Övergripande IT- och informationssäkerhet

Storlek: px
Starta visningen från sidan:

Download "Övergripande IT- och informationssäkerhet"

Transkript

1 Övergripande IT- och informationssäkerhet Landstinget Dalarna 4 februari 2011 PwC Technology Risk Services Jon Arwidson Magnus Olson-Sjölander Christian Svensson

2 Sammanfattning På uppdrag av de förtroendevalda revisorerna har PwC fått i uppdrag att granska den övergripande hanteringen av IT-säkerhet. För landstinget är idag IT en central och kritisk komponent för att kunna bedriva vårdverksamheten på ett effektivt och ändamålsenligt sätt. Allt ifrån redovisning till daglig vårdverksamhet är beroende av ett ändamålsenligt IT-stöd. Syftet med denna granskning är att översiktligt belysa IT-säkerhet inom landstingets IT-verksamhet och bedöma om den säkerhetsnivå som upprätthålls kan anses rimlig. Granskningen avser besvara följande övergripande revisionsfråga: Är landstingsstyrelsens arbete med IT-säkerhet ändamålsenligt? Den grundläggande metoden har varit ett kvalitativt angreppssätt med översyn av styrande dokument och djupintervjuer med ett antal nyckelpersoner. De metoder PwC tillämpat vid granskningen har utgjorts av valda delar av PwC Technical Review Methodology (TRM) och PwC IT Risk and Diagnostic Tool (ITRD) där intervjuer samt granskning av dokumentation utgör de mest centrala momenten. PwC har identifierat tre huvudområden för förbättring; roller och ansvar inom organisationen, klassificering av IT-system samt säkerhet inom infrastrukturen. Inom organisationen noterar vi att roller och ansvar är otydligt definierade. Oklarheter råder kring vem som har det normativa ansvaret gällande IT-säkerhet. Vidare råder osäkerhet kring vem som har mandatet att följa upp de policies och riktlinjer som av landstinget finns fastställda. Inte heller finns en utsedd person med mandat att fullt ut arbeta med IT-säkerhet. De IT-råd som har upprättats för att hantera styrning av olika delar av landstingets IT-verksamhet uppfattas i vissa delar att ha en otydlig funktion och syftet med råden är inte fullt ut kommunicerade. IT-säkerhetsarbetet rapporteras ad hoc till landstingsledningen d.v.s. en formaliserad och strukturerad uppföljning av IT-säkerhet saknas på landstingsövergripande nivå. IT-systemen inom landstinget utvärderas ej löpande med ett etablerat riskbaserat angreppssätt. Systemen är inte riskklassificerade vilket försvårar prioritering vid incidenter och andra oavsiktliga avbrott. Avsaknaden av riskklassificering kan också innebära att landstinget har en för hög säkerhetsnivå på system som för verksamheten inte är verksamhetskritiska. Behörighetshanteringen i systemen är bristfällig då behörighetsnivåerna inte är tillräckligt finfördelade samt att en periodisk revidering av behörigheter ej genomförs. Då tydlig klassificering av systemen saknas minskar förutsättningarna för en ändamålsenlig hantering vid en eventuell krissituation. Vidare saknas rutiner för krishanteringen inom IT. IT-säkerhetsnivån avseende infrastrukturen, där nätverket är en av de inom IT mer centrala komponenterna, saknar segmentering, d.v.s. en användare som är 2 av 17

3 ansluten till nätverket har möjlighet att nå och logga in på samtliga system som är anslutna inom landstinget. Det utförs heller ingen uppföljning där Landstinget Dalarna kontrollerar hur verksamheten följer de policys och riktlinjer som finns. Landstinget Dalarna har inte heller ett formellt fattat beslut om vilket ramverk som skall gälla inom landstinget. Slutsatser och rekommendationer Avseende den övergripande revisionsfrågan, Är landstingsstyrelsens arbete med IT-säkerhet ändamålsenligt?, är landstingets arbete med IT-säkerhet inte i alla delar ändamålsenlig. Landstinget Dalarna bör tydliggöra roller och ansvar inom IT, kopplat till ITsäkerhet, förvaltning och infrastruktur. Förutsättningarna för landstinget att arbeta mer strukturerat och proaktivt ökar väsentligt om roller och ansvar tydliggörs. Den nyligen genomförda omorganiseringen skapar bra förutsättningar för att skapa en tydligare och säkrare IT-miljö inom Landstinget Dalarna. Slutligen noterar vi att det finns stor kompetens kring IT-säkerhet inom Landstinget Dalarna vilken bör utnyttjas på ett bättre sätt. IT-säkerhetsfrågor bör vara inkluderade på agendan inom både IT och vården i större utsträckning än idag. Vi föreslår även att initiera ytterligare granskningar inom följande områden; - Penetrationstest (sk. hacking) är nätverket konfigurerat på ett för landstinget ändamålsenligt sätt? - IT-styrning sker arbetet inom IT på ett för landstinget ändamålsenligt sätt och ger IT-investeringarna motsvarande värde för landstinget? - Projektgranskning av journalinförandet kommer projektet att levereras inom budget och tidsplan? - Patientdatalagen efterlevs lagen inom landstinget? Nedan avsnitt sammanfattar resultatet av granskningen utifrån de särskilt formulerade frågorna. Avseende den övergripande revisionsfrågan, Är landstingsstyrelsens arbete med IT-säkerhet ändamålsenligt?, kan det konstateras att landstingets arbete med IT-säkerhet inte i alla delar är ändamålsenlig. 3 av 17

