende vart användare skall vända sig ch hur de ska agera vid funktinsfel, misstanke m intrång eller vid andra störningar? 4.2 Har medarbetarna kunskap m vart de ska vända sig? Ja. Finns instruktiner på kmmunens servicedesk. Ja, enligt intervju finns det gd kunskap m detta Uppföljning ch utvärdering Sm utvärdering bedöms kntinuitetsplanering i verksamheten samt efterlevnaden. Det vill säga hur verksamheten upprätthålls vid avbrtt eller störningar. IK 5 Kntinuitetsplanering i verksamheten 5.1 Finns det en gemensam kntinuitetsplan dkumenterad för rganisatinen? 5.2 Har systemägaren eller mtsvarande beslutat m den längsta acceptabla tid sm infrmatinssystemet bedöms kunna vara ur funktin innan verksamheten äventyras? 5.3 Finns det en dkumenterad avbrttsplan med återstartsch reservrutiner för datadriften sm vidtas inm ramen för den rdinarie driften? Efterlevnad Nej, inte samlad. I enstaka system finns det men inte för hela. I vissa system finns det sådana bedömningar men inte för samtliga. Det finns avbrttsplaner men dessa är inte dkumenterade. De är inbyggda i systemen. Inm driftrganisatinen finns det kunskap m hur applikatiner ska startas m. 5.4 Används endast prgramvarr i enlighet med gällande avtal ch licensregler? 5.5 Har rganisatinen förtecknat ch anmält persnuppgifter till persnuppgiftsmbud? 5.6 Genmförs interna ch externa penetratinstester kntinuerligt? 5.7 Granskar ledningspersner regelbundet att säkerhetsrutiner, plicy ch nrmer efterlevs? Kmmunen har övergått till Office 365 för prdukter från Micrsft där kmmunen hade sämst kntrll över licenserna. Övergången har underlättat följsamhet gentemt licensregler. Ja. Ja. Ja. Det genmförs månatligen stickprv, lggtester mm. 15
16 4.6. Implementering av GDPR ch NIS-direktivet IT-enheten har påbörjat arbetet med övergången till den nya dataskyddsförrdningen ch NISdirektivet. Av intervju framförs att IT-enhetens utredare har sm uppgift att utarbeta en prjektplan för implementeringen av dataskyddsförrdningen. Av intervju framkmmer att arbetet med implementeringen frtlöper i enlighet med prjektplanen. Dels avseende de tvingande kraven ch dels m önskvärda målsättningar. Den huvudsakliga svårigheten med den nya lagstiftningen upplevs vara hanteringen av persnuppgifter i löpande text så sm e-pst ch tjänsteskrivelser. Kmmunens verksamhetssystem är i detta avseende mer anpassningsbara gentemt de nya lagstiftningarna. 16
17 5. Analys avseende intern kntrll Inm ramen för granskningen har vi bedömt ett antal lika kntrllpunkter fördelade på lika mment inm intern kntrll. Resultatet av granskningen visar följande fördelning. Sammanfattande tabell, kntrllpunkter Kntrllen finns ch fungerar tillfredsställande. Kntrllen finns ch fungerar delvis. Kntrllmiljö Riskanalys Kntrllåtgärd Infrmatin/km Uppföljning/utvärdering Kntrllen finns ej eller fungerar ej tillfredsställande. Vår bedömning är att Lahlms kmmun inte har en helt tillfredsställande IT-säkerhet. Det finns flera mråden med förbättringsptential i enlighet med COSO-analysen. Det är vidare vår bedömning att det finns en förståelse för vikten av det förändringsarbete sm implementeringen av den nya dataskyddsförrdningen (GDPR) innebär. Kntrllmiljö I kntrllmiljön ingår mment sm kan hänföras till ledningsfrågr, rganisatin, riktlinjer ch styrdkument samt resursfrågr. Det är en svaghet att det inte finns en sammanhållen ch beslutad infrmatinssäkerhetsplicy för kmmunen. Därutöver bör ansvarsfördelningen för säkerhetsrelaterade frågr mellan ITchef ch säkerhetschefen tydliggöras. Vi nterar att det inm kmmunen finns ett beredande rgan för kmmunstyrelsen avseende IT-relaterade frågr, det så kallade digitaliseringsnätverket. Det finns således en rganisatrisk länk mellan kmmunstyrelsen ch IT-verksamheten i kmmunen. Riskanalys Det är psitivt att det finns en risk- ch väsentlighetsanalys upprättad avseende infrmatinsch IT-säkerheten. Det saknas dck en utvärdering avseende mständigheter vilka är att beteckna sm krissituatiner. Det är vår bedömning att det inte i tillräcklig utsträckning finns kartlagt vilka verksamhetssystem sm kräver en högre grad av tillgänglighet. Att klassificera kmmunens system bedöms ckså sm nödvändigt ur ett GDPR-perspektiv, men då utifrån persnuppgifter. Kntrllåtgärder Kntrllaktiviteter är lika insatser sm genmförs för att minska riskerna i verksamheten ch bidra till en ökad intern kntrll av prcesserna. Utifrån mfattningen av vår kntrll är det vår bedömning att det inte finns helt tillfredsställande kntrllmment för IT- ch infrmatinssäkerhetsmiljön sm helhet. Det är återkmmande för kntrllåtgärderna att dessa i första hand mfattar de mest verksamhetskritiska systemen. Därefter minskar mfattningen av kntrllåtgärder allteftersm att systemen inte bedöms vara 17
