Övergripande IT- och informationssäkerhet

Storlek: px
Starta visningen från sidan:

Download "Övergripande IT- och informationssäkerhet"

Transkript

1 Övergripande IT- och informationssäkerhet Landstinget Dalarna 4 februari 2011 PwC Technology Risk Services Jon Arwidson Magnus Olson-Sjölander Christian Svensson

2 Sammanfattning På uppdrag av de förtroendevalda revisorerna har PwC fått i uppdrag att granska den övergripande hanteringen av IT-säkerhet. För landstinget är idag IT en central och kritisk komponent för att kunna bedriva vårdverksamheten på ett effektivt och ändamålsenligt sätt. Allt ifrån redovisning till daglig vårdverksamhet är beroende av ett ändamålsenligt IT-stöd. Syftet med denna granskning är att översiktligt belysa IT-säkerhet inom landstingets IT-verksamhet och bedöma om den säkerhetsnivå som upprätthålls kan anses rimlig. Granskningen avser besvara följande övergripande revisionsfråga: Är landstingsstyrelsens arbete med IT-säkerhet ändamålsenligt? Den grundläggande metoden har varit ett kvalitativt angreppssätt med översyn av styrande dokument och djupintervjuer med ett antal nyckelpersoner. De metoder PwC tillämpat vid granskningen har utgjorts av valda delar av PwC Technical Review Methodology (TRM) och PwC IT Risk and Diagnostic Tool (ITRD) där intervjuer samt granskning av dokumentation utgör de mest centrala momenten. PwC har identifierat tre huvudområden för förbättring; roller och ansvar inom organisationen, klassificering av IT-system samt säkerhet inom infrastrukturen. Inom organisationen noterar vi att roller och ansvar är otydligt definierade. Oklarheter råder kring vem som har det normativa ansvaret gällande IT-säkerhet. Vidare råder osäkerhet kring vem som har mandatet att följa upp de policies och riktlinjer som av landstinget finns fastställda. Inte heller finns en utsedd person med mandat att fullt ut arbeta med IT-säkerhet. De IT-råd som har upprättats för att hantera styrning av olika delar av landstingets IT-verksamhet uppfattas i vissa delar att ha en otydlig funktion och syftet med råden är inte fullt ut kommunicerade. IT-säkerhetsarbetet rapporteras ad hoc till landstingsledningen d.v.s. en formaliserad och strukturerad uppföljning av IT-säkerhet saknas på landstingsövergripande nivå. IT-systemen inom landstinget utvärderas ej löpande med ett etablerat riskbaserat angreppssätt. Systemen är inte riskklassificerade vilket försvårar prioritering vid incidenter och andra oavsiktliga avbrott. Avsaknaden av riskklassificering kan också innebära att landstinget har en för hög säkerhetsnivå på system som för verksamheten inte är verksamhetskritiska. Behörighetshanteringen i systemen är bristfällig då behörighetsnivåerna inte är tillräckligt finfördelade samt att en periodisk revidering av behörigheter ej genomförs. Då tydlig klassificering av systemen saknas minskar förutsättningarna för en ändamålsenlig hantering vid en eventuell krissituation. Vidare saknas rutiner för krishanteringen inom IT. IT-säkerhetsnivån avseende infrastrukturen, där nätverket är en av de inom IT mer centrala komponenterna, saknar segmentering, d.v.s. en användare som är 2 av 17