4 Nedanstående tabell anger vår bedömning avseende de särskilda frågeställningarna; Nivå Beskrivning 1 Bristfällig och hög risk föreligger 2 I stora drag bristfällig och relativt hög risk föreligger 3 Delvis bristfällig och viss risk föreligger 4 I stora drag ändamålsenlig och relativt låg risk föreligger 5 Ändamålsenlig och låg risk föreligger Särskild fråga 2 Är landstingets organisation för arbetet med IT-säkerhet ändamålsenlig och effektiv? Nej, roller och ansvar är otydligt definierade och IT-rådens funktion är tvetydiga och svagt kommunicerade. Är styrande dokument, centrala och lokala riktlinjer och rutiner etc. ändamålsenliga? 4 2 Delvis, styrande dokument finns i stor utsträckning men uppfattningen avseende innehållet är tvetydig. De styrande dokumenten är även dåligt kommunicerade och ett formellt mandat saknas för att säkerställa efterlevnaden. Är rutiner och system för säkerhetsuppdateringar ändamålsenliga och effektiva? Hanteringen av säkerhetsuppdateringar sker ändamålsenligt på klienter. I övrigt sker uppföljning ad hoc eller inte alls. 4 av 17

5 2 Finns rutiner för hantering av virusutbrott, otillåtna intrång, allvarliga driftstörningar etc. avseende ansvar och kontaktvägar samt hantering av konsekvenser etc.? Nej, generellt finns inga rutiner för hantering av allvarliga driftsstörningar. Riktlinjer finns men är dåligt kommunicerade i verksamheten. Beaktas vikten av spårbarhet i systemen i tillräcklig omfattning? 2 2 Nej. Gällande vårdinformation är spårbarheten i form av loggar utbredd. ITinfrastrukturen (ex. operativsystem och databaser) saknar generellt loggar för spårbarhet. Är organisationens rutiner för uppföljning av efterlevnaden av regler, anvisningar etc. tillräcklig och effektiv? Nej, det finns idag ingen strukturerad uppföljning. 3 Används tekniska säkerhetssystem och program (t.ex. antivirussystem) på ett ändamålsenligt och effektivt sätt? Delvis. Säkerhets- och antivirusuppdateringar appliceras löpande för alla klienter, dock är detta inte lika utbrett hos servrarna. 2 Är rutiner för tillämpning, tilldelning, segmentering etc. av behörighetsnivåer ändamålsenliga och effektiva? Rutiner finns för vissa system men PwC har inte fått en entydig bild att detta gäller för alla system. 3 Finns rutiner som säkerställer att inte avsiktliga eller oavsiktlig förvanskning av data kan ske i t ex kommunikation mellan olika system? Ja men bristfälligt. T.ex. 3G korten ligger utanför och det finns WEP accesspunkter kvar i nätet. 2 Stödjer landstingets IT-infrastruktur en ändamålsenlig, heltäckande och effektivt IT-säkerhet? Nej, internt är nätet helt öppet och det finns en otydlig hantering av trådlösa nät. 5 av 17

6 3 Innehållsförteckning Beaktas säkerhetsaspekter (såsom t ex spårbarhet, segmentering av behörighetsnivåer, personalens önskemål om lätthanterliga system etc.) på ett ändamålsenligt sätt i planering och upphandling av nya system (t ex nytt journalsystem)? Nej inte idag men arbetet har påbörjats, t.ex. har IT-säkerhetssamordnaren blivit mer involverad i de olika planeringsfaserna för att ta mer hänsyn ska till säkerhetsaspekter. 1 Uppdraget Bakgrund Syfte och revisionsfråga Metod Intervjuade personer Avgränsningar Resultat Organisation Roller och ansvar Styrande dokument IT-system Riskhantering Klassificering av IT-system Behörighetshantering Krishantering inom IT Logghantering Infrastruktur Segmentering av nätverk Trådlösa nätverk Övriga observationer av 17

7 1 Uppdraget 1.1 Bakgrund Under senare år har frågan om riskhantering fått ökat genomslag. Att arbeta proaktivt för att undvika incidenter är numera en naturlig del av den dagliga verksamheten inom en organisation. En effektiv och framgångsrik riskhantering bygger på ett helhetstänkande. Kvaliteten, säkerheten och effektiviteten i organisationens interna processer ökar och organisationen skyddas mot t.ex. obehöriga dataintrång samtidigt som beredskapsmedvetandet stärks inom organisationen. Sammantaget bidrar en strukturerad riskhantering till att öka förtroendet för verksamheten. För ett landsting är detta även viktigt ur ett patientsäkerhetsperspektiv. Hanteringen av risker inom IT-området får allt större betydelse då verksamheten blir allt mer beroende av stöd från IT-system. Inom landstingets verksamhet är användningen av IT utbredd och det finns en omfattande infrastruktur och ett stort antal system som hanterar alltifrån patientjournaler till löner. Ett strukturerat arbete med IT-säkerhet skapar förutsättningar för att proaktivt identifiera och hantera IT-relaterade risker. 1.2 Syfte och revisionsfråga Syftet med denna granskning är att översiktligt belysa riskerna inom landstingets IT-verksamhet och bedöma om den säkerhetsnivå som upprätthålls kan anses rimlig. Granskningen avser besvara följande övergripande revisionsfråga: Är landstingsstyrelsens arbete med IT-säkerhet ändamålsenligt? För att kunna besvara den övergripande revisionsfrågan ska ett antal särskilda frågeställningar besvaras: Är landstingets organisation för arbetet med IT-säkerhet ändamålsenlig och effektiv? Är styrande dokument, centrala och lokala riktlinjer och rutiner etc. ändamålsenliga? Beaktas vikten av spårbarhet i systemen i tillräcklig omfattning och är organisationens rutiner för uppföljning av efterlevnad av regler, anvisningar etc. tillräcklig och effektiv? Finns rutiner för hantering av virusutbrott, otillåtna intrång, allvarliga driftstörningar etc. avseende ansvar och kontaktvägar samt hantering av konsekvenser etc.? 7 av 17