18 lika kritiska. Trts att kntrllåtgärderna är av störst vikt för mer verksamhetskritiska system bör även kntrllåtgärder mfatta mindre verksamhetskritiska system. Det är därtill vår bedömning att det tydligare bör säkerställas att persndata inte skickas över öppna nät krypterat genm e-pst. Infrmatin ch kmmunikatin Inm mrådet infrmatin ch kmmunikatin bedömer vi kmmunens rutiner vara tillräckliga. Uppföljning ch utvärdering Det är vår bedömning att det inte finns kntinuitetsplaner i tillräcklig utsträckning. Det är inte tillräckligt att det endast finns för enstaka system. Därtill bör det tydliggöras ch dkumenteras vad den högst acceptabla tiden för infrmatinssystem att vara ur funktin är utan att det äventyrar verksamheten. Lahlm, den 19 december 2017 Linus Aldefrs Per Arvedsn 18
19 Bilaga 1 Intervjuade funktiner IT-chef Ove Bengtssn
AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS
AppGate ch Krisberedskapsmyndighetens basnivå för infrmatinssäkerhet, BITS En intrduktin i säkerhet. AppGate AppGate är ett svenskt säkerhetsföretag med sina rötter inm försvarsindustrin. AppGates teknik
Läs merINFORMATIONSSÄKERHETSPOLICY
INFORMATIONSSÄKERHETSPOLICY Inm Hälsinglands Utbildningsförbund ska varje behandling av persnuppgifter ske med hänsyn till den enskildes persnliga integritet ch rättssäkerhet. Ovanstående plicy är antagen
Läs merSystemdrift och Systemförvaltning Centrala verksamhetssystem Service Desk
SID 1 (6) Bilaga 4A Säkerhetskrav Förfrågningsunderlag Systemdrift ch Systemförvaltning Centrala verksamhetssystem Service Desk 105 35 STOCKHOLM. Telefn 08-508 29 000. Fax 08-508 29 036. Org. nr 212000-0142
Läs merRiktlinjer för informationssäkerhet. ver 1.0. Antagen av Kommunstyrelsen 2013-05-29
Riktlinjer för infrmatinssäkerhet ver 1.0 Antagen av Kmmunstyrelsen 2013-05-29 sid 2 (7) 1. Inledning Tanums kmmuns övergripande styrdkument inm IT-mrådet är IT-plicy för Tanums kmmun. Plicyn är antagen
Läs merRevisionsrapport 2010 Genomförd på uppdrag av revisorerna i Jönköpings kommun. Jönköpings kommun Granskning av användaradministrationen
Revisinsrapprt 2010 Genmförd på uppdrag av revisrerna i Jönköpings kmmun Jönköpings kmmun Granskning av användaradministratinen Innehåll 1. Bakgrund ch syfte... 3 2. Metd ch avgränsning... 3 3. Begreppsförklaringar...
Läs merKommunrevisionen: granskning av generella IT-kontroller 2014
KMMUNLEDNINGSKNTRET Handläggare Ditz Catrin Nilssn Maria Datum 2015-02-03 Diarienummer KSN-2014-1679 Kmmunstyrelsen Kmmunrevisinen: granskning av generella IT-kntrller 2014 Förslag till beslut Kmmunstyrelsen
Läs merLekmannarevision 2017 Systematiskt arbetsmiljöarbete. Göransson Arena AB
www.pwc.se Revisinsrapprt Systematiskt arbetsmiljöarbete Lina Olssn, Cert. kmmunal revisr Erika Brlin Januari 2018 Innehåll 1. Sammanfattning... 2 1.1. Inledning... 2 1.2. Bedömning... 2 1.3. Rekmmendatiner...
Läs merInformationssäkerhetsinstruktion: Förvaltning (Infosäk F)
EXEMPEL 1 Infrmatinssäkerhetsinstruktin: Förvaltning (Infsäk F) Innehållsförteckning 1 INSTRUKTIONENS ROLL I INFORMATIONSSÄKERHETSARBETET...2 2 ORGANISATION OCH ANSVAR...2 2.1 LEDNINGEN...2 2.2 IT-BEREDNINGSGRUPP...2
Läs merTaxor och avgifter - Översiktlig granskning av den interna kontrollen
www.pwc.se Revisinsrapprt Taxr ch avgifter - Översiktlig granskning av den interna kntrllen Per Åke Brunström Certifierad kmmunal revisr September 2015 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1.
Läs merRevisionen överlämnar bifogad rapport för yttrande senast 31 augusti 2019.
Kmmunrevisinen Järfälla kmmun Kmmunstyrelsen För kännedm: Kmmunfullmäktiges presidium På vårt uppdrag har KPMG granskat ändamålsenligheten i kmmunens arbete med IT-säkerhet. Granskningen har ingått i revisinsplanen
Läs merPolicy för personuppgiftshantering 2018 Antagen av styrelsen för PRO i Tullinge vid styrelsemötet Version 1.
Plicy för persnuppgiftshantering 2018 Antagen av styrelsen för PRO i Tullinge vid styrelsemötet 180605. Versin 1. Inledning ch syfte t med denna plicy är att säkerställa att PRO Tullinge hanterar persnuppgifter
Läs merVetlanda kommun. Granskning av Överförmyndarverksamheten
Revisinsrapprt 2013 Genmförd på uppdrag av de förtrendevalda revisrerna i Vetlanda kmmun Vetlanda kmmun Granskning av Överförmyndarverksamheten Innehåll 1. Sammanfattning...2 2. Inledning...3 2.1. Bakgrund...