3 ansluten till nätverket har möjlighet att nå och logga in på samtliga system som är anslutna inom landstinget. Det utförs heller ingen uppföljning där Landstinget Dalarna kontrollerar hur verksamheten följer de policys och riktlinjer som finns. Landstinget Dalarna har inte heller ett formellt fattat beslut om vilket ramverk som skall gälla inom landstinget. Slutsatser och rekommendationer Avseende den övergripande revisionsfrågan, Är landstingsstyrelsens arbete med IT-säkerhet ändamålsenligt?, är landstingets arbete med IT-säkerhet inte i alla delar ändamålsenlig. Landstinget Dalarna bör tydliggöra roller och ansvar inom IT, kopplat till ITsäkerhet, förvaltning och infrastruktur. Förutsättningarna för landstinget att arbeta mer strukturerat och proaktivt ökar väsentligt om roller och ansvar tydliggörs. Den nyligen genomförda omorganiseringen skapar bra förutsättningar för att skapa en tydligare och säkrare IT-miljö inom Landstinget Dalarna. Slutligen noterar vi att det finns stor kompetens kring IT-säkerhet inom Landstinget Dalarna vilken bör utnyttjas på ett bättre sätt. IT-säkerhetsfrågor bör vara inkluderade på agendan inom både IT och vården i större utsträckning än idag. Vi föreslår även att initiera ytterligare granskningar inom följande områden; - Penetrationstest (sk. hacking) är nätverket konfigurerat på ett för landstinget ändamålsenligt sätt? - IT-styrning sker arbetet inom IT på ett för landstinget ändamålsenligt sätt och ger IT-investeringarna motsvarande värde för landstinget? - Projektgranskning av journalinförandet kommer projektet att levereras inom budget och tidsplan? - Patientdatalagen efterlevs lagen inom landstinget? Nedan avsnitt sammanfattar resultatet av granskningen utifrån de särskilt formulerade frågorna. Avseende den övergripande revisionsfrågan, Är landstingsstyrelsens arbete med IT-säkerhet ändamålsenligt?, kan det konstateras att landstingets arbete med IT-säkerhet inte i alla delar är ändamålsenlig. 3 av 17

4 Nedanstående tabell anger vår bedömning avseende de särskilda frågeställningarna; Nivå Beskrivning 1 Bristfällig och hög risk föreligger 2 I stora drag bristfällig och relativt hög risk föreligger 3 Delvis bristfällig och viss risk föreligger 4 I stora drag ändamålsenlig och relativt låg risk föreligger 5 Ändamålsenlig och låg risk föreligger Särskild fråga 2 Är landstingets organisation för arbetet med IT-säkerhet ändamålsenlig och effektiv? Nej, roller och ansvar är otydligt definierade och IT-rådens funktion är tvetydiga och svagt kommunicerade. Är styrande dokument, centrala och lokala riktlinjer och rutiner etc. ändamålsenliga? 4 2 Delvis, styrande dokument finns i stor utsträckning men uppfattningen avseende innehållet är tvetydig. De styrande dokumenten är även dåligt kommunicerade och ett formellt mandat saknas för att säkerställa efterlevnaden. Är rutiner och system för säkerhetsuppdateringar ändamålsenliga och effektiva? Hanteringen av säkerhetsuppdateringar sker ändamålsenligt på klienter. I övrigt sker uppföljning ad hoc eller inte alls. 4 av 17

5 2 Finns rutiner för hantering av virusutbrott, otillåtna intrång, allvarliga driftstörningar etc. avseende ansvar och kontaktvägar samt hantering av konsekvenser etc.? Nej, generellt finns inga rutiner för hantering av allvarliga driftsstörningar. Riktlinjer finns men är dåligt kommunicerade i verksamheten. Beaktas vikten av spårbarhet i systemen i tillräcklig omfattning? 2 2 Nej. Gällande vårdinformation är spårbarheten i form av loggar utbredd. ITinfrastrukturen (ex. operativsystem och databaser) saknar generellt loggar för spårbarhet. Är organisationens rutiner för uppföljning av efterlevnaden av regler, anvisningar etc. tillräcklig och effektiv? Nej, det finns idag ingen strukturerad uppföljning. 3 Används tekniska säkerhetssystem och program (t.ex. antivirussystem) på ett ändamålsenligt och effektivt sätt? Delvis. Säkerhets- och antivirusuppdateringar appliceras löpande för alla klienter, dock är detta inte lika utbrett hos servrarna. 2 Är rutiner för tillämpning, tilldelning, segmentering etc. av behörighetsnivåer ändamålsenliga och effektiva? Rutiner finns för vissa system men PwC har inte fått en entydig bild att detta gäller för alla system. 3 Finns rutiner som säkerställer att inte avsiktliga eller oavsiktlig förvanskning av data kan ske i t ex kommunikation mellan olika system? Ja men bristfälligt. T.ex. 3G korten ligger utanför och det finns WEP accesspunkter kvar i nätet. 2 Stödjer landstingets IT-infrastruktur en ändamålsenlig, heltäckande och effektivt IT-säkerhet? Nej, internt är nätet helt öppet och det finns en otydlig hantering av trådlösa nät. 5 av 17