8 Stödjer landstingets IT-infrastruktur en ändamålsenlig, heltäckande och effektivt IT-säkerhet? Används tekniska säkerhetssystem och program (t ex antivirussystem) på ett ändamålsenligt och effektivt sätt? Är rutiner för tillämpning, tilldelning, segmentering etc. av behörighetsnivåer ändamålsenliga och effektiva? Beaktas säkerhetsaspekter (såsom t ex spårbarhet, segmentering av behörighetsnivåer, personalens önskemål om lätthanterliga system etc.) på ett ändamålsenligt sätt i planering och upphandling av nya system (t ex nytt journalsystem)? Är rutiner och system för säkerhetsuppdateringar ändamålsenliga och effektiva? Finns rutiner som säkerställer att inte avsiktliga eller oavsiktlig förvanskning av data kan ske i t ex kommunikation mellan olika system? 1.3 Metod Den grundläggande metoden har varit ett kvalitativt angreppssätt med översyn av styrande dokument och djupintervjuer med ett antal nyckelpersoner. De metoder PwC tillämpat vid granskningen har utgjorts av valda delar av PwC Technical Review Methodology (TRM) och PwC IT Risk and Diagnostic Tool (ITRD) där intervjuer samt granskning av dokumentation utgör de mest centrala momenten. Dessa verktyg och ramverk är relativt omfattande, varvid de har anpassats till landstingets storlek och förutsättningar. Eventuella avvikelser har löpande stämts av med uppdragsgivaren. Med denna metod i kombination med PwC Audit Guidelines har PwC täckt in de mest väsentliga delarna av Landstinget i Dalarnas hantering av IT-säkerhet enligt de huvudområden som listats nedan: Övergripande styrning av IT-säkerhet Styrande dokument Spårbarhet Regelefterlevnad och uppföljning Roller och ansvar Incidenthantering Vid användandet av metoderna TRM och ITRD har planering av granskning, översyn av dokumentation, intervjuer, analys samt presentation av resultatet varit de mest centrala momenten. PwC har även undersökt hur ledningens syn på IT-säkerhet fått genomslag i verksamheten. På landstingsövergripande nivå har PwC också lyft frågeställningen kring hur landstingets arbete med IT-säkerhet är organiserat. En annan viktig del 8 av 17

9 som tagits i beaktande för att granska IT-säkerheten har varit att undersöka i vilken omfattning som roller, policys och riktlinjer har varit kända inom verksamheten. I tillägg till detta har fokus riktats mot att undersöka hur IT-säkerhetsarbetet inom landstinget följs upp avseende efterlevnad av kontroller, etablerade policys samt riktlinjer. Vidare har PwC försökt erhålla en bild kring verksamhetens uppfattning avseende informationssäkerhetsrelaterade frågor. 9 av 17

10 1.3.1 Intervjuade personer Namn Karin Stikå Mjöberg Jens Bergqvist Sören Lindblom Lennart Svensson Patrik Östman Tommy Forsmark Staffan Johansson Anita Holmer Mia Söderlund Lena Jönsson Marie Palevik Britt Knutas Kerstin Cederberg Ansvarsområde Landstingsdirektör, LT Dalarna IT Chef Informationssäkerhetssamordnare IT-säkerhetssamordnare, IT-enheten Driftchef IT-enheten Servicedeskchef, IT-enheten Systemägare VIS, Ledningsgruppen Huvudkontoret Systemförvaltare journalsystem (Melior, slutenvården) Systemförvaltare journalsystem (Profdoc, primärvården) Landstingsjurist Chef för IT-förvaltning och utveckling Katastrof och beredskapssamordnare Chefsjurist 1.4 Avgränsningar Anskaffning av ett nytt journalsystem som ska ersätta tre parallella journalsystem pågår. I granskningen har därför enbart begränsad vikt fästs vid nuvarande systems tekniska förutsättningar för att upprätthålla en hög säkerhetsnivå. Vidare har medicinsk teknik inte ingått i granskningen. 10 av 17

11 2 Resultat I detta kapitel redovisas de observationer som gjorts under de intervjuer som hållits med utvalda personer i Landstinget Dalarna. Indelningen nedan baseras på de observationer vi gjort under granskningen. 2.1 Organisation I denna sektion redovisas de organisatoriska observationerna avseende ITsäkerhet Roller och ansvar För att uppnå en god riskhantering avseende IT-säkerhet bör roller och ansvar vara tydligt definierade mellan och i stödverksamheterna. Ansvar bör tydligt kunna urskiljas och kommuniceras till berörda personer. Beroenden mellan funktioner med ett ansvar för IT-säkerhet bör vara kommunicerat och förankrat i organisationen för att uppnå en ändamålsenlig nivå av IT-säkerhet. Det råder en enighet hos de intervjuade personerna att ansvarsfördelningen är otydlig gällande roller och ansvar i IT-säkerhetsarbetet, både inom IT och mot ledningsstaben. Önskemål finns att Landstinget Dalarna ska införa en tydligare struktur inom organisationen där det blir extra tydligt hur roller och ansvar är fördelade gällande IT-säkerhet. Idag är det svårt att veta vem som har getts mandat att fatta beslut, vilket orsakar osäkerhet i alla delar av organisationen. Ett illustrerande exempel på detta är; endast viss revidering av brandväggsöppningar sker, vilket till stor del beror på att ingen vet vem som är ansvarig att hantera vilka portar som är öppnade för vilket system. En säkerhetschef har anställts med ett övergripande ansvar kring säkerhetsfrågor. Dock råder det oklarheter kring hur ansvaret för IT-säkerhet förhåller sig till det övergripande säkerhetsarbetet. Det är informationssäkerhetssamordnaren som idag har ansvaret att driva IT-säkerhetsfrågor vilket har gjorts i så stor utsträckning denne har kunnat, då det inte finns ett tydligt formulerat mandat kring ITsäkerhetsfrågor. Form för återrapportering saknas och IT- och informationssäkerhet rapporteras endast till landstingsledningen på ad hoc basis d.v.s en formaliserad och strukturerad uppföljning av IT-säkerhet saknas på landstingsövergripande nivå. Landstinget Dalarna har skapat IT-råd som är rådgivande gällande förvaltning och utveckling av IT. Det har visat sig att IT-rådens funktion inte är tydligt förankrat inom organisationen. T.ex. är uppfattningen om vad IT-råden ska användas till oklar inom organisationen. Det råder även delade meningar om vilka som ska ingå i IT-råden för att en effektiv utveckling och förvaltning av IT ska kunna ske. 11 av 17