Läs merPAJALA KOMMUN Tjänsteställe/Handläggare Revisorerna
Datum 1(6) Kmmunfullmäktige i Pajala kmmun Revisinsberättelse för år 2016 Vi, av fullmäktige utsedda revisrer har granskat den verksamhet sm bedrivs i styrelser ch nämnder ch genm utsedda lekmannarevisrer
Läs merIntern kontroll inom Försörjningsstöd
Revisinsrapprt Intern kntrll inm Försörjningsstöd Inger Kullberg Cert. kmmunal revisr Anna Gröndahl Stadsrevisinen i Örebr kmmun Intern kntrll inm försörjningsstöd Innehållsförteckning 1 Sammanfattning
Läs mer1(2) För kännedom; Fullmäktiges. presidium. uppföljning. barn- och. iakttagelser: finns. lokalt. Behov. Omorganisering. g renodlat tjänsterna
SLUTDOKUMENTT 2013-03-12 1(2) För kännedm; Fullmäktiges presidium Partiernas gruppledare Kmmunstyrelsen Barn- ch utbildningsnämnden Barn- ch utbildningsnämndens verksamhet i östra kmmundelen samt uppföljning
Läs merRevisionsplan 2016 för Tidaholms kommun och dess helägda bolag och stiftelser
Tidahlms kmmun Revisrena Revisinsplan 2016 för Tidahlms kmmun ch dess helägda blag ch stiftelser 1 Uppdrag Revisrerna är kmmunfullmäktiges, ch ytterst medbrgarnas rgan för kntrll av ch stöd till nämnderna
Läs merBeskrivning av chef vid Karolinska Institutet
Beskrivning av chef vid Karlinska Institutet Fastställd av universitetsdirektören Dnr Gäller från ch med 2017-03-01 Bilagr Detta dkument har följande bilagr kpplade till sig: Nr Beskrivning Karlinska Institutet
Läs merPolicy för personuppgiftshantering i Brf Näsbyallé
Plicy för persnuppgiftshantering i Brf Näsbyallé Antagen av styrelsen för Brf Näsbyallé 2018-10-08 Inledning ch syfte Syftet med denna plicy är att säkerställa att Brf Näsbyallé hanterar persnuppgifter
Läs merSITHS rekommendationer för internt revisionsarbete
SITHS rekmmendatiner för internt revisinsarbete SITHS rekmmendatiner för internt revisinsarbete SITHS Plicy Authrity Revisinshistrik Versin Datum Författare Kmmentar 0.1 2016-03-17 Cathrine Anderssn Reviderat
Läs merGranskning av kommunens tillsyn av fristående förskolor
Granskning av kmmunens tillsyn av fristående försklr Granskningsrapprt Falu kmmun KPMG AB 2017-06-07 Antal sidr 7 Falu kmmun Granskning av kmmunens tillsyn av fristående försklr KPMG AB 2017-06-07 Innehållsförteckning
Läs merInnehåller instruktioner för hur du ska fylla i mallen Egenkontroll för elinstallationsarbete som finns i EL-VIS Mall
Guide Innehåller instruktiner för hur du ska fylla i mallen Egenkntrll för elinstallatinsarbete EL-Inf i Växjö AB LINEBORGSPLAN 3, 352 33 VÄXJÖ 0470-72 40 30 SUPPORT@EL-INFO.SE 1 Inledning/Förrd 2 Företagets
Läs merBeskrivning av Metakatalog. Sundsvalls kommun
Beskrivning av Metakatalg Sundsvalls kmmun Innehåll 1. ALLMÄNT OM METAKATALOGEN... 3 2. SYFTE... 3 2.1 AUTOMATISERING AV IT-ADMINISTRATION... 3 2.1.1 Effektivisering av IT-administratin... 4 2.2 VIDAREUTNYTTJANDE
Läs merPlan för systematiskt säkerhets- och arbetsmiljöarbete inom Oxelösunds kommun
Plan för systematiskt säkerhets- ch arbetsmiljöarbete inm Oxelösunds kmmun Fastställd Göran Wide Kmmunchef inm Oxelösunds kmmun 2 (6) Innehåll 1 Inledning 1.1 Plan för systematiskt säkerhets- ch arbetsmiljöarbete
Läs merIntern styrning och kontroll vid Stockholms universitet
Revisinsrapprt Stckhlms universitet 106 91 Stckhlm Datum Dnr 2008-04-03 32-2007-0804 Intern styrning ch kntrll vid Stckhlms universitet Riksrevisinen har sm ett led i den årliga revisinen av Stckhlms universitet
Läs merRevisionsrapport. Investeringar. Katrineholms kommun. Annika Hansson, Cert kommunal revisor Jukka Törrö November 2011
Revisinsrapprt Investeringar granskning med utgångspunkt i gd eknmisk hushållning Katrinehlms kmmun Annika Hanssn, Cert kmmunal revisr Jukka Törrö Nvember 2011 Innehållsförteckning 1 Sammanfattning ch
Läs merIntegritetspolicy. Senast uppdaterad i maj Vårt sekretessåtagande. Vi ska
Integritetsplicy Senast uppdaterad i maj 2018 Vårt sekretessåtagande Vi ska se till att dina persnuppgifter lagras säkert ch knfidentiellt inte sälja dina uppgifter till tredje part ge dig sätt att när
Läs merRevisionsrapport Hantering av IT
www.pwc.se Revisinsrapprt Hantering av IT Göran Perssn Lingman Haparanda stad Innehållsförteckning 1. Sammanfattning, bedömning ch rekmmendatiner... 2 2. Uppdraget... 6 2.1. Bakgrund... 6 2.2. Revisinsfråga...
