Tjänsteutlåtande till Fastighetsnämnden diarienummer 1710/16

Transkript

1 Tjänsteutlåtande till Fastighetsnämnden diarienummer 1710/16 Avdelningen för verksamhetsstöd Peter Kim telefon e-post: Yttrande över revisionsredogörelse 2015 Förslag till beslut Fastighetsnämnden översänder upprättat tjänsteutlåtande som eget yttrande till stadsrevisionen Ärendet Stadsrevisionen har granskat fastighetsnämndens verksamhet år Revisorernas uppdrag är att pröva om nämnden sköter verksamheten på ett ändamålsenligt och från ekonomisk synpunkt tillfredsställande sätt, om räkenskaperna är rättvisande samt om nämndens interna kontroll är tillräcklig. Årets granskning omfattar: grundläggande granskning granskning av nämndens arbete med it-system ur säkerhetssynpunkt intern kontroll i redovisningsrutiner delårsrapport och årsbokslut uppföljning av föregående års rekommendationer. Stadsrevisionen lämnar rekommendationer inom två områden 1. Exploateringsprocessen exploateringsredovisning 2. Nämndens arbete med IT-säkerhet I övrigt bedömer stadsrevisionen att nämnden bedrivit verksamheten på ett ändamålsenligt och från ekonomisk synpunkt tillfredsställande sätt, om räkenskaperna är rättvisande samt om nämndens interna kontroll är tillräcklig under verksamhetsåret Revisorerna bedömer även att räkenskaperna i allt väsentligt är rättvisande och har upprättats i enlighet med lagen om kommunal redovisning och god redovisningssed samt att nämnden följt Göteborgs stads bokslutsanvisningar. De föreslår därför att kommunfullmäktige beslutar att nämnden beviljas ansvarsfrihet för verksamhetsåret Nämnden ska lämna svar till stadsrevisionen om vilka åtgärder som gjorts eller planeras med anledning av de rekommendations som lämnats. Svaret ska lämnas senast den 23 juni Granskning av exploateringsprocessen Stadsrevisionen har 2014 granskat hur Göteborgs stad hanterar exploateringsprocessen. En del av granskningen avsåg exploateringsredovisning. Syftet med granskningen var Göteborgs Stad Fastighetskontoret, tjänsteutlåtande dnr 1710/16 1 (4)

2 att bedöma om stadens exploateringsredovisning följer god redovisningssed och därmed gällande lag. En rapport över utförd granskning har översänts till stadsledningskontoret och till fastighetskontoret med rekommendationer till åtgärder. I rapporten rekommenderar stadsrevisionen kommunstyrelsen att bland annat leda arbetet att färdigställa rutinbeskrivningen för exploateringsredovisningen, säkerställa att den följer god redovisningssed och kommunicera den internt inom staden. Stadsrevisionen konstaterar att ett arbete avseende rutinbeskrivningen pågår under ledning av stadsledningskontoret. Fastighetsnämnden är delaktig i arbetet via fastighetskontoret. Arbetet har ännu inte lett till resultat i form av en färdig rutinbeskrivning för exploateringsredovisningen i Göteborgs stad. Stadsrevisionen rekommendation om att nämnden prioriterar arbetet att under kommunstyrelsens ledning ta fram en färdig rutinbeskrivning för exploateringsredovisningen i Göteborgs stad kvarstår därför. Åtgärd med anledning av rekommendationen: Fastighetskontoret hade föregående år planerat att under ledning av stadsledningskontoret medverka till att ta fram rutinbeskrivningar för exploateringsredovisningen i Göteborgs Stad. Fastighetskontoret avser att färdigställa arbetet under 2016 men kommer i vissa punkter behöva stadsledningskontorets ställningstaganden/beslut. 2. Granskning av fastighetsnämndens arbete med IT-säkerhet Syftet med granskningen har varit att bedöma om system och arbetssätt kan anses tillförlitliga och ändamålsenliga i förhållande till gällande regelverk. Vid revisionen framkom det att det saknas rutiner för att säkerställa efterlevnad av PuL 31 och att det även saknades rutiner för att systematiskt följa upp säkerhetsarbetet hos Intraservice, som även är personuppgiftsbiträde för nämnden. Den sammanfattande slutsatsen, baserad på genomförd granskning, är att den interna kontrollen avseende informationssäkerheten inom användningen av IT-system inte är tillräcklig. Bedömningen är att följande väsentliga förbättringsområden identifierats: Avsaknad av rutiner för uppföljning av informationssäkerhetsnivån och ett strukturerat arbete för att säkerställa efterlevnad gällande hanteringen av personuppgifter. Allvarliga säkerhetsbrister i verksamhetssystemen Fabo och Markis som påverkar integritet och konfidentialitet av personuppgifter och annan information. Avsaknad av ett systematiskt informationssäkerhetsarbete, så som kontinuerlig informationsklassificering. Personuppgiftsbiträdesavtal finns inte upprättat mellan fastighetsnämnden och nämnden för intraservice. Avvikelser ifråga om krav på kontinuerlig informationsklassning och dokumentationskrav avseende skriftliga användarinstruktioner, krav på beslutad driftsdokumentation och krav på uppdaterad systemdokumentation. Avsaknad av rutiner för ändringshantering och rutiner för rapportering, loggning, åtgärdande, informationsspridning, eskalering, uppföljning och analys av incidenter. Avsaknad av en dokumenterad och formellt beslutad kontinuitetsplan. Göteborgs Stad Fastighetskontoret, tjänsteutlåtande dnr 1710/16 2 (4)

3 Stadsrevisionen rekommenderar nämnden att snarast gå igenom sin hantering av personuppgifter för att säkerställa att personuppgiftslagens 31 (se bilaga 2) avseende säkerhet för personuppgifter tillämpas avseende samtliga it-system som hanterar personuppgifter. Åtgärder med anledning av rekommendationen: Stadsrevisionen rekommenderar nämnden att snarast gå igenom hanteringen av personuppgifter för att säkerställa att personuppgiftslagens 31 avseende säkerhet för personuppgifter tillämpas avseende samtliga it-system som hanterar personuppgifter. Fastighetskontoret har påbörjat ett förbättringsarbete som bland annat omfattar nedanstående punkter: Uppdatera riskanalys avseende säkerhet för personuppgifter Ta fram en plan för intern kontroll som ska utföras av PUL-ombudet och som innehåller kontroller av: o att personuppgifter behandlas på ett lagligt och korrekt sätt och i enlighet med god sed. o att den personuppgiftsansvarige följer bestämmelserna i personuppgiftslagen och i anknytande lagstiftning. Dokumentera rutiner för personuppgiftshantering och krav på kvalifikationer, lämplighet och kunskap som den personuppgiftsansvarige (FN) ställer på den personal som behandlar personuppgifter Informera personal som behandlar personuppgifter om rutiner och krav (Stormöte) Stadsrevisionen rekommenderar nämnden att snarast upprätta personuppgiftsbiträdesavtal med nämnden för Intraservice avseende de personuppgifter som hanteras av denna nämnd. Nämnden rekommenderas vidare även att gå igenom den egna verksamhetens följsamhet mot policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag för att säkerställa att inga ytterligare avvikelser mellan riktlinjen och de egna arbetssätten finns. Åtgärder med anledning av rekommendationen: Nämnden för Intraservice har inte tecknat personuppgiftsbiträdesavtal med någon av stadens förvaltningar. Intraservice ansvar för säkerheten beträffande de personuppgifter som ingår i fastighetskontorets verksamhetssystem är reglerade i Regler för kommuninterna tjänster generellt. För de externa leverantörer som ansvarar för driften av övriga av fastighetskontorets verksamhetssystem finns Personuppgiftsbiträdesavtal tecknat. Stadsrevisionen rekommenderar nämnden att åtgärda konstaterade tekniska säkerhetsbrister i de granskade verksamhetssystemen Markis och FABO. Åtgärder med anledning av rekommendationen: Fastighetskontoret har implementerat åtgärder i FABO för att avhjälpa tekniska säkerhetsbrister och utreder för närvarande åtgärder i Markis. Stadsrevisionen rekommenderar nämnden att göra en översyn av sin samlade it-miljö med avseende på följsamhet mot gällande regler och teknisk säkerhet. Åtgärder med anledning av rekommendationen: Göteborgs Stad Fastighetskontoret, tjänsteutlåtande dnr 1710/16 3 (4)