12 Landstinget Dalarnas roller och ansvar gällande IT-säkerhetsarbetet samt förvaltning är otydligt fördelade. Landstinget Dalarna säger sig arbeta efter en förvaltningsmodell men denna förvaltning täcker enbart en övergripande nivå och hanterar inte de mer tekniska delarna av IT-förvaltningen, t.ex. saknar Landstinget Dalarna ett ramverk för IT-säkerhet att efterleva inom förvaltningen. Det är därmed svårt att få en klarhet i hur roll- och ansvarsfördelningen tillämpas inom organisationen, på vilka nivåer den är tydligt fördelad och kommunicerad och inom vilka delar av organisationen. Genom att roller och ansvar är otydligt definierade leder detta i sin tur till otydlighet gällande uppföljning och efterlevnad. Rapporteringsvägarna är otydliga, det är otydligt vem som har ansvaret att rapportera händelser och till vem rapportering ska ske. Uppföljningsansvaret blir också otydligt och det blir svårt att följa upp förändringar/åtgärder när det är oklart vem som ansvarar för utförandet Styrande dokument För att uppnå en målstyrd organisation är det viktigt att styrande dokument finns på plats vilka kommunicerar mål och riktlinjer och som gör det tydligt för verksamheten hur de ska gå tillväga vid ansvarstagande och beslutsfattande. Vad som generellt kan sägas om Landstinget Dalarnas styrande dokument är att många delar finns på plats, det finns en övergripande informationssäkerhetspolicy (vilken bygger på BITS) från vilket Landstinget Dalarna har definierat riktlinjer för informationshanteringen, se Figur 1. Figur 1: Informationssäkerhetspolicystruktur Vid en övergripande översyn verkar Landstinget Dalarna täcka de flesta aktuella områden gällande IT-säkerhet, samtidigt som, enligt egen utsago, inte har dokument för förvaltning, utveckling och infrastruktur på plats. BITS (Basnivå för Informationssäkerhet, rekommendationer från Myndigheten för samhällskydd och beredskap) och PM3 (förvaltningsstyrningsmodell för att organisera förvaltnings- 12 av 17

13 verksamhet på ett affärsmässigt sätt) upplevs inte kunna fungera tillsammans fullt ut. Det råder delade meningar kring vilka delar av de styrande dokumenten som finns på plats. Detta antyder att de styrande dokumenten inte är kommunicerade. Inte heller finns något beslut kring vilket ramverk för IT-säkerhet som Landstinget Dalarna faktiskt skall efterleva. De styrande dokumenten har vid granskningen inte heller visat sig vara uppdaterade eller reviderade i närtid. Många av de dokument PwC tagit del av har inte uppdaterats sedan länge. Landstinget Dalarna poängterar att en större revidering avseende informationshanteringsförändringar är pågående varvid förändringar gällande IT-säkerhetspolicy inte har prioriterats då dessa snabbt skulle bli inaktuella igen. Det utförs heller ingen uppföljning där Landstinget Dalarna kontrollerar hur verksamheten följer de policys och riktlinjer som finns på. Trots att det råder en tvetydighet gällande vilka styrande dokument som gäller är vår bedömning, utifrån den översiktliga granskningen, att många styrande dokument finns. Dock är dessa undermåligt kommunicerade och kunskapsnivån inom verksamheten är låg avseende styrande dokument. En bakomliggande faktor som av landstinget anges som orsaken till inaktuella styrdokument uppges vara att stora förändringar sker just nu inom landstinget. Vår bedömning är dock att förändringar alltid sker och detta är något som ständigt behöver beaktas i en organisation i Landstinget Dalarnas storlek. 13 av 17