Läs merLandstinget Dalarna. Granskning av finansförvaltningen Rapport. KPMG AB 2011-03-17 Antal sidor: 12
en Rapprt KPMG AB Antal sidr: 12 2011 KPMG AB, a Swedish limited liability partnership and a member firm f the KPMG netwrk f independent member firms affiliated with KPMG Internatinal, a Swiss cperative.
Läs merMobil närvård Västra Götaland Lathund. Delrapport 2 kortfattad sammanfattning av följeutvärderingens resultat och rekommendationer
Mbil närvård Västra Götaland 2017-10-11 Lathund Delrapprt 2 krtfattad sammanfattning av följeutvärderingens resultat ch rekmmendatiner 2 Inledning Detta dkument syftar till att på ett enkelt ch lättläst
Läs merGranskning av kommunens krisberedskap. Sollentuna kommun
www.pwc.se Revisinsrapprt Granskning av kmmunens krisberedskap Martin Bernhardtz Per Larssn Sllentuna kmmun Oktber 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Revisinsfråga...
Läs merProcessbeskrivning fakturahantering
ST 2013/288-1.1 Prcessbeskrivning fakturahantering Beslutat av Charltte Byström Gäller från 2013-06-12 Innehåll Fakturahantering LNU 3 Fakturahantering 3 Prccessbeskrivning 4 Rller/ansvar 4 Arbetsmment
Läs merSAMMANTRÄDES PROTOKOLL
W KOMMUNSTYRELSEN /... Sammantrildesdatum "~:::-. TRANAs KOMMUN 2013-06-18 Sida 8 (22) )
Läs merKravspecifikation / Uppdragsbeskrivning
Kravspecifikatin / Uppdragsbeskrivning Prjektledare / Utvecklare Knsulttjänst för prjektledning ch kmpetensförstärkning i Sametingets IT Utvecklingsprjekt Bakgrund Sametinget bedriver några starkt utvecklingsinriktade
Läs merFörskolechefen har under läsåret utbildat personalen i pedagogisk dokumentation.
Kvalitetsredvisning Läsåret 2012/2013 - Redvisning av resultat - Kristallens förskla, Brgmästarens förskla, Karlsviks förskla Försklechef Catarina Ek Systematiskt kvalitetsarbete Kristallens förskla, Brgmästarens
Läs merBilaga 1 Överföring av arbetsmiljöarbetsuppgifter till förvaltningschefen för skolförvaltningen, Enköpings kommun
Bilaga 1 Överföring av arbetsmiljöarbetsuppgifter till förvaltningschefen för sklförvaltningen, Enköpings kmmun I min egenskap av rdförande i nämnden överför jag till dig sm förvaltningschef för sklförvaltningen
Läs merLeverantörsbetalningar
Varje år betalar Sveriges 290 kmmuner felaktigt ut hundratals miljner krnr i egentliga eller felaktiga transaktiner. Med några enkla åtgärder skulle en str del av dessa kunna undvikas! Dkumentet avser
Läs merJAJvlTLAND HARJEDALEN. Uppföljning av tidigare granskning av regionens finansförvaltning REVISIONSRAPPORT REVISIONSKONTORET. Dnr: REV 16/2017 REG I ON
REVISIONSKONTORET REG I ON JAJvlTLAND HARJEDALEN REVISIONSRAPPORT Uppföljning av tidigare granskning av reginens finansförvaltning Ansvarig: Ulf Rubenssn Certifierad kmmunal revisr REGION JÄMTLAND HÄRJEDALEN
Läs merABB Sverige har fattat beslut om att samtliga entreprenörer och konsulter skall certifieras i arbetsmiljöoch säkerhet
ABB Sverige har fattat beslut m att samtliga entreprenörer ch knsulter skall certifieras i arbetsmiljöch säkerhet Genmförd SSG Entré är en förutsättning för att arbeta åt ABB. Bakgrund Brister i arbetsmiljökmpetens
Läs merRiktlinjer för upphandling av konsulttjänster och entreprenader inom mark, anläggnings och byggsektorn
Tekniska nämnden 2012 01 26 3 10 Tekniska nämndens arbetsutsktt 2012 01 12 13 25 Dnr 2011/937.05 Riktlinjer för upphandling av knsulttjänster ch entreprenader inm mark, anläggnings ch byggsektrn Ärendebeskrivning
Läs merIT-strategin ersätter tidigare IT-strategi från 2004-12-16. (CF 10-503/04).
Rektrs beslut Rektr 2011-01-31 MDH1.5-1066/10 Handläggare Tmmy Stridh IT-strategi Beslut Rektr beslutar att fastställa bifgad IT-strategi. IT-strategin ersätter tidigare IT-strategi från 2004-12-16. (CF
Läs merProducenter: anvisning om hur checklistan för kontroll av planen för egenkontroll och hur denna omsätts i praktiken fylls i
Föredragen av Nurttila Annika Sida/sidr 1 / 7 Prducenter: anvisning m hur checklistan för kntrll av planen för egenkntrll ch hur denna Syftet med kntrllen är att utreda m prducenten i sin plan för egenkntrll
Läs merLandstinget i Värmland. Förstudie IT-säkerhet Rapport. Offentlig sektor - kommuner och landsting KPMG AB Antal sidor: 10
Förstudie IT-säkerhet Rapprt Offentlig sektr - kmmuner ch landsting KPMG AB Antal sidr: 10 Bilaga 1 Årsrapprt Infrmatinssäkerhet 2015 Innehåll 1. Sammanfattning 1 2. Bakgrund 2 3. Syfte 2 4. Revisinskriterier
Läs merGranskning av årsredovisning 2017
www.pwc.se Revisinsrapprt Granskning av årsredvisning 2017 Lars Dahlin Certifierad kmmunal revisr Mariestads kmmun Anette Fagerhlm Certifierad kmmunal revisr Carl Dahlén Mars 2018 Innehåll 1. Sammanfattning...