4 Fastighetskontoret genomför nu en genomlysning av samtliga system med hänsyn tagen till bland annat informationsklassning, eventuell avveckling/arkivering, behörighetshantering samt roller och ansvar. Bedömning av tidigare års granskning Bedömningen är att fastighetsnämnden omhändertagit samtliga lämnade rekommendationer vid tidigare års granskning utom rekommendationen avseende framtagande av en färdig rutinbeskrivning för exploateringsredovisningen i Göteborgs stad. Ifråga om denna rekommendation pågår ett arbete som ännu inte är färdigställt. Denna rekommendation kvarstår därför. Bilagor 1 Revisionsrapport/revisionsredogörelse PuL 31 Magnus Sigfusson Fastighetsdirektör Peter Kim Avdelningschef Göteborgs Stad Fastighetskontoret, tjänsteutlåtande dnr 1710/16 4 (4)

5

6

7 Revisionsredogörelse Stadsrevisionen Fastighetsnämnden granskning av verksamhetsåret 2015 goteborg.se/stadsrevisionen

8 2 Mars 2016 Fastighetsnämnden. Granskning av verksamhetsåret 2015 Diarienummer: 204/15 Stadsrevisionen i Göteborgs Stad Yrkesrevisor: Anders Landqvist

9 FA S T I G H E T S N Ä M N D E N 3 Innehållsförteckning Sammanfattning 4 Granskning av verksamheten 7 Grundläggande granskning 7 Granskning av fastighetsnämndens arbete med it-system ur säkerhetssynpunkt 8 Uppföljning av tidigare års granskning 11 Granskning av räkenskaper och bokslut 14 Översiktlig granskning av delårsrapport 14 Granskning av intern kontroll i redovisningsrutiner 15 Granskning av årsbokslut 16 Stadsrevisionens uppdrag och rapportering 19 Språkbruk och revisionstermer 20 Bilaga: Granskning av fastighetsnämndens användning av IT-system ur säkerhetssynpunkt - Granskningsrapport S TA D S R E V I S I O N E N

10 4 FA S T I G H E T S N Ä M N D E N Sammanfattning Nämnden ansvarar för att verksamheten bedrivs enligt gällande lagar och kommunfullmäktiges mål och riktlinjer samt att räkenskaperna är rättvisande. Revisorernas uppdrag är att pröva om nämnden sköter verksamheten på ett ändamålsenligt och från ekonomisk synpunkt tillfredsställande sätt, om räkenskaperna är rättvisande samt om nämndens interna kontroll är tillräcklig. Årets granskning av nämnden omfattar: grundläggande granskning granskning av nämndens arbete med it-system ur säkerhetssynpunkt intern kontroll i redovisningsrutiner delårsrapport och årsbokslut uppföljning av föregående års rekommendationer. Granskningen visar att delar av nämndens verksamhet har brister som behöver åtgärdas. Därför lämnar vi följande rekommendationer till nämnden: S TA D S R E V I S I O N E N

11 FA S T I G H E T S N Ä M N D E N 5 Tabell 1: Sammanställning av rekommendationer Område Granskning av exploateringsprocessen Granskning av fastighetsnämndens arbete med it-säkerhet Rekommendation Stadsrevisionen rekommenderar nämnden att prioritera arbetet att under kommunstyrelsens ledning ta fram en färdig rutinbeskrivning för exploateringsredovisningen i Göteborgs stad. (Rekommendation lämnad 2014) Stadsrevisionen rekommenderar nämnden att snarast genomgå sin hantering av personuppgifter för att säkerställa att personuppgiftslagens 31 avseende säkerhet för personuppgifter tillämpas avseende samtliga it-system som hanterar personuppgifter. Stadsrevisionen rekommenderar nämnden att snarast upprätta personuppgiftsbiträdesavtal med nämnden för Intraservice avseende de personuppgifter som hanteras av denna nämnd. Nämnden rekommenderas vidare även att genomgå den egna verksamhetens följsamhet mot policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag för att säkerställa att inga ytterligare avvikelser mellan riktlinjen och de egna arbetssätten finns. Stadsrevisionen rekommenderar nämnden att åtgärda konstaterade tekniska säkerhetsbrister i de granskade verksamhetssystemen Markis och FABO. Stadsrevisionen rekommenderar nämnden att göra en översyn av sin samlade itmiljö med avseende på följsamhet mot gällande regler och teknisk säkerhet. S TA D S R E V I S I O N E N

12 6 FA S T I G H E T S N Ä M N D E N I övrigt bedömer stadsrevisionen att nämnden har bedrivit verksamheten på ett ändamålsenligt och från ekonomisk synpunkt tillfredsställande sätt samt att den interna kontrollen varit tillräcklig. Vi bedömer även att resultaträkning och balansräkning har upprättats i enlighet med lagen om kommunal redovisning och god redovisningssed samt att nämnden har följt de bokslutsanvisningar som Göteborgs Stad har gett ut. S TA D S R E V I S I O N E N

13 FA S T I G H E T S N Ä M N D E N 7 Granskning av verksamheten Nämnden ansvarar för att verksamheten bedrivs enligt gällande lagar, kommunfullmäktiges mål och riktlinjer samt att räkenskaperna är rättvisande. Revisorernas uppdrag är att pröva om nämnden sköter verksamheten på ett ändamålsenligt och från ekonomisk synpunkt tillfredsställande sätt samt om nämndens interna kontroll är tillräcklig. 1 Granskningen av verksamheten omfattar en grundläggande granskning, som är en översiktlig granskning av nämndens ledning och styrning, en fördjupad granskning samt uppföljning av tidigare års granskning. 2 Grundläggande granskning Den grundläggande granskningen syftar till att översiktligt bedöma nämndens ledning och styrning samt interna kontroll. Det innebär att revisorerna löpande följer nämndens protokoll och handlingar och informerar sig om verksamheten. Granskningen omfattar följande delar: följsamhet mot reglemente följsamhet mot kommunfullmäktiges budget följsamhet mot kommunfullmäktiges regler för budget och uppföljning följsamhet mot kommunfullmäktiges riktlinjer för intern kontroll styrning och uppföljning av verksamhet och ekonomi delegation beslutsunderlag hantering av särskilda uppdrag från kommunstyrelsen/ kommunfullmäktige nämndens implementering av GEM-projektet nämndens hantering av effekterna av lokalöversynen i Göteborgs stad nämndens utveckling av markanvisningsprocessen. 1 Uppdraget regleras i kommunallagen, 9 kap. 2 Se stadsrevisionens granskningsplan, april 2015 S TA D S R E V I S I O N E N