14 2.2 IT-system I denna sektion redovisas de iakttagelser vi identifierat kopplat till IT-system inom Landstinget Dalarna Riskhantering Det är viktigt för en organisation att genomföra riskanalyser för IT-system för att fatta väl underbygda beslut genom t.ex. prioritering av utfall efter sannolikhet och påverkan samt kunna hantera verksamhetens risker proaktivt. Överlag genomförs inga fullständiga riskanalyser för Landstinget Dalarnas ITsystem, vilket innebär att Landstinget Dalarna vet mycket lite om vilka risker man är utsatt för och ännu mindre hur man ska hantera dessa. Exempelvis så har vårdinformationssystem analyserats men åtgärder för att hantera risker identifierade har inte fullt ut genomförts. Landstinget Dalarna vill fokusera på BITS men har hittills resonerat att de inte har haft tid att införa alla delar i BITS. Landstinget Dalarna säger sig ha genomfört BITS-analyser på infrastrukturen men koppling till verksamhetens bild kring säkerhetskrav saknas till viss del. Avsaknaden av kontinuerliga riskanalyser minskar Landstinget Dalarnas möjlighet att fatta rätt beslut avseende risker som verksamheten står inför. Ett konkret aktuellt exempel skulle kunna vara upphandlingen av ett nytt journalsystem Klassificering av IT-system En förutsättning för att arbeta ändamålsenligt med IT-säkerhet är att klassificering av IT-system sker. Då skapas förutsättningar för förvaltningen att prioritera insatser i den dagliga driften samt hitta rätt nivå på säkerhet, d.v.s hög eller låg. Vi har noterat att Landstinget Dalarnas IT-system saknar en klar klassificering (prioritetsordning) av IT-system. Detta har fått till följd att verksamheten inte vet hur systemen ska prioriteras/hanteras på ett adekvat sätt. Exempelvis är de svårt att fördela resurser vid planering av nya projekt, definiera vilka system som ska omfattas av striktare klassificering, vilka system som ska prioriteras vid en krissituation samt att säkerställa att system inte har en för hög nivå på säkerhet etc. Dokumentation för hur information skall klassas finns, vilket visar att försök har gjorts för att vägleda en klassificering men alltså inte utnyttjats fullt ut. 14 av 17

15 Att det inte finns en tydlig klassificering av IT-system medför komplikationer för förvaltning gällande IT-säkerhet. Det innebär komplikationer framförallt vid krissituationer där oklarheter kommer råda kring vilka system som skall prioriteras. Även att hitta rätt säkerhetsnivå baserat på riskerna kopplat till respektive IT-system blir svår, vilket kan leda till en för hög säkerhetsnivå på system som för verksamheten inte alls är kritiska Behörighetshantering För att uppnå en effektiv hantering av användare i Landstingets IT-system bör ett strukturerat angreppssätt för upplägg, förändring och borttag av behörigheter användas. Vidare bör uppföljning av behörigheter ske löpande. En tydlig strategi för användare med breda behörigheter bör finnas. Behörighetshanteringsprocesserna behöver ses över då det inte sker en kontinuerlig revidering av användare. Detta gäller även för konfigurering av för ITsäkerheten centrala komponenter såsom t.ex. brandväggar. Vi har vidare noterat att behörighetstilldelningen ofta är för bred, detta beroende på att när anställda byter position inom organisationen ges nya behörigheter till användaren men de får behålla de gamla utan att en utvärdering sker. Det är även så att de flesta av Landstingets system inte heller har en tillräckligt finfördelad behörighetstilldelning varför användare får tillgång till mer information och rätt att utföra förändringar än vad som krävs för att bedriva deras arbetssysslor. Vi har noterat att vissa system har fastställda rutiner för hantering av behörigheter. Landstinget Dalarna bör införa tydligare rutiner för att hantera användare och dess behörigheter Krishantering inom IT För att uppnå en effektiv hantering av t.ex. virusutbrott, otillåtna intrång och andra allvarliga driftstörninarg krävs att ansvaret är tydligt definierat, kontaktvägar är tydliga, och att hanteringen av incidenter sker strukturerat Vi har noterat att en tydlig och klart redogjord krishantering saknas. Den etablerade rutinen fungerar på individnivå men ett helhetstänkande saknas och beroendet till enskilda personer är stort. Övervakning av systemen saknas. En kontroll av aktiviteter på nätet ombesörjs av leverantören. Antivirusskydd används och är uppdaterat på klienter och servrar. Säkerhetsuppdateringar sker på klienter men är inte lika utbrett på servrar. Landstinget Dalarna bör etablera tydliga rutiner för krishantering inom IT. Dessa rutiner bör knytas an till landstingets övergripande hantering av kriser. 15 av 17

16 2.2.5 Logghantering Hantering av loggar är en viktig pusselbit för att lättare kunna spåra orsaker till incidenter samt för att proaktivt identifiera eventuella intrång/oegentligheter. Loggar är aktiverade för vissa av Landstinget Dalarnas system. Rutiner, utanför vårdinformationssystemet, saknas för uppföljning av loggar samt granskning av loggar sker ej i förebyggande syfte (ex. operativsystem och databaser). Landstinget Dalarna beaktar inte vikten av spårbarhet i tillräckligt stor utsträckning och rutiner gällande logghantering och rutiner för uppföljning av efterlevanden är inte tillräcklig. 2.3 Infrastruktur I detta stycke presenteras de huvudsakliga upptäckter som gjort gällande Landstinget Dalarnas infrastruktur Segmentering av nätverk För att förhindra felaktig åtkomst till känslig information bör nätverket segmenteras så att tillgången begränsas till känsliga system, resurser och information. Internt är Landstinget Dalarnas nätverk helt öppet, d.v.s segmentering saknas tillika begräsning med hjälp av lösenord eller dylikt, vilket i praktiken betyder att en användare inom Landstinget Dalarnas nätverk har möjlighet att försöka logga in mot samtliga system i nätverket. Det har tidigare funnits accesslistor för att begränsa åtkomsten på nätverket. Då infrastrukturen vid den tidpunkten var föråldrad lämpade sig denna strategi inte och blev administrativt krånglig och avvecklades. Idag är infrastrukturen uppdaterad och mer lämpad för striktare styrning av åtkomst inom nätverket. PwC anser att en segmentering av nätverket är kritisk för att uppnå en ändamålsenlig nivå på IT-säkerhet inom infrastrukturen Trådlösa nätverk Trådlösa nätverk har från ett användarperspektiv många fördelar t.ex. avseende mobilitet. Trådlös nätverksteknik kräver dock en väl genomtänkt strategi (kryptering etc.) för att säkerställa att inga obehöriga får åtkomst till nätverket. Det trådlösa nätverket inom Landstinget Dalarna hanteras inte på ett ur ITsäkerhets perspektiv ändamålsenligt sätt. Kontroll saknas över uppsatta 16 av 17