Läs merSAMVERKANSAVTAL VIMMERBY KOMMUN 2013
Samverkansavtal SAMVERKANSAVTAL VIMMERBY KOMMUN 2013 1 Vimmerby kmmun vill skapa förutsättningar för ett psitivt arbetsklimat, en gd hälsa ch en gd arbetsmiljö, där inflytande, delaktighet ch utveckling
Läs merYH och internationalisering
YH ch internatinalisering Myndigheten för yrkeshögsklan ISBN-nr: 978-91-87073-25-0 Dnr: MYH 2015/140 Omslagsbild: Bildarkivet 1 (10) Datum: 2014-12-16 Dnr: MYH 2015/140 Rapprt Yrkeshögsklan ch internatinalisering
Läs merRiktlinjer för Lex Sarah
2012-03-16 Sida 1 Riktlinjer för Lex Sarah Enligt SL 14 kap 2 ch LSS 24 a ska var ch en sm fullgör uppgifter inm scialtjänsten eller LSS medverka till att den verksamhet sm bedrivs ch de insatser sm genmförs
Läs merDigital strategi för Ödeshögs kommunala skola
Digital strategi för Ödeshögs kmmunala skla 2017-2019 Inledning Någnting har hänt då det gäller svensk skla ch IT. Från att tidigare ha diskuterat frågr m datrer ch appar talar nu plitiker, debattörer
Läs merGranskning av klassificering av utgifter som drift eller investering
Granskning av klassificering av utgifter sm drift eller investering Regin Uppsala Antal sidr 6 Antal bilagr 2 Regin Uppsala Granskn rapp klassificering drift ch investering slutlig 2017-11-09.dcx with
Läs merMalltext Tredjepart- /Samarbetsavtal HSA och SITHS
Malltext Tredjepart- /Samarbetsavtal HSA ch SITHS Malltext Tredjepart-/Samarbetsavtal HSA ch SITHS Versin 1.2 HSA ch SITHS Förvaltning 2016-11-30 Allmänt Detta dkument är framtaget sm hjälp för de rganisatiner
Läs merKOMMUNIKATIONSSTRATEGI GÖTEBORGS MILJÖVETENSKAPLIGA CENTRUM, GMV,
KOMMUNIKATIONSSTRATEGI GÖTEBORGS MILJÖVETENSKAPLIGA CENTRUM, GMV, VID CHALMERS OCH GÖTEBORGS UNIVERSITET FASTSTÄLLD: 2011-05-19 1 INNEHÅLL 1.Kmmunikatinsstrategins syfte, mfattning ch gränser... 3 2.Övergripande
Läs merStyrelse och rektor. Revisionsrapport Upphandling. Internrevisionen Dnr LiU-2008/01363 2008-05-26 1(8) 1. Bakgrund
Internrevisinen 1(8) Styrelse ch rektr Revisinsrapprt Upphandling 1. Bakgrund Internrevisinen (IR)har i enlighet med fastställd revisinsplan för verksamhetsåret 2008 utfört granskning av upphandling. Sedan
Läs merMolntjänster från Microsoft En checklista för vårdorganisationer i Sverige
Mlntjänster från Micrsft En checklista för vårdrganisatiner i Sverige Att börja använda mlntjänster inm sjukvården är inte längre en fråga m, utan frågan är snarare när. Men vilken mlnlösning ska man välja?
Läs merRiktlinje delegering, Falkenbergs kommun
Riktlinje delegering, Falkenbergs kmmun HSL-pärm, avsnitt Delegering av Häls- ch sjukvård FALKENBERGS KOMMUN Författare: Medicinskt ansvarig sjuksköterska, Medicinskt ansvarig för rehabilitering Scialförvaltningen
Läs merEBITS 2008-11-20 Energibranschens Informations- & IT-säkerhetsgrupp
2008-11-20 Energibranschens Infrmatins- & IT-säkerhetsgrupp Samtrafik i gemensam utrustning Syfte EBITS har sett ett behv av ett klargörande dkument när frågan m samtrafik i egen ptfiber blivit allt vanligare.
Läs merRiktlinjer för individuell planering och dokumentation av genomförandet av insatser inom särskilda boenden i Töreboda Kommun
Riktlinjer för individuell planering ch dkumentatin av genmförandet av insatser inm särskilda benden i Törebda Kmmun Beslutat av kmmunstyrelsen 2012-05-02 diarienummer KS 2011/0232 Innehåll 1. INLEDNING...
Läs mer1 (2) Landstingets revisorer 2006-12-19 Dnr REV/31/06
1 (2) Landstingets revisrer 2006-12-19 Dnr REV/31/06 Revisinschef Lennart Ledin Tfn: 063-14 75 27 Landstingsstyrelsen VAS eknmirutiner Revisinskntret har på uppdrag av ss granskat ch bedömt m det vårdadministrativa
Läs merRevisionsrapport SITHS och HSA Version
Revisinsrapprt SITHS ch HSA 206 Innehåll. Sammanfattning... 3 2. Inledning... 3 3. Bakgrund... 4 4. Genmförande... 4 4. Urval för revisin... 4 4.2 Revisinsprcessen... 6 4.3 Metd... 7 5. Resultat... 7 5.