14 8 FA S T I G H E T S N Ä M N D E N Iakttagelser Den grundläggande granskningen visar inte på några avvikelser. Bedömning Stadsrevisionens översiktliga bedömning är att nämnden har en tillfredsställande ledning och styrning samt tillräcklig intern kontroll inom de områden som omfattats av den grundläggande granskningen. Granskning av fastighetsnämndens arbete med itsystem ur säkerhetssynpunkt Utgångspunkter i granskningen Stadsrevisionen har granskat fastighetsnämndens arbete med it-system ur säkerhetssynpunkt. Syftet med granskningen har varit att bedöma om system och arbetssätt kan anses tillförlitliga och ändamålsenliga i förhållande till gällande regelverk. Revisionskriterier har utgjorts av gällande lagar och föreskrifter inom områdena kommunalrätt, it och hantering av personuppgifter. Till detta kommer föreskrifter utfärdade av kommunfullmäktige och kommunstyrelsen i Göteborgs stad avseende säkerhet, it, personuppgiftshantering och intern kontroll. Metoden har innefattat kartläggning av it-miljön vid fastighetskontoret, dokumentstudier, stickprov/verifiering, intervjuer med ansvariga tjänstemän och testning i form av intrångsförsök i verksamhetssystem 3. Iakttagelser Granskningen har påvisat stora brister i följsamhet mot gällande regelverk för hantering av personuppgifter och it-säkerhet. Personuppgiftslagen, PuL, avser att skydda personuppgifter från åtkomst, spridning och otillåten användning. För att möta lagens krav vid 3 Stadsrevisionen har biträtts av revisionsbyrån KMPG AB i de delar av granskningen som avser stickprov/verifiering, intervjuer med ansvariga tjänstemän och testning i form av intrångsförsök i verksamhetssystem. Upprättad konsultrapport biläggs denna revisionsredogörelse. S TA D S R E V I S I O N E N

15 FA S T I G H E T S N Ä M N D E N 9 hantering av personuppgifter krävs att den som hanterar personuppgifterna också har ett tillfredställande skydd för dem. PuL kräver också att avtal alltid finns upprättade med personuppgiftsbiträden som hanterar personuppgifter för en verksamhets räkning. Fastighetsnämnden anlitar nämnden för Intraservice som personuppgiftsbiträde. Något personuppgiftsbiträdesavtal finns dock inte upprättat mellan nämnderna. Det följer av PuL 30 att skriftligt avtal ska finnas mellan personuppgiftsansvarig och personuppgiftsbiträde. Fastighetsnämnden saknar också rutiner för att systematiskt följa upp säkerhetsarbetet hos nämnden för Intraservice avseende de personuppgifter som hanteras där. Enligt PuL 31 2 st. ska en personuppgiftsansvarig som anlitar ett personuppgiftsbiträde förvissa sig om att ett personuppgiftsbiträde kan genomföra de säkerhetsåtgärder som måste vidtas i enlighet med 31 1 st. och se till att detta också görs. Konsekvenserna i denna del är att fastighetsnämnden inte efterlever personuppgiftslagen och inte heller efterlever policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag. Granskning av följsamhet mot regelverk har gjorts genom insamling och analys av dokument kompletterat av intervjuer med ansvariga personer. Syftet med regelverken är ytterst att säkerställa att en verksamhet har en tillfredställande säkerhetsnivå ifråga om skydd mot åtkomst, manipulation, skada eller förlust av uppgifter och data. Medel för att uppnå detta är långtgående dokumentationskrav och tekniska applikationer i IT-miljön. Beträffande nämndens följsamhet mot stadens riktlinje för informationssäkerhet konstateras att betydelsefulla avvikelser finns mellan riktlinjens krav och den faktiska följsamheten mot kraven. Granskningen visar avvikelser ifråga om krav på kontinuerlig informationsklassning och dokumentationskrav avseende skriftliga användarinstruktioner, krav på beslutad driftsdokumentation och krav på uppdaterad systemdokumentation. Vidare saknas rutiner för ändringshantering och rutiner för rapportering, loggning, åtgärdande, informationsspridning, eskalering, uppföljning och analys av incidenter. Slutligen saknas en dokumenterad och formellt beslutad kontinuitetsplan. S TA D S R E V I S I O N E N

16 10 FA S T I G H E T S N Ä M N D E N Granskning av säkerhet och tekniska skyddsåtgärder görs vanligen genom praktiska försök att tränga in och få åtkomst till data i IT-system. Den föreliggande granskningen har innefattat sådana intrångsförsök mot de två verksamhetssystemen Markis och FABO som fastighetsnämnden ansvarar för. Intrångsförsöken har visat att allvarliga tekniska säkerhetsbrister finns i de granskade systemen. Bristerna innefattar möjlighet för användare inom fastighetskontorets organisation att uppgradera egen tilldelad behörighet och möjlighet att kringgå behörighetskontroll i systemen och därigenom obehörigen få tillgång till data. Det har också konstaterats vara möjligt att skapa separata anrop till dataservern där IT-systemen körs. Det senare innebär en särskild risk då en angripare därigenom kan ha möjlighet att nå andra verksamheters systemapplikationer som körs på samma dataserver. Det bedöms inte krävas särskilda systemverktyg eller unik kompetens för att utnyttja de redovisade bristerna. Dock krävs tillgång till stadens administrativa nätverk. Bedömning Vid en sammanvägd bedömning kan det inledningsvis konstateras att granskningen visat att fastighetsnämndens bristande följsamhet mot gällande regelverk har en viss omfattning. Ifråga om bristande följsamhet mot PuL är detta mycket allvarligt och kräver snabba åtgärder från fastighetsnämndens sida för att omhänderta. Ifråga om bristande följsamhet mot stadens riktlinjer kan det konstateras - som även diskuterats ovan - att regelverken finns för att säkerställa att en verksamhet alltid har en korrekt hantering av personuppgifter i alla delar och även upprätthåller en tillfredställande säkerhetsnivå i sin it-miljö. En verksamhet som inte följer regelverken kan i konsekvens med detta alltid befaras ha brister i sin hantering av personuppgifter och säkerhetsbrister i sin it-miljö. Ifråga om personuppgifter har granskningen konstaterat att personuppgiftsbiträdesavtal mellan fastighetsnämnden och nämnden för intraservice saknas. Detta bör upprättas snarast. Vidare bör nämnden genomgå den egna verksamhetens följsamhet mot policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag för att säkerställa att inga ytterligare avvikelser mellan riktlinjen och de egna arbetssätten finns. Ifråga om it-säkerhet har granskningen konstaterat stora brister i följsamheten mot stadens riktlinje för informationssäkerhet ifråga om såväl dokumentationskrav som ifråga om krav på olika slag av rutiner. S TA D S R E V I S I O N E N