17 accesspunkter och samtidigt finns accesspunkter med undermålig kryptering, t.ex. vissa accesspunkter använder krypteringsmetoden WEP som inte tillhandahåller ett tillräckligt skydd för trafik med känslig information. Diskussioner pågår gällande att säkra upp hantering av trådlösa nätverk genom att införa ett nytt autentiseringssystem (802.1X) men det är oklart hur långt gångna dessa planer är. Vi har även noterat att 3G kort används i verksamheten, vilket är en användning utanför de fastlagda rutinerna. För att säkerställa ett effektivt och säkert användande av trådlöst nätverk vid t.ex. rondvagnar, behöver Landstinget Dalarna strukturera och säkra upp sina trådlösa nätverk. 2.4 Övriga observationer Vem som ansvarar för det normativa arbetet gällande IT-säkerhet upplevs som otydligt både i det dagliga arbetet men också kopplat till t.ex. upphandlingar av nya IT-system. Vi föreslår även att för framtida granskningar titta på följande områden; - Penetrationstest (hacking) är nätverket konfigurerat på ett för landstinget ändamålsenligt sätt? - IT-styrning sker arbetet inom IT på ett för landstinget ändamålsenligt sätt och ger IT-investeringarna motsvarande värde för landstinget? - Projektgranskning av elektronisk journalföring kommer projektet att levereras inom budget och tidsplan? - Patientdatalagen efterlevs lagen inom landstinget? 17 av 17

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Rapport avseende granskning av IT-säkerhet. Östersunds kommun Rapport avseende granskning av IT-säkerhet Östersunds kommun November 2014 Innehåll Sammanfattning 1 1. Inledning 2 1.1. Uppdrag och bakgrund 2 1.2. Revisionsfråga 2 1.3. Revisionskriterier 2 1.4. Avgränsning

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Landstinget Gävleborg

Landstinget Gävleborg www.pwc.se Revisionsrapport Göran Persson Lingman Lars-Åke Ullström Dec 2014 Gransking av informationssäkerheten Landstinget Gävleborg Innehållsförteckning 1. Sammanfattning, bedömning och rekommendationer...

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Informations- och IT-säkerhet i kommunal verksamhet

Informations- och IT-säkerhet i kommunal verksamhet Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system Stockholms läns landsting Landstingsstyrelsens förvaltning SLL Informationssäkerhet SLL IT Handläggare: Vesna Lucassi Landstingsstyrelsens innovationsberedning Ankom Stockholms läns landsting 2015-08-

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015 Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015 Agenda Tillvägagångssätt för att identifiera IT-relaterade risker. Exempel på olika typer av ITrelaterade granskningar.

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Mjölby kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

Granskning av intern kontroll

Granskning av intern kontroll Revisionsrapport Granskning av intern kontroll Kerstin Sikander Cert. kommunal revisor Mars 2013 Landstinget i Jönköpings län Innehållsförteckning 1. Inledning... 1 1.1. Bakgrund och revisionsfråga...

Läs mer

Granskning av IT:s nytta ur ett verksamhetsperspektiv

Granskning av IT:s nytta ur ett verksamhetsperspektiv Revisionsrapport* Granskning av IT:s nytta ur ett verksamhetsperspektiv Finspångs kommun 15 maj 2009 Matti Leskelä *connectedthinking Innehållsförteckning 1 Bakgrund och syfte...3 2 Metod...3 3 Sammanfattande

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

IT-Policy. Tritech Technology AB

IT-Policy. Tritech Technology AB IT-Policy Tritech Technology AB 1 av 6 Innehåll 1 Dokumentinformation...3 1.1 Syfte och målgrupp 3 1.2 Ansvar 3 1.3 Nyttjande 3 1.4 Distribution 3 1.5 Versionshistorik 3 1.6 Godkännande 3 2 IT-Policy...4

Läs mer

Informationssäkerhet Riktlinje Förvaltning

Informationssäkerhet Riktlinje Förvaltning Informationssäkerhet Riktlinje Förvaltning Fastställd av kommundirektören 2011-06-20 Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar 4 2.1 Informationssäkerhetssamordnare... 4 2.2 IT-chef...

Läs mer

14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse. Bilaga 112.15

14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse. Bilaga 112.15 Beslutande organ Dokumenttyp Sida Kommunstyrelsen Kallelse/dagordning 25 (38) Sammanträdesdatum 2015-06-10 Dnr KS 2015/102 14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse.