6 3 Innehållsförteckning Beaktas säkerhetsaspekter (såsom t ex spårbarhet, segmentering av behörighetsnivåer, personalens önskemål om lätthanterliga system etc.) på ett ändamålsenligt sätt i planering och upphandling av nya system (t ex nytt journalsystem)? Nej inte idag men arbetet har påbörjats, t.ex. har IT-säkerhetssamordnaren blivit mer involverad i de olika planeringsfaserna för att ta mer hänsyn ska till säkerhetsaspekter. 1 Uppdraget Bakgrund Syfte och revisionsfråga Metod Intervjuade personer Avgränsningar Resultat Organisation Roller och ansvar Styrande dokument IT-system Riskhantering Klassificering av IT-system Behörighetshantering Krishantering inom IT Logghantering Infrastruktur Segmentering av nätverk Trådlösa nätverk Övriga observationer av 17

7 1 Uppdraget 1.1 Bakgrund Under senare år har frågan om riskhantering fått ökat genomslag. Att arbeta proaktivt för att undvika incidenter är numera en naturlig del av den dagliga verksamheten inom en organisation. En effektiv och framgångsrik riskhantering bygger på ett helhetstänkande. Kvaliteten, säkerheten och effektiviteten i organisationens interna processer ökar och organisationen skyddas mot t.ex. obehöriga dataintrång samtidigt som beredskapsmedvetandet stärks inom organisationen. Sammantaget bidrar en strukturerad riskhantering till att öka förtroendet för verksamheten. För ett landsting är detta även viktigt ur ett patientsäkerhetsperspektiv. Hanteringen av risker inom IT-området får allt större betydelse då verksamheten blir allt mer beroende av stöd från IT-system. Inom landstingets verksamhet är användningen av IT utbredd och det finns en omfattande infrastruktur och ett stort antal system som hanterar alltifrån patientjournaler till löner. Ett strukturerat arbete med IT-säkerhet skapar förutsättningar för att proaktivt identifiera och hantera IT-relaterade risker. 1.2 Syfte och revisionsfråga Syftet med denna granskning är att översiktligt belysa riskerna inom landstingets IT-verksamhet och bedöma om den säkerhetsnivå som upprätthålls kan anses rimlig. Granskningen avser besvara följande övergripande revisionsfråga: Är landstingsstyrelsens arbete med IT-säkerhet ändamålsenligt? För att kunna besvara den övergripande revisionsfrågan ska ett antal särskilda frågeställningar besvaras: Är landstingets organisation för arbetet med IT-säkerhet ändamålsenlig och effektiv? Är styrande dokument, centrala och lokala riktlinjer och rutiner etc. ändamålsenliga? Beaktas vikten av spårbarhet i systemen i tillräcklig omfattning och är organisationens rutiner för uppföljning av efterlevnad av regler, anvisningar etc. tillräcklig och effektiv? Finns rutiner för hantering av virusutbrott, otillåtna intrång, allvarliga driftstörningar etc. avseende ansvar och kontaktvägar samt hantering av konsekvenser etc.? 7 av 17