17 FA S T I G H E T S N Ä M N D E N 11 Genomförda intrångsförsök inom ramen för granskningen har också visat att allvarliga tekniska säkerhetsbrister finns i de granskade systemen. Detta måste omhändertas av nämnden. Det framstår också som i högsta grad befogat att fastighetsnämnden gör en översyn av sin samlade itmiljö med avseende på följsamhet mot gällande regler och teknisk säkerhet. Mot bakgrund av detta lämnas följande rekommendationer: Stadsrevisionen rekommenderar nämnden att snarast genomgå sin hantering av personuppgifter för att säkerställa att personuppgiftslagens 31 avseende säkerhet för personuppgifter tillämpas avseende samtliga it-system som hanterar personuppgifter. Stadsrevisionen rekommenderar nämnden att snarast upprätta personuppgiftsbiträdesavtal med nämnden för Intraservice avseende de personuppgifter som hanteras av denna nämnd. Nämnden rekommenderas vidare även att genomgå den egna verksamhetens följsamhet mot policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag för att säkerställa att inga ytterligare avvikelser mellan riktlinjen och de egna arbetssätten finns. Stadsrevisionen rekommenderar nämnden att åtgärda konstaterade tekniska säkerhetsbrister i de granskade verksamhetssystemen Markis och FABO. Stadsrevisionen rekommenderar nämnden att göra en översyn av sin samlade it-miljö med avseende på följsamhet mot gällande regler och teknisk säkerhet Uppföljning av tidigare års granskning Stadsrevisionen granskade år 2013 nämndgemensamt arbete för utveckling av planprocessen (GEM) Granskningen resulterade i att följande rekommendation riktades till nämnden: Stadsrevisionen rekommenderar byggnads-, fastighets- och trafiknämnden att med utgångspunkt i de risker vi har identifierat i granskningen och tillsammans med beställarna (direktörerna) bidra till riskhanteringen och stärka den interna styrningen under implementeringen av projektets förbättringsåtgärder. S TA D S R E V I S I O N E N

18 12 FA S T I G H E T S N Ä M N D E N Stadsrevisionen granskade vidare år 2014 nämndens säkerhetsarbete. Granskningen resulterade i att vi riktade följande rekommendationer till nämnden: Stadsrevisionen rekommenderar nämnden att ge fastighetskontoret i uppdrag att så snart som möjligt slutföra det påbörjade arbetet att upprätta ett sammanhållande styrdokument för säkerhetsarbetet. Dokumentet bör spegla samtliga områden som enligt Göteborgs stads säkerhetspolicy ska inkluderas i säkerhetsarbetet. Stadsrevisionen rekommenderar nämnden att överväga att tillämpa Brå:s råd rörande säkerhetsarbete för förtroendevalda i samband med nämndens arbete. Stadsrevisionen granskade slutligen även exploateringsprocessen Granskningen resulterade i att vi riktade följande rekommendation till nämnden: Stadsrevisionen rekommenderar nämnden att prioritera arbetet att under kommunstyrelsens ledning ta fram en färdig rutinbeskrivning för exploateringsredovisningen i Göteborgs stad. Iakttagelser Beträffande rekommendationen avseende implementeringen av förbättringsåtgärderna kopplade till projektet att utveckla planprocessen (GEM), konstateras att fastighetsnämnden genomfört åtgärder för att bidra till riskhantering och stärkande av den interna styrningen under implementeringen av projektets förbättringsåtgärder. Åtgärderna består av utbildningsinsatser, framtagande av gemensamma projektmodeller för de berörda nämnderna och upphandling av nytt projektledningssystem. Beträffande rekommendationerna rörande nämndens säkerhetsarbete konstateras att nämnden givit fastighetskontoret i uppdrag att upprätta ett sammanhängande styrdokument för säkerhetsarbetet. Uppdraget har också fullgjorts av fastighetskontoret som framtagit Anvisningar för säkerhetsarbete på fastighetskontoret som behandlats och antagits av fastighetsnämnden den 20 april Styrdokumentet knyter an mot kraven i säkerhetspolicy för Göteborgs stad. Det behandlar slutligen även fördelning av ansvar för arbetsmiljö och systematiskt arbetsmiljöarbete rörande förtroendevalda. Beträffande rekommendationerna att under kommunstyrelsens ledning ta fram en färdig rutinbeskrivning för exploateringsredovisningen i Göteborgs stad konstateras att ett arbete avseende rutinbeskrivningen pågår under ledning av stadsledningskontoret. Fastighetsnämnden är delaktig i arbetet via fastighetskontoret. Arbetet har ännu inte lett till resultat i form av en färdig rutinbeskrivning för exploateringsredovisningen i Göteborgs stad. S TA D S R E V I S I O N E N

19 FA S T I G H E T S N Ä M N D E N 13 Bedömning Bedömningen är att fastighetsnämnden omhändertagit samtliga lämnade rekommendationer vid tidigare års granskning utom rekommendationen avseende framtagande av en färdig rutinbeskrivning för exploateringsredovisningen i Göteborgs stad. Ifråga om denna rekommendation pågår ett arbete som ännu inte är färdigställt. Denna rekommendation kvarstår därför. S TA D S R E V I S I O N E N

20 14 FA S T I G H E T S N Ä M N D E N Granskning av räkenskaper och bokslut Nämnden ansvarar för att räkenskaperna är rättvisande och upprättade i enlighet med gällande lagstiftning. Revisorernas uppdrag är att pröva om nämndens räkenskaper är rättvisande och upprättade i enlighet med gällande lagstiftning. Att räkenskaperna är rättvisande innebär att: - den externa redovisningen ger en rättvisande bild av resultat och ställning. - årsredovisning och delårsrapport är upprättade i enlighet med lagstiftning och god redovisningssed. Granskningen omfattar följande delar: översiktlig granskning av delårsrapport per augusti 2015 intern kontroll i redovisningsrutiner årsbokslut. Nedan redovisas resultatet av granskningen. Översiktlig granskning av delårsrapport En översiktlig granskning har genomförts av delårsrapporten per augusti Följande väsentliga avvikelser har noterats: Fastighetsnämnden har i och med övergången till Agresso övergått till att bokföra hyresfordringar utifrån fakturadatum istället för som tidigare utifrån förfallodatum. För att få en rättvisande klassificering bör nettoredovisning av hyresfordringarna ske mot förutbetalda hyresintäkter i bokslutet för augusti. Detta skulle innebära att hyresfordringarna minskar med ca 99 miljoner kronor, till ca 11 miljoner kronor. Utöver ovanstående har det inte framkommit något som tyder på några väsentliga avvikelser i fråga om huruvida delårsbokslutet är upprättat enligt god redovisningssed oförändrade redovisningsprinciper tillämpats anvisningarna följts. S TA D S R E V I S I O N E N