Läs mer

Integrerat ledningssystem. Landstinget Gävleborg. Revisionsrapport. Mars 2011 Lars-Åke Ullström David Emanuelsson

Integrerat ledningssystem. Landstinget Gävleborg. Revisionsrapport. Mars 2011 Lars-Åke Ullström David Emanuelsson Integrerat ledningssystem Landstinget Gävleborg Revisionsrapport Mars 2011 Lars-Åke Ullström David Emanuelsson Innehållsförteckning 1. Sammanfattning......3 2. Inledning...4 2.1 Uppdrag och revisionsfråga......4

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Kommunens revisorer 2013-04-08 GRANSKNING AV INTERNKONTROLLPLANER I HÄRRYDA KOMMUN Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Rapporten

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM FÖRFATTNINGSSAMLING (8.1.3) SÄKERHETSFÖRESKRIFTER Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056 Giltig

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Landstingsstyrelsen och den interna kontrollen en inledande belysning

Landstingsstyrelsen och den interna kontrollen en inledande belysning Revisorerna Anders Marmon 2005-02-24 Rev/04078 Landstingsstyrelsen och den interna kontrollen en inledande belysning Rapport 2-05 Sammanfattning Landstingets revisorer har att genomföra årlig granskning

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc www.pwc.se Revisionsrapport Joanna Hägg Tilda Lindell Granskning av intern kontroll Tierps kommun pwc Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Granskningsbakgrund...

Läs mer

Granskning av IT-hanteringen

Granskning av IT-hanteringen Revisionsrapport Granskning av IT-hanteringen Katrineholms kommun Göran Persson Lingman Thomas Lidgren Januari 2013 Innehållsförteckning Sammanfattning och revisionell bedömning 3 1 Bakgrund och resultat

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Uppföljning av tidigare granskningar

Uppföljning av tidigare granskningar Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING

SOLLENTUNA FÖRFATTNINGSSAMLING för Sollentuna kommun Antagen av fullmäktige 2011-10-19, 125 Innehållsförteckning 1 Inledning... 2 1.1... 2 1.2 E-vision... 2 1.3 Informationssäkerhetspolicy... 2 2 Styrande principer... 2 2.1 Fokusera

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Compliancefunktionen och de nya regelverken från FI om intern styrning och kontroll. Lina Rollby Claesson, Compliance Forum

Compliancefunktionen och de nya regelverken från FI om intern styrning och kontroll. Lina Rollby Claesson, Compliance Forum Compliancefunktionen och de nya regelverken från FI om intern styrning och kontroll Lina Rollby Claesson, Compliance Forum Vem är jag och varför dessa frågor? Styrelseledamot i CF sedan start Växelvis

Läs mer

2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM

2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM Uddevalla kommun Granskning av IT-säkerheten 2013-09-25 cutting through complexity TM Innehållsförteckning Kontaktperson vid KPMG: Henrik Leffler Manager, KPMG Göteborg Sammanfattning Tel: 031 614826 Mobil:

Läs mer

IT-policy för Hällefors kommun

IT-policy för Hällefors kommun IT-policy för Hällefors kommun 2(9) Innehåll 1 Målsättning... 3 2 Syfte... 3 3 Ansvarsfördelning... 5 4 IT-säkerhet... 7 3(9) 1 Målsättning Denna IT-policy är övergripande för Hällefors kommun. Den ska

Läs mer

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen Informationssäkerhet en patientsäkerhetsfråga Maria Jacobsson Socialstyrelsen Syftet med patientdatalagen tillgodose patientsäkerhet och god kvalitet samt främja kostnadseffektivitet patienters och övriga

Läs mer

Granskning av Intern kontroll

Granskning av Intern kontroll www.pwc.se Revisionsrapport Lars Wigström Cert. kommunal revisor Granskning av Intern kontroll Vingåkers kommun Innehållsförteckning 1. Sammanfattande bedömning och rekommendationer... 1 2. Inledning...3

Läs mer

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret GRANSKNINGS Uppföljning IT-granskningar Projektledare: Lotta Onsö Beslutad av revisorskollegiet 2013-06-12 RAPP Uppföljning IT-granskningar Postadress: Stadshuset, 205 80 Malmö Besöksadress: August Palms

Läs mer

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Gäller från och med 2009-01-01 Dnr 5581/2008-030 Beslut 2008-12-10 Dnr:5581/2008-030 Universitetsdirektören Regler och riktlinjer för IT-säkerhet

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang. IT-säkerhetspolicy IT-säkerhetspolicy Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.se Innehåll Sammanfattning 1 IT-säkerhetspolicy

Läs mer

Revisionsrapport Ledningssystemet Stratsys

Revisionsrapport Ledningssystemet Stratsys www.pwc.se Revisionsrapport Ledningssystemet Stratsys Håkan Olsson Cerifierad Kommunal Yrkesrevisor Anna Laurell Lysekils kommun Kommunens arbete med ledning och styrning samt användandet av Stratsys Innehållsförteckning

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic Sitic Sveriges IT-incidentcentrum FR04-01 Informationssäkerhetspolicy Förebyggande Råd från Sveriges IT-incidentcentrum Om Förebyggande Råd från Sitic Bakgrund I uppdraget för Sveriges IT-incidentcentrum

Läs mer

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011 Revisionsrapport Förstudie av personalsystemet Kalmar kommun Caroline Liljebjörn Förstudie av personalsystemet 2011-10-10 Caroline Liljebjörn Stefan Wik Kalmar kommun Förstudie av personalsystemet Innehållsförteckning

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

Revisionsrapport. Söderhamns kommun. Översiktlig granskning kring kommunens IT-hantering. December 2008. Göran Persson Lingman, Louise Cedemar

Revisionsrapport. Söderhamns kommun. Översiktlig granskning kring kommunens IT-hantering. December 2008. Göran Persson Lingman, Louise Cedemar Revisionsrapport Söderhamns kommun Översiktlig granskning kring kommunens IT-hantering December 2008 Göran Persson Lingman, Louise Cedemar Innehållsförteckning 1. Sammanfattande bedömning...2 2. Inledning...4

Läs mer

www.pwc.com/se Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012

www.pwc.com/se Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012 www.pwc.com/se Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012 Innehållsförteckning 1. Bakgrund och syfte 2. Metod för granskning 3. Deltagande personer 4.