8 Stödjer landstingets IT-infrastruktur en ändamålsenlig, heltäckande och effektivt IT-säkerhet? Används tekniska säkerhetssystem och program (t ex antivirussystem) på ett ändamålsenligt och effektivt sätt? Är rutiner för tillämpning, tilldelning, segmentering etc. av behörighetsnivåer ändamålsenliga och effektiva? Beaktas säkerhetsaspekter (såsom t ex spårbarhet, segmentering av behörighetsnivåer, personalens önskemål om lätthanterliga system etc.) på ett ändamålsenligt sätt i planering och upphandling av nya system (t ex nytt journalsystem)? Är rutiner och system för säkerhetsuppdateringar ändamålsenliga och effektiva? Finns rutiner som säkerställer att inte avsiktliga eller oavsiktlig förvanskning av data kan ske i t ex kommunikation mellan olika system? 1.3 Metod Den grundläggande metoden har varit ett kvalitativt angreppssätt med översyn av styrande dokument och djupintervjuer med ett antal nyckelpersoner. De metoder PwC tillämpat vid granskningen har utgjorts av valda delar av PwC Technical Review Methodology (TRM) och PwC IT Risk and Diagnostic Tool (ITRD) där intervjuer samt granskning av dokumentation utgör de mest centrala momenten. Dessa verktyg och ramverk är relativt omfattande, varvid de har anpassats till landstingets storlek och förutsättningar. Eventuella avvikelser har löpande stämts av med uppdragsgivaren. Med denna metod i kombination med PwC Audit Guidelines har PwC täckt in de mest väsentliga delarna av Landstinget i Dalarnas hantering av IT-säkerhet enligt de huvudområden som listats nedan: Övergripande styrning av IT-säkerhet Styrande dokument Spårbarhet Regelefterlevnad och uppföljning Roller och ansvar Incidenthantering Vid användandet av metoderna TRM och ITRD har planering av granskning, översyn av dokumentation, intervjuer, analys samt presentation av resultatet varit de mest centrala momenten. PwC har även undersökt hur ledningens syn på IT-säkerhet fått genomslag i verksamheten. På landstingsövergripande nivå har PwC också lyft frågeställningen kring hur landstingets arbete med IT-säkerhet är organiserat. En annan viktig del 8 av 17

9 som tagits i beaktande för att granska IT-säkerheten har varit att undersöka i vilken omfattning som roller, policys och riktlinjer har varit kända inom verksamheten. I tillägg till detta har fokus riktats mot att undersöka hur IT-säkerhetsarbetet inom landstinget följs upp avseende efterlevnad av kontroller, etablerade policys samt riktlinjer. Vidare har PwC försökt erhålla en bild kring verksamhetens uppfattning avseende informationssäkerhetsrelaterade frågor. 9 av 17

10 1.3.1 Intervjuade personer Namn Karin Stikå Mjöberg Jens Bergqvist Sören Lindblom Lennart Svensson Patrik Östman Tommy Forsmark Staffan Johansson Anita Holmer Mia Söderlund Lena Jönsson Marie Palevik Britt Knutas Kerstin Cederberg Ansvarsområde Landstingsdirektör, LT Dalarna IT Chef Informationssäkerhetssamordnare IT-säkerhetssamordnare, IT-enheten Driftchef IT-enheten Servicedeskchef, IT-enheten Systemägare VIS, Ledningsgruppen Huvudkontoret Systemförvaltare journalsystem (Melior, slutenvården) Systemförvaltare journalsystem (Profdoc, primärvården) Landstingsjurist Chef för IT-förvaltning och utveckling Katastrof och beredskapssamordnare Chefsjurist 1.4 Avgränsningar Anskaffning av ett nytt journalsystem som ska ersätta tre parallella journalsystem pågår. I granskningen har därför enbart begränsad vikt fästs vid nuvarande systems tekniska förutsättningar för att upprätthålla en hög säkerhetsnivå. Vidare har medicinsk teknik inte ingått i granskningen. 10 av 17

11 2 Resultat I detta kapitel redovisas de observationer som gjorts under de intervjuer som hållits med utvalda personer i Landstinget Dalarna. Indelningen nedan baseras på de observationer vi gjort under granskningen. 2.1 Organisation I denna sektion redovisas de organisatoriska observationerna avseende ITsäkerhet Roller och ansvar För att uppnå en god riskhantering avseende IT-säkerhet bör roller och ansvar vara tydligt definierade mellan och i stödverksamheterna. Ansvar bör tydligt kunna urskiljas och kommuniceras till berörda personer. Beroenden mellan funktioner med ett ansvar för IT-säkerhet bör vara kommunicerat och förankrat i organisationen för att uppnå en ändamålsenlig nivå av IT-säkerhet. Det råder en enighet hos de intervjuade personerna att ansvarsfördelningen är otydlig gällande roller och ansvar i IT-säkerhetsarbetet, både inom IT och mot ledningsstaben. Önskemål finns att Landstinget Dalarna ska införa en tydligare struktur inom organisationen där det blir extra tydligt hur roller och ansvar är fördelade gällande IT-säkerhet. Idag är det svårt att veta vem som har getts mandat att fatta beslut, vilket orsakar osäkerhet i alla delar av organisationen. Ett illustrerande exempel på detta är; endast viss revidering av brandväggsöppningar sker