21 FA S T I G H E T S N Ä M N D E N 15 Granskning av intern kontroll i redovisningsrutiner Granskningen av nämndens interna kontroll i redovisningsrutiner omfattar följande delar; bokslutsprocessen intäktsprocessen löneprocessen investeringsprocessen/materiella anläggningstillgångar inköpsprocessen. Iakttagelser Resultatet av granskningen redovisas i den lägesrapport som översändes till fastighetskontoret i december Lägesrapporten innehåller revisorernas iakttagelser och bedömning tillsammans med förvaltningens kommentarer. Revisorernas bedömning innehåller förslag på förbättringsåtgärder som syftar till att stärka den interna kontrollen inom granskade rutiner. Det är därför viktigt att fastighetskontoret ser till att revisorernas förslag till förbättringsåtgärder genomförs i verksamheten. Intäktsprocessen Fastighetsnämnden har i och med övergången till Agresso övergått till att bokföra hyresfordringar utifrån fakturadatum istället för som tidigare utifrån förfallodatum. För att få en rättvisande klassificering bör nettoredovisning av hyresfordringarna ske mot förutbetalda intäkter då detta annars får väsentliga effekter på balansräkningens omslutning. Investeringsprocessen/materiella anläggningstillgångar Inom ramen för 2015 års granskning har vi följt upp den utökade revisionen som genomfördes Vi noterar att de flesta av de rekommendationer som lämnades fortfarande är aktuella. Detta gäller 4 Den utökade revisionen genomfördes inom ramen för 2014 års årliga granskning. Fastighetskontoret har erhållit kopia av refererad granskningsrapport Utökad revision avseende exploateringsprocessen i anslutning till avrapporteringen av 2014 års årliga granskning. S TA D S R E V I S I O N E N

22 16 FA S T I G H E T S N Ä M N D E N områden som faktisk redovisning, rutinbeskrivningar och intern kontroll. Göteborgs Stad har den 1 januari 2015 gått över till Agresso vilket har minskat de manuella momenten i rutinen, vilket vi ser som positivt. Vår bedömning från granskningsrapporten enligt ovan kvarstår samt tillhörande rekommendationer. I samband med vår uppföljande granskning lyfte fastighetskontoret ett antal områden där de förenklar eller önskar förenkla nämndens redovisning. Hantering av mark kopplat till allmän plats fastighetsnämnden åsätter inte ett värde på den mark som förs över till allmän plats i samband med exploatering. Fastighetsnämnden anser inte att mark som återfinns under allmän plats har något värde, detta mot bakgrund av att taxeringsvärdet som åsätts allmän plats av skatteverket är lågt. Hantering av gatukostnadsersättning fastighetsnämnden delar i dagsläget upp försäljningspriset för tomtmark mellan gatukostnadsersättning och priset för marken. Nämnden diskuterar att inte bryta loss gatukostnadsersättningen för det fall byggnation sker efter att avyttring skett. Detta då det är svårt att uppskatta exakt kostnad för utbyggnaden. Vi hänvisar även till separat rapport, Utökad revision avseende exploateringsprocessen, för ytterligare kommentarer. 5 Inga andra väsentliga iakttagelser eller händelser finns att rapportera. Bedömning Stadsrevisionens bedömning är att den interna kontrollen inom de granskade processerna i allt väsentligt är tillfredsställande. De noterade iakttagelserna bör dock som angivits ovan beaktas av nämnden i sitt fortsatta arbete att säkerställa en god intern kontroll i redovisningsarbete. Granskning av årsbokslut Granskningen av nämndens bokslut för verksamhetsåret 2015 omfattar upprättade resultaträkningar och balansräkningar. I tabellen nedan redovisas delar av nämndens resultat- och balansräkningar. 5 Se föregående not. S TA D S R E V I S I O N E N

23 FA S T I G H E T S N Ä M N D E N 17 Tabell 2: Tabell över delar av nämndens resultat- och balansräkningar Fastighetsnämnden 2015 (tkr) 2014 (tkr) Rörelsens intäkter Balansomslutning Bokslutspost* Årets resultat Utgående eget kapital * Justering eget kapital Fastighetsnämnden, transfereringar 2015 (tkr) 2014 (tkr) Rörelsens intäkter 58 0 Balansomslutning Bokslutspost* Årets resultat Utgående eget kapital * Justering eget kapital S TA D S R E V I S I O N E N

24 18 FA S T I G H E T S N Ä M N D E N Granskningen visar att: granskat material är i överensstämmelse med gällande lag och god redovisningssed nämnden har följt de bokslutsanvisningar och riktlinjer som Göteborgs Stad gett ut inrapporterat material är korrekt inga förhållanden som kan skada förtroendet för verksamheten har uppmärksammats. Inga väsentliga avvikelser i övrigt förekommer. Bedömning Stadsrevisionen bedömer resultaträkning och balansräkning har upprättats i enlighet med lagen om kommunal redovisning och god redovisningssed samt att nämnden har följt Göteborgs Stads bokslutsanvisningar 6. 6 Källa: Göteborgs Stads Ekonomihandbok S TA D S R E V I S I O N E N

25 FA S T I G H E T S N Ä M N D E N 19 Stadsrevisionens uppdrag och rapportering Den kommunala revisionen är ett lokalt demokratiskt kontrollinstrument med uppdrag att granska den verksamhet som bedrivs i kommunen. Revisorerna är förtroendevalda och utses av fullmäktige. I Göteborg är de totalt 22 stycken. Revisorerna är oberoende och granskar på fullmäktiges uppdrag och därigenom indirekt också för medborgarna. Revisorerna prövar årligen om ledamöter i kommunstyrelsen och nämnderna fullgör sitt uppdrag. Revisorerna uttalar sig årligen om nämndledamöters ansvar i en revisionsberättelse som lämnas till fullmäktige. Utöver revisionsberättelsen upprättar revisorerna även revisionsredogörelse, en för varje nämnd. I revisionsredogörelsen sammanfattas all granskning som revisorerna har genomfört i nämnden under året. Bland de valda revisorerna utser fullmäktige även lekmannarevisorer. Dessa har ett självständigt uppdrag att granska de bolag som helt eller delvis ägs av kommunen. I Göteborg utses i regel två lekmannarevisorer för varje bolag. Revisorerna genomför också särskilda granskningar som i regel rör flera nämnder och bolag. Dessa redovisas i revisionsrapporter till fullmäktige löpande under året. Revisorerna tar även varje år fram en årsredogörelse som sammanfattar all den granskning som gjorts i kommunen under det aktuella året. Revisorernas rapporter hittar du på S TA D S R E V I S I O N E N

26 20 FA S T I G H E T S N Ä M N D E N Språkbruk och revisionstermer När revisorerna har genomfört en granskning lämnar de ofta rekommendationer till de granskade nämnderna och bolagen. Ibland lämnar de även revisionskritik. Rekommendationer lämnas då revisorerna ser brister i verksamheten. Rekommendationerna syftar till att utveckla och förbättra verksamheten. Revisionskritik lämnas då revisorerna ser brister i verksamheten som är av mer allvarlig karaktär. Revisionskritik graderas genom begreppen påpekande, erinran eller anmärkning. Anmärkning är allvarligast. När det gäller nämnderna kan en anmärkning lämnas med eller utan tillstyrkan om ansvarsfrihet. Under kommande år följer revisorerna upp vilka åtgärder nämnden eller bolaget har gjort för att följa revisorernas rekommendationer. S TA D S R E V I S I O N E N

27 goteborg.se/stadsrevisionen

28 ABCD Göteborgs Stad Stadsrevisionen Granskning av fastighetsnämndens användning av IT-system ur säkerhetssynpunkt Granskningsrapport KPMG AB 26 januari 2016 Antal sidor: KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.