Läs mer

PROJEKTRAPPORT NR/7 2013. Ett samlat grepp om IT-verksamheten

PROJEKTRAPPORT NR/7 2013. Ett samlat grepp om IT-verksamheten PROJEKTRAPPORT NR/7 2013 N Ett samlat grepp om IT-verksamheten Vad gör Landstingsrevisorerna? Landstingsrevisorerna granskar den verksamhet som bedrivs av landstingets nämnder och bolagsstyrelser. Revisionsuppdraget

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

4. Inriktning och övergripande mål

4. Inriktning och övergripande mål Lednings- och verksamhetsstöd IT-policy Bilaga 2 LS 14/06 HANDLÄGGARE DATUM DIARIENR Ante Grubbström 2005-12-19 IT-policy för samtliga verksamheter i Landstinget Sörmland 1. Definition Med IT informationsteknologi

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor)

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor) Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor) Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Version 2.0 Gäller från och med Revisionshistorik Versionsnummer Datum

Läs mer

Granskning av informationssäkerhet

Granskning av informationssäkerhet 1(1) DNR: SLU ua 2014.1.1.2-841 Exp. den: 2014-06- Styrelsen BESLUT 2014-06-17 Sändlista Granskning av informationssäkerhet Styrelsen beslutar: att fastställa internrevisionens rapport Informationssäkerhet,

Läs mer

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkra trådlösa nät - praktiska råd och erfarenheter Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret

Läs mer

Härjedalens Kommuns IT-strategi

Härjedalens Kommuns IT-strategi FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 105/04 2004-09-20 1 Härjedalens Kommuns IT-strategi En vägvisare för kommunal IT 2 INNEHÅLL Sid 1. BESKRIVNING 3 1.1 Syfte och omfattning 3 1.2 Kommunens

Läs mer

System- och objektförvaltning - roller

System- och objektförvaltning - roller System- och objektförvaltning - roller Landstingsdirektörens stab Version A 2010-01-25 Innehållsförteckning A. Objektförvaltning - roller enligt pm3... 3 Budgetnivå... 4 Beslutsnivå... 5 Roller på operativ

Läs mer

Gemensamma anvisningar för informationsklassning. Motala kommun

Gemensamma anvisningar för informationsklassning. Motala kommun Gemensamma anvisningar för informationsklassning Motala kommun Beslutsinstans: Kommunfullmäktige Diarienummer: 11/KS 0071 Datum: 2011-08-22 Paragraf: 107 Reviderande instans: Kommunstyrelsen Diarienummer:

Läs mer

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Plan för informationssäkerhet vid Högskolan Dalarna 2015 Plan för informationssäkerhet vid Högskolan Dalarna 2015 Beslut: 2015-05-04 Reviderad: Dnr: DUC 2015/769/10 Ersätter: Relaterade dokument: Policy för informationssäkerhet Ansvarig: Förvaltningschef Innehållsförteckning

Läs mer

PROJEKTRAPPORT NR 02/2014. IT-säkerhet i nätverksansluten medicinteknisk. utrustning

PROJEKTRAPPORT NR 02/2014. IT-säkerhet i nätverksansluten medicinteknisk. utrustning PROJEKTRAPPORT NR 02/2014 N IT-säkerhet i nätverksansluten medicinteknisk utrustning Vad gör Landstingsrevisorerna? Landstingsrevisorerna granskar den verksamhet som bedrivs av landstingets nämnder och

Läs mer

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT Revisionsrapport 3/2012 Genomförd på uppdrag av revisorerna Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT Nicklas Samuelsson Magnus Nilsson

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Kommunens ITorganisation

Kommunens ITorganisation Revisionsrapport Kommunens ITorganisation Strömsunds kommun Maj-Britt Åkerström Cert. kommunal revisor Innehållsförteckning 1 Sammanfattning, revisionell bedömning, förslag till utveckling 2 Inledning

Läs mer

Uppföljning av revisionsrapport om kommunens IT-hantering från 2010

Uppföljning av revisionsrapport om kommunens IT-hantering från 2010 PM Uppföljning av revisionsrapport om kommunens IT-hantering från 2010 Emmaboda kommun 11 juni 2012 Jard Larsson Certifierad kommunal revisor 2010-års granskning Följande revisionsfrågor ställdes 2010:

Läs mer

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun Datum Dnr Dpl 2009-09-10 2009/KS0203-1 005 Riktlinjer för IT i Lilla Edets kommun 1. Introduktion Det politiskt styrande dokumentet för IT-användning i Lilla Edets kommun är denna riktlinje, som fastställs

Läs mer

Revisionen i finansiella samordningsförbund. seminarium 2014 01 14

Revisionen i finansiella samordningsförbund. seminarium 2014 01 14 Revisionen i finansiella samordningsförbund seminarium 2014 01 14 Så här är det tänkt Varje förbundsmedlem ska utse en revisor. För Försäkringskassan och Arbetsförmedlingen utser Försäkringskassan en gemensam

Läs mer

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN Köping2000, v3.2, 2011-07-04 1 (8) Drätselkontoret Jan Häggkvist 0221-251 11 jan.haggkvist@koping.se SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN 1. Målsättning Målsättning för säkerhetsarbetet är att ett säkerhetsarbete

Läs mer

Extern kommunikation

Extern kommunikation Granskningsredogörelse Extern kommunikation Skelleftebuss AB Linda Marklund Robert Bergman Innehållsförteckning 1 Sammanfattning 1 2 Inledning 2 2.1 Bakgrund 2 2.2 Revisionsfråga 2 2.3 Metod och avgränsning

Läs mer