Läs merRevisionsrapport. Intern kontroll snöröjning. Vänersborgs kommun. Datum 2011-10-13. Henrik Bergh. Revisionskonsult kommunal sektor
Revisinsrapprt Intern kntrll snöröjning Vänersbrgs kmmun Datum 2011-10-13 Henrik Bergh Revisinsknsult kmmunal sektr Innehållsförteckning 1. Uppdrag ch genmförande... 3 2. Sammanfattning... 3 3. Revisinell
Läs merVerksamhetsplan 2015 Regionservice, Region Halland. Samverkad med arbetstagarorganisationerna 2015-02-23
150210 Verksamhetsplan 2015 Reginservice, Regin Halland Samverkad med arbetstagarrganisatinerna 2015-02-23 1. Inledning Varje medarbetare inm Reginservice är en representant för de värderingar sm gäller
Läs merIntegritetspolicy för givare
Integritetsplicy för givare Vi vill ge dig full insyn i hur vi behandlar dina persnuppgifter ch hur du kan skydda din integritet. Varje individ har sin egen uppfattning ch syn på sin integritet. För att
Läs merDIGITALISERINGSPLAN 2016-2025
Statens museer för världskultur 2015-12-21 Dnr 467/2015 DIGITALISERINGSPLAN 2016-2025 Plan för digitalisering av Världskulturmuseernas samlingar Södra vägen 54 Bx 5306, 402 27 Götebrg Telefn: 010-456 11
Läs merSvar på motion från Emil Broberg (V) m.fl Städning av vårdlokaler i egen regi (LiÖ 2015-185)
Svar på mtin från Emil Brberg (V) m.fl Städning av vårdlkaler i egen regi (LiÖ 2015-185) Mtinärerna berör en viktig fråga. Städning av vårdlkaler utgör en viktig del för att skapa en gd inmhusmiljö för
Läs merKommunstyrelsens Ledningsutskott 2013-11-13 11 (22) BILDANDE AV GEMENSAM VÄXELORGANISATION - INFORMATION Dnr: LKS 2013-424-106
LYSEKILS KOMMUN Sammanträdesprtkll Kmmunstyrelsens Ledningsutsktt 2013-11-13 11 (22) 177 BILDANDE AV GEMENSAM VÄXELORGANISATION - INFORMATION Dnr: LKS 2013-424-106 För att kunna möta framtida kmmunikatinsutmaningar,
Läs merRevisionsrapport. Lokalsamordning. Vänersborgs kommun. Datum 2011-10- 13. Henrik Bergh. Revisionskonsult kommunal sektor
Revisinsrapprt Lkalsamrdning Vänersbrgs kmmun Datum 2011-10- 13 Henrik Bergh Revisinsknsult kmmunal sektr Innehållsförteckning 1. Uppdrag ch genmförande... 3 2. Sammanfattning... 3 3. Revisinell bedömning...
Läs merArbetsplan Sunne Gymnasieskola/Broby Läsåret 2015/16
2015-09-25 1 (6) Rnnie Palmqvist Rektr Arbetsplan Sunne Gymnasieskla/Brby Sklan med de stra möjligheterna 2015-09-25 2 (6) 1. Kunskap ch kmpetens 1.1 Bakgrund tlkning av sklans uppdrag Utbildningens vid
Läs merRapport delprojektgrupp HR i genomförandefasen aug 2012- jan 2014 hemsjukvårdsreformen
Rapprt delprjektgrupp HR i genmförandefasen aug 2012- jan 2014 hemsjukvårdsrefrmen HR gruppen HR gruppen deltagare har bestått av de fyra persnalcheferna för landstingets västra, centrala, östra länsdelar
Läs merSocialkontoret, Moravägen 4, Malung, kl. 09.00-12.10
G= Malung-Sälens kmmun 1 Plats ch tid Beslutande Scialkntret, Mravägen 4, Malung, kl. 09.00-12.10 Carina Albertssn (S), rdförande Brita Shlin (M), vice rdförande Birgitta Örjas (S) Jörgen Nrén (S) Britt-Marie
Läs merIT-strategi för Ålidhems skolområde
den 18 april 2012 IT-strategi för Ålidhems sklmråde Visin för Ålidhems sklmråde Barnen/eleverna ska kunna rientera sig i ett samhälle präglat av ett strt infrmatinsflöde ch en snabb förändringstakt. Försklan/sklan
Läs merÅrssammanställning för 2013 av MSB:s tillsyn enligt lagen (2003:778) om skydd mot olyckor
MSB-51.1 Myndigheten för samhällsskydd ch beredskap PM 1 (9) Tillsynsenheten Frida Billström Charltte Larsgården Magnus Olfssn Hans Pettersn Jenny Selrt Elenr Strm Årssammanställning för 2013 av MSB:s