29 ABCD 2016 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.

30 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt Innehåll 1. Sammanfattning 1 2. Bakgrund 3 3. Syfte och revisionsfrågor 3 4. Ansvarig nämnd 4 5. Revisionskriterier 4 6. Metod 5 7. Resultat av granskningen Uppföljning av informationssäkerhetsnivån Säkerhet för personuppgifter Dokumentation enligt Riktlinjer för informationssäkerhet Möjlighet att kringgå säkerhetsåtgärder 8 8. Bedömning revisionsfrågor och rekommendationer Bedömning revisionsfrågor Rekommendationer 9 Slutrapport - Fastighetsnämnden docx 2016 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved.

31 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt 1. Sammanfattning KPMG har genomfört ett uppdrag som syftar till att bedöma om system och arbetssätt kan anses tillförlitliga och ändamålsenliga i förhållande till gällande regelverk. Informationssäkerhet får en större betydelse och avser att upprätthålla informationens konfidentialitet, integritet, tillgänglighet samt spårbarhet. De övergripande revisionsfrågorna som granskningen avsett att besvara är: Har fastighetsnämnden generellt en god följsamhet mot Göteborgs stads riktlinje för informationssäkerhet? Har fastighetsnämnden ett tillfredställande skydd mot dataintrång? Har fastighetsnämnden en tillfredställande intern kontroll över användningen av ITsystem och hanteringen av personuppgifter inom ramen för verksamheten? För att besvara revisionsfrågorna har vi genomfört intervjuer och dokumentstudier. Inom ramen för granskningen har ett test i form av intrångsförsök genomförts av verksamhetssystemen Fabo och Markis. Fastighetsnämnden ansvarar för Göteborgs Stads mark- och bostadspolitiska uppgifter. Nämndens övergripande mål är att skapa förutsättningar för att de som bor och vill bo i Göteborg skall kunna erbjudas goda bostäder i en trygg och stimulerande miljö. Fastighetskontoret arbetar i huvudsak inom fyra olika områden: mark, exploatering, förvaltning och boende. Inom avdelning för verksamhetsstöd finns bland annat IT. Verksamhetssystemet Fabo är ett skräddarsytt system för Lägenhetsbyrån på Göteborgs Fastighetskontor. Syftet med Fabo är att samla största delen av Lägenhetsbyråns verksamhet till ett gemensamt system, som alla handläggare kan komma åt. Systemet har två huvudsakliga uppgifter: 1) Anskaffningsärenden, att anskaffa bostad till hushåll, där berörd instans haft svårt att lösa bostadsfrågan. 2) Förvaltningsärenden, hantera Fastighetskontorets roll som mellanhyresvärd, dvs. hyra av bostäder av fastighetsägare i Göteborg och garanterar att hyror betalas enligt avtal. Verksamhetssystemet Markis hanterar information som rör kommunens fastighetsinnehav och det kan användas som ett informationssökningsverktyg men är framförallt ett arbetsverktyg för Fastighetskontorets handläggare. Syftet är att i ett och samma system kunna hitta och hantera all information och även ha tillgång till aktuella kartor och flygbilder. Användarna för båda verksamhetssystemen finns internt hos Fastighetskontoret och driften av systemet ligger hos Nämnden för Intraservice i Göteborgs stad. Åtkomst till systemet sker via installerade applikationer på stadens datorer KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 1

32 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt Intrångsförsöket genomfördes genom att KPMG tilldelades grundläggande behörigheter i systemen och fick tillgång till en dator på plats hos Fastighetskontoret. I verksamhetssystemen identifierades totalt tre allvarliga brister där inga speciella verktyg eller någon unik kunskap krävdes för att utnyttja bristerna. Bristerna kan utnyttjas för att kringgå behörighetssystemet och påverkar integritet och konfidentialitet i systemen. Dock behöver en antagonist tillträde till Göteborgs stads administrativa nätverk. I uppdraget genomfördes 8 stickprov gällande befintlig dokumentation och vi noterar att endast två verksamhetssystem uppfyller kraven i Riktlinjer för informationssäkerhet på användarinstruktion och systemdokumentation. Fastighetskontoret har inte kunnat redovisa någon driftsdokumentation för något verksamhetssystem. Det saknas rutiner för att säkerställa efterlevnad av PUL 31 men även rutiner för att systematiskt följa upp säkerhetsarbetet hos Intraservice, som även är personuppgiftsbiträde för nämnden. KPMGs sammanfattande slutsats, baserad på genomförd granskning, är att den interna kontrollen avseende informationssäkerheten inom användningen av IT-system inte är tillräcklig. Som en del av granskningen är vår bedömning att följande väsentliga förbättringsområden identifierats: Avsaknad av rutiner för uppföljning av informationssäkerhetsnivån och ett strukturerat arbete för att säkerställa efterlevnad gällande hanteringen av personuppgifter. Allvarliga säkerhetsbrister i verksamhetssystemen Fabo och Markis som påverkar integritet och konfidentialitet av personuppgifter och annan information. Avsaknad av ett systematiskt informationssäkerhetsarbete, så som kontinuerlig informationsklassificering. För dessa områden ger KPMG följande rekommendationer: KPMG rekommenderar Fastighetsnämnden att säkerställa framtagande och implementering av rutiner för uppföljning av informationssäkerhetsnivån och uppföljning av Intraservices säkerhetsarbete enligt befintliga riktlinjer. KPMG rekommenderar Fastighetsnämnden att säkerställa att identifierade brister i verksamhetssystemen åtgärdas eller att kompenserade kontroller införs. KPMG rekommenderar Fastighetsnämnden att säkerställa att ett helhetsgrepp tas gällande informationssäkerhet och efterlevnad av befintliga riktlinjer KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 2