Läs merRevisionsrapport Mjölby Kommun
Revisinsrapprt Omsrgs- ch scialnämndens åtgärder för eknmisk balans Mjölby Kmmun Matti Leskelä Karin Jäderbrink Innehållsförteckning 1 Sammanfattning 1 2 Inledning 2 2.1 Bakgrund 2 2.2 Revisinsfrågr 2
Läs merProjektnamn: Vägledning för ett hälsosamt åldrande Seniorguiden. upprättades: Upprättad av: Namn Therese Räftegård Färggren och Anna Jansson
PROJEKTPLAN Prjektnamn: Vägledning för ett hälssamt åldrande Senirguiden Prjektansvarig: Avdelning: Kunskapsutveckling Enhet: Uppväxtvillkr ch hälssamt åldrande Prjektplan Juni 2010 upprättades: Upprättad
Läs merMEDDELANDE OM LEDIG TJÄNST FÖR ATT UPPRÄTTA EN RESERVLISTA. It-expert (M/K)
MEDDELANDE OM LEDIG TJÄNST FÖR ATT UPPRÄTTA EN RESERVLISTA Benämning Tjänstegrupp/lönegrad AD 6 Typ av kntrakt Referens Sista ansökningsdag Anställningsrt It-expert (M/K) Tillfälligt anställd VEXT/18/338/AD
Läs merIntegritetspolicy Bokförlaget Nona
Integritetsplicy Bkförlaget Nna 1. Inledning På Bkförlaget Nna AB (Bkförlaget Nna) värnar vi m din persnliga integritet. Den 25 maj 2018 trädde dataskyddsförrdningen i kraft vilket innebär att dina rättigheter
Läs merLikabehandlingsplan för Gävle kommunkoncern 2018
Källa: DO Fyra steg sju diskrimineringsgrunder fem mråden Likabehandlingsplan för Gävle kmmunkncern 2018 Inledning Gävle kmmunkncerns gemensamma värdegrund; bemötande, kvalitet ch samarbete, är vägledande
Läs merLeverantörskvalificering
siemens.cm Leverantörskvalificering Siemens AB Bäste leverantör, Kvalitet, miljö ch arbetsmiljö värderas högt på Siemens. Ni sm leverantör till ss bidrar aktivt till vårt gemensamma arbete att till Siemens
Läs merArbetsprogram för Betalningsrådet
Arbetsprgram för Betalningsrådet 2017-2019 DATUM: 2017-10-04 Organisatin av arbetet Detta arbetsprgram mfattar periden ktber 2017 till ktber 2019 ch är baserat på de förslag på aktiviteter sm deltagarna
Läs merPolicyn inkluderar de föreskrifter för kommunens medelsförvaltning som fullmäktige enligt 8 kap 3 Kommunallagen har att fastställa.
FINANSPOLICY 1. ALLMÄNT 1.1 Övergripande mål för finansverksamheten Kmmunens finansverksamhet skall bedrivas på ett effektivt ch säkert sätt utan spekulativa inslag. Den övergripande målsättningen för
Läs merÖverenskommelse om kommunernas krisberedskap
1 (16) Överenskmmelse m kmmunernas krisberedskap 2019-2022 2 (16) Innehållsförteckning 1. Överenskmmelse... 3 2. Utgångspunkter... 4 3. Villkr för användning av ersättningen... 5 4. Ersättning... 6 5.
Läs merÄndamål och rättslig grund för behandlingen av dina personuppgifter.
GDPR Infrmatin ch behandling av persnuppgifter Genm denna infrmatinsskrift får du infrmatin m hur dina persnuppgifter behandlas av Wahlströms Bil AB Org. nr 556383 1659, med adress Södra Industrigatan
Läs merIntern kontrollplan 2013 för Hälso- och sjukvårdsförvaltningen
HÄLSO- OCH SJUKVÅRDSNÄMNDEN 2012-12-06 p 03 1 (3) Häls- ch sjukvårdsförvaltningen TJÄNSTEUTLÅTANDE 2012-10-22 HSN 1208-1001 Handläggare: Ingela Gundmark Göthe Intern kntrllplan 2013 för Häls- ch sjukvårdsförvaltningen
Läs merKvalitetsgranskning av svenskundervisning för invandrare (sfi) i Stockholms stad
SOCIALTJÄNST. OCH ARBETSMARKNADSFÖRVALTNINGEN ARBETSMARKNADSAVDELN INGEN TJÄNSTEUTLÅTANDE SID 1 (5) 2010-10-07 Handläggare: Leif Styfberg Telefn: 08 508 25 702 Till Scialtjänst- ch arbetsmarknadsnämnden
Läs meratt överlämna ärendet till socialnämnden utan eget ställningstagande.