33 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt 2. Bakgrund I 2015 års revisionsplan framgår att IT-system är ett prioriterat riskområde för granskning. I takt med utbyggnaden av IT ökar Göteborgs Stads möjligheter till effektivisering men samtidigt ökar riskerna. Stora delar av Göteborgs Stads informationsflöde hanteras med hjälp av IT-system och integrationer dem i mellan. Information ska vara en tillgång för Göteborgs Stad och dess invånare, går den förlorad eller är felaktig kan det få konsekvenser för verksamhetskritiska processer. Informationssäkerhet får därför allt större betydelse och handlar inte bara om administrativt arbete utan även om teknik. Bra informationssäkerhet ger inte bara Göteborgs Stad förtroende och borgar för effektiv informationshantering utan ger också informationen rätt skydd för att kunna upprätthålla dess konfidentialitet (sekretess), integritet (riktighet), tillgänglighet samt spårbarhet. Det är därför väsentligt att den interna kontrollen i Göteborgs Stads olika ITsystem är tillfredsställande. Fastighetsnämnden har till uppgift att förvärva, iordningställa och tillhandahålla samt sälja och upplåta mark för de ändamål, i den omfattning och på de villkor som kommunfullmäktige fastställer. Nämnden har därmed till uppgift att utöva den formella ägarrollen till kommunens fasta egendom. Fastighetsnämnden ska vidare inom sitt verksamhetsområde följa utvecklingen och ta de initiativ som erfordras vad avser mark-, bostads- och näringslivsfrågor. Verksamhetssystemet Fabo är ett skräddarsytt system för Lägenhetsbyrån på Göteborgs Fastighetskontor. Syftet med Fabo är att samla största delen av Lägenhetsbyråns verksamhet till ett gemensamt system, som alla handläggare kan komma åt. Systemet har två huvudsakliga uppgifter: 1) Anskaffningsärenden, att anskaffa bostad till hushåll, där berörd instans haft svårt att lösa bostadsfrågan. 2) Förvaltningsärenden, hantera Fastighetskontorets roll som mellanhyresvärd, dvs. hyra av bostäder av fastighetsägare i Göteborg och garanterar att hyror betalas enligt avtal. Verksamhetssystemet Markis hanterar information som rör kommunens fastighetsinnehav och det kan användas som ett informationssökningsverktyg men är framförallt ett arbetsverktyg för Fastighetskontorets handläggare. Syftet med Markis är att i ett och samma system kunna hitta och hantera all information och även ha tillgång till aktuella kartor och flygbilder. 3. Syfte och revisionsfrågor Syftet med granskningen är att bedöma om system och arbetssätt kan anses tillförlitliga och ändamålsenliga i förhållande till gällande regelverk. Granskningen ska också innefatta en bedömning av om IT-systemen understödjer nämndens arbete med intern kontroll KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 3

34 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt Med informationssäkerhet avses att: Informationen i systemet är endast tillgängligt för behöriga Informationen är riktig, det vill säga att informationen inte förändras eller påverkas oönskat eller utom kontroll Informationen är alltid tillgänglig när den behövs Granskningen ska besvara följande revisionsfrågor: Har fastighetsnämnden generellt en god följsamhet mot Göteborgs stads riktlinje för informationssäkerhet? Har fastighetsnämnden ett tillfredställande skydd mot dataintrång? Har fastighetsnämnden en tillfredställande intern kontroll över användningen av ITsystem och hanteringen av personuppgifter inom ramen för verksamheten 4. Ansvarig nämnd Granskningen avser Fastighetsnämnden i Göteborgs stad 5. Revisionskriterier Revisionskriterier utgörs av gällande lagar och föreskrifter inom områdena kommunalrätt, it och hantering av personuppgifter. Till detta kommer föreskrifter utfärdade av kommunfullmäktige och kommunstyrelsen i Göteborgs stad avseende säkerhet, IT, personuppgiftshantering och intern kontroll. Bland dessa återfinns bland annat: Riktlinjer för intern kontroll i Göteborgs Stad Säkerhetspolicy för Göteborgs Stad Riktlinje för informationssäkerhet Regler gällande driftsdokumentation för IT-baserade informationssystem Regler för informationssäkerhetsansvar för chefer i Göteborgs Stad Personuppgiftslagen 1998:204 Policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag Offentlighet- och sekretesslagen Arkivlagen 2016 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 4

35 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt 6. Metod Granskningen har utförts genom intervjuer, dokumentstudier och intrångsförsök. Intervjuer/dialog har främst genomförts med: Chef GIS-IT, Fastighetskontoret Personuppgiftsombud, Fastighetskontoret Kvalitetschef, Fastighetskontoret Systemtekniker, Intraservice Dokumentstudier har genomförts av en stor mängd policydokumentation inom Göteborgs Stad, samt interna riktlinjer och avtal med Intraservice. Granskning har i första hand omfattat: Riktlinjer för intern kontroll i Göteborgs Stad Riktlinjer för informationssäkerhet Säkerhetspolicy för Göteborgs Stad Behörighetsrutin och blankett Användardokumentation Systemdokumentation Information om samtycke Intrångsförsöket genomfördes genom att KPMG tilldelades grundläggande behörigheter i systemen och fick tillgång till en dator på plats hos Fastighetskontoret. Applikationerna nås från medarbetarnas datorer oavsett om man använder VPN eller är på plats, dvs. från ett nätverksperspektiv är åtkomsten densamma. Intrångsförsök har följt KPMG Globala metodik som följer OWASP Testing Guide v4 för att identifiera möjligheten att kringgå befintliga skydd KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 5

36 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt 7. Resultat av granskningen 7.1 Uppföljning av informationssäkerhetsnivån Fastighetskontoret har länge haft behov av att bearbeta information i både pappers- och digitala format. Det finns inte heller tecken på ett minskat digital behov inom Geografiska informationssystem. Fastighetskontoret har vid tidigare tillfällen genomfört informationsklassificering för de informationstillgångar som i huvudsak används. Vi noterar dock att det inte finns några dokument eller protokoll som redovisar på vilka grunder en viss informationsklassificeringsnivå historiskt fastställdes. I Riktlinjer för Informationssäkerhet framgår kravet att Informationsklassning ska göras kontinuerligt av informationsägaren, ett högst rimligt krav då omvärlden och hotbilderna är dynamiska. Vi noterar att Fastighetskontoret saknar rutiner eller anvisningar för att kontinuerligt genomföra denna informationsklassning. Uppföljning av informationssäkerhetsnivån ska enligt samma riktlinjer genomföras årligen, det sker idag delvis vid rapportering av säkerhetsnivån till nämnden (enligt Säkerhetspolicy för Göteborgs stad) till nämnden men saknar det fokus som riktlinjerna påbjuder. Vi noterar vidare att Fastighetskontoret saknar rutiner eller anvisningar för att avgöra om informationssäkerhetsnivån är adekvat. Denna granskning är första gången ett verksamhetssystem/applikation analyseras för att identifiera sårbarheter inom Fastighetskontoret även om kravet är att informationssystem ska regelbundet analyseras för att identifiera sårbarheter. 7.2 Säkerhet för personuppgifter Fastighetskontoret har ett antal verksamhetssystem som behandlar personuppgifter och nämnden är ytterst personuppgiftsansvarig. Fastighetskontoret har utsett ett Personuppgiftsombud (POU) med en uppdragsbeskrivning. POU deltar vid arbetsplatsträffar för att informera om en korrekt hantering av personuppgifter och nyheter inom området. Fastighetskontorets verksamhetssystem är också registrerade i stadens PUL-databas. Vi noterad dock att det inte sker något systematiskt arbete gällande efterlevnad av PUL 31 Säkerhetsåtgärder. I det arbetet är grunden att genomföra riskanalyser för att identifiera nya risker som kan påverka integritet eller konfidentialitet av behandlade uppgifter. Datainspektionens allmänna råd: säkerhet för personuppgifter används inte som grund för att analysera avvikelser inom Fastighetskontorets behandling. Datainspektionen berör i rapporten Vägledning för eförvaltning biträdesavtal i kommunal verksamhet (s. 48): 2016 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 6