Scialnämndens arbetsutsktt Utdrag ur PROTOKOLL 2016-12-01 115 Revidering av lkala värdighetsgarantier för äldremsrgen SN-2016/250 Beslut Arbetsutskttet beslutar att överlämna ärendet till scialnämnden
Läs merRiktlinjer för arbete med nyanlända elever
Barn- ch sklförvaltning Lunds stad Riktlinjer för arbete med nyanlända elever Adress: Arkivgatan 5 222 29 Lund Telefn vx: 046-35 50 00 Telefax: 046-35 83 66 E-pst:mats.dahl @lund.se Internet: www.lund.se
Läs merFörslag på samarbetsorganisation för gemensam plattform för nationellt digitalt folkbibliotek
Förslag på samarbetsrganisatin för gemensam plattfrm för natinellt digitalt flkbiblitek 1 Inledning ch bakgrund Kmmunakuten AB har fått i uppdrag att arbeta fram ett förslag på samarbetsrganisatin för
Läs merINTEGRITETSPOLICY ADJURE AB
INTEGRITETSPOLICY Vi på ADJURE värnar m dig ch din persnliga integritet. Det är viktigt för ss att du ska känna dig trygg när du lämnar dina uppgifter till ss. Vi behandlar därför dina persnuppgifter på
Läs merIdentifiera, förebygga och motverka osakliga könsskillnader i kärnverksamheten
1 (5) Avdelningen för gemensamma kundfrågr 2015-02-27 Ändringsdatum Serienummer Versin Identifiera, förebygga ch mtverka sakliga könsskillnader i kärnverksamheten Målgrupp De här riktlinjerna riktar sig
Läs merFU 2000 Generella arbetsmiljökrav
Systemmdell FU 2000 Handling 7.4 Giltig från Versinsnummer Antal sidr 2010-03-31 Utgåva J 7 Diarienummer Utgivningsdatum Antal bilagr F10-2409/PE50 2010-03-31 0 Beslutsfattare CGD Stab Persnal Handläggande
Läs merInformation om behandling av personuppgifter
Sida 1 (7) Infrmatin m behandling av persnuppgifter Genm denna infrmatinsskrift får du infrmatin m hur dina persnuppgifter behandlas av Möller Bil Sverige AB, 556298-7510, Bx 248, 751 06 Uppsala, 0771-66
Läs merUppdrag om kvalitetsutveckling. e-lärandeområdet vid Uppsala universitet
Dnr UFV 2016/856 Uppdrag m kvalitetsutveckling inm e-lärandemrådet vid Uppsala universitet Direktiv för fas 1 Beslutade av rektr 2016-05-24 Innehållsförteckning 1 Bakgrund ch förutsättningar 3 2 Uppdraget
Läs merStrategi för att minska ungdomskriminalitet
Strategi för att minska ungdmskriminalitet Beslutsdatum 20XX-XX-XX Dkumenttyp Plan Beslutad av Kmmunfullmäktige Dkumentägare Brttsförebyggande strateg Diarienummer 2017/KS 0316 005 Giltighetstid Tillsvidare
Läs merPlan för brandskyddsutbildningar och utrymningsövningar
Dnr: ST 2013/181-1.1 Plan för brandskyddsutbildningar ch utrymningsövningar Beslutat av Chefen för lkal- ch serviceavdelningen Gäller från 2013-07-01 Plan för Brandskyddsutbildningar Syfte Att bidra till
Läs mer1. Rambölls uppdrag. Uppdrag Utredning och analys av omställningsarbete för Mötesplatser för unga vuxna Botkyrka kommun PM nr 01 Datum
PM Uppdrag Utredning ch analys av mställningsarbete för Mötesplatser för unga vuxna Kund Btkyrka kmmun PM nr 01 Datum 2018-06-15 1. Rambölls uppdrag Ramböll har under tidsperiden februari till april genmfört
Läs merKrisledningsorganisation vid Linköpings universitet
Il e U UNIVERSITET LINKÖPINGS 1(6) Krisledningsrganisatin vid Linköpings universitet 1. Syfte ch mål Linköpings universitets (LiU) krisledningsrganisatin är ett kmplement till samhällets kris- ch katastrfberedskap.
Läs merBilaga 4. Krav på bredbandsanslutning för offentliga digitala tjänster
SID 1 Bilaga 4. Krav på bredbandsanslutning för ffentliga digitala tjänster Bakgrund s arbetsgrupp Infrastruktur för digitalisering har till uppgift att öka medvetenheten hs ffentliga aktörer sm har beställaransvar
Läs merIntegritetspolicy Optimized Portfolio Management Stockholm AB (Bolaget) Antagen av styrelsen den 22 maj 2018
Integritetsplicy Optimized Prtfli Management Stckhlm AB (Blaget) Antagen av styrelsen den 22 maj 2018 1 1 Begrepp ch definitiner 1.1 Behandling: en åtgärd eller kmbinatin av åtgärder beträffande Persnuppgifter
Läs merDel 5: Rekommendationer och projektrapport
Arkiveringsrekmmendatiner Del 5: Rekmmendatiner ch prjektrapprt fi2 förvaltningsinfrmatin infrmatinsleveranser Prjektet Arkiveringsrekmmendatiner syftar till att ge en genmlysning av knsekvenser för dagens
Läs merVISITA. GDPR = General Data Protection Regulation = Dataskyddsförordningen
GDPR @ VISITA GDPR = General Data Prtectin Regulatin = Dataskyddsförrdningen INNEHÅLLSFÖRTECKNING GRUNDLÄGGANDE GDPR ÄNDAMÅL LAGLIG GRUND TRANSPARENS RÄTTIGHETER SKYDDS- VIKTIGA LÄNKAR ÅTGÄRDER VAD ÄR
Läs merPolicy avseende integritet och marknadsföring. Information om behandling av personuppgifter
Sida 1 (9) Plicy avseende integritet ch marknadsföring Infrmatin m behandling av persnuppgifter Genm denna infrmatinsskrift får du infrmatin m hur dina persnuppgifter behandlas av Björnhammarvarvet AB.
Läs merSyfte: En checklista för att kvalitetssäkra förankring, mål, åtgärdsformuleringar och uppföljningsrutiner i skolans jämställdhetsarbete.
Checklista för kvalitetssäkring av jämställdhetsarbete Syfte: En checklista för att kvalitetssäkra förankring, mål, åtgärdsfrmuleringar ch uppföljningsrutiner i sklans jämställdhetsarbete. Intrduktin:
Läs merAktivitets- och internkontrollplan, bilaga till nämndsplan Lokala nämnden Halmstad år 2015
Aktivitets- ch internkntrllplan, bilaga till nämndsplan Lkala nämnden Halmstad år 2015 [Reviderad 2015-05-18] Lkala nämndens uppdrag Det övergripande uppdraget för lkal nämnd är att ur ett invånarperspektiv
Läs mer