37 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt När en kommunal nämnd anlitar en annan nämnd för att utföra dess uppgifter, kan det innebära att den anlitade nämnden blir ett personuppgiftsbiträde. Datainspektionen är också tydlig med att ett personuppgiftsbiträde finns alltid utanför den egna organisationen. Vi noterar att Intraservice inte finns under Fastighetskontorets direkta ansvar, vilket ytterligare påvisar krav på biträdesavtal. Policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag berör också biträdesavtal: Behandling av personuppgift kan även göras av en person utanför den egna organisationen om denne gör det på uppdrag från den personuppgiftsansvarige. I dessa fall ska personuppgiftsbiträdesavtal upprättas. Policyn ställer också krav på att det ska finnas bestämmelser hos den personuppgiftsansvarige hur länge personuppgifter ska bevaras. Vi noterar att Fastighetskontoret saknar ett biträdesavtal med Intraservice och att det inte heller sker systematiskt arbete för att säkerställa att Infraservice verkligen vidtar de säkerhetsåtgärderna som krävs. Vi noterar att det inte sker en systematisk gallring av personuppgifter, som inte längre behöver behandlas eller lagras. 7.3 Dokumentation enligt Riktlinjer för informationssäkerhet Dokumentation av IT-system är en förutsättning för en säker förvaltning och minskar risken för misstag vid bl.a. störningar och när system ska återställas. När medarbetare byter avdelning eller arbetsuppgifter underlättar dokumentation en överföring av kunskap till andra medarbetare. Stadens Riktlinjer för Informationssäkerhet ställer krav på: a. användarinstruktion b. formellt beslutad driftdokumentation c. systemdokumentation som i rimlig omfattning och grad är fullständig Vi har begärt in dokumentationen för 8 verksamhetssystem och följande matris redovisar efterlevnad. IT-System Användarinstruktion Driftsdokumentation Systemdokumentation BAB2 Nej Nej Ja FABO Ja Nej Ja Gatulån Nej Nej Nej GLAN 2000 IT-Access Nej Nej Nej admin KBH Nej Nej Nej KURT Nej Nej Nej Markis Ja Nej Ja Projektstrukt ur Nej Nej Nej 2016 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 7

38 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt Även följande krav anträffas i riktlinjerna Säkerhetsaspekter ska beaktas vid utveckling och anskaffning av informationssystem så att tillräckligt skydd uppnås. Att säkerhetsrutiner och regelverk efterlevs och motsvarar verksamhetens krav under informationssystemets hela livscykel inklusive avveckling och destruktion ska säkerställas och följas upp regelbundet. Vi noterar att den dokumentation som finns belyser funktionella säkerhetskrav men inga beskrivningar på hur ett tillräckligt skydd uppnås. 7.4 Möjlighet att kringgå säkerhetsåtgärder IT-system kan aldrig skapas utan helt brister, det man ska undvika är de enkla misstagen som även en mindre motiverad eller kompetent användare kan utnyttja. För en tillräckligt motiverat antagonist med resurser lyckas man tillslut alltid kringgå befintliga säkerhetsåtgärder. Vi har granskat två verksamhetssystem, Fabo och Markis. Två system byggda med relativt gammal teknik och som kräver att program installeras hos användaren, det räcker inte att enbart använda webbläsare. Granskningen genomfördes genom att vi tilldelades användarbehörighet och fick tillgång till en dator hos Fastighetskontoret. Tre allvarliga säkerhetsbrister har identifierats som påverkar integritet och konfidentialitet för personuppgifter i systemen Markis och Fabo. Det är möjligt att kringgå behörighetskontrollen i systemen genom att skapa separata anrop till servern. Det krävs inga specifika verktyg eller någon unik kompetens, dock behöver man ha tillträde till stadens administrativa nätverk. Enligt Intraservice används samma server även av andra nämnder, vilket ger en bred attackkälla då fler användare har nätverksåtkomst till denna server. Då observationerna kräver ytterligare förklaringar, bevis och teknisk information för åtgärder, se Bilaga 1 (Fastighetsnämnden Intrångsförsök) för detaljerad beskrivning KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 8

39 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt 8. Bedömning revisionsfrågor och rekommendationer Fastighetskontoret har genomfört informationsklassificering och utsett ett personuppgiftsombud, tecken på en grundläggande vilja att skydda nämndens informationstillgångar. Positivt är att IT är ett område som berörs i den årliga säkerhetsrapporteringen och risker är identifierade. Vår bedömning utifrån respektive revisionsfråga har sammanställts nedan och sammanfattas slutligen i identifierade förbättringsområden. 8.1 Bedömning revisionsfrågor Har fastighetsnämnden generellt en god följsamhet mot Göteborgs stads riktlinje för informationssäkerhet? Vår bedömning är att nämnden saknar de dokumenterade rutiner eller anvisningar som krävs för att efterleva Göteborgs stads beslutade Riktlinjer för Informationssäkerhet gällande uppföljning och kontinuerlig informationsklassning. Nämnden anses inte efterleva dokumentationskraven i beslutade Riktlinjer för Informationssäkerhet. Det finns en risk att brister i dokumentationen försvårar daglig förvaltning men likaså framtida systemförändringar eller en övergång till modernare arkitektur. Har fastighetsnämnden ett tillfredställande skydd mot dataintrång? Vår bedömning är att de allvarliga bristerna som identifierade under intrångsförsöket påvisar att skyddet av personuppgifter inte är tillräckligt i verksamhetssystemen baserat på PUL 31 Säkerhetsåtgärder eller Göteborgs Stads Riktlinje för informationssäkerhet. Har fastighetsnämnden en tillfredställande intern kontroll över användningen av ITsystem och hanteringen av personuppgifter inom ramen för verksamheten? Vår bedömning är att nämnden saknar de dokumenterade rutiner eller anvisningar som krävs för att efterleva PUL 31 Säkerhetsåtgärder samt andra stycket gällande personuppgiftsbiträdesavtal med Intraservice. Då det saknas dokumenterade rutiner eller anvisningar för gallring av personuppgifter är det vår bedömning att nämnden inte efterlever kravet i den beslutade policyn inom Göteborgs stad. 8.2 Rekommendationer För dessa områden ger KPMG följande rekommendationer: KPMG rekommenderar Fastighetsnämnden att säkerställa att identifierade brister i verksamhetssystemen åtgärdas eller att kompenserade kontroller införs. KPMG rekommenderar Fastighetsnämnden att säkerställa framtagande och implementering av rutiner för uppföljning av informationssäkerhetsnivån och uppföljning av Intraservice säkerhetsarbete enligt befintliga riktlinjer KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 9

40 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt KPMG rekommenderar Fastighetsnämnden att säkerställa att ett helhetsgrepp tas gällande informationssäkerhet och efterlevnad av befintliga riktlinjer. KPMG, som ovan Johan Björk IT-revisor 2016 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 10

41 ABCD Göteborgs Stad, Stadsrevisionen Granskning av fastighetsnämndens användning av it-system ur säkerhetssynpunkt A Bilagor 1. Fastighetsnämnden Intrångsförsök Fabo och Markis docx 2016 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. 11

42 Dnr 1710/16 Bilaga 2 Personuppgiftslagen 31 Säkerhetsåtgärder 31 Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av a) de tekniska möjligheter som finns, b) vad det skulle kosta att genomföra åtgärderna, c) de särskilda risker som finns med behandlingen av personuppgifterna, och d) hur pass känsliga de behandlade personuppgifterna är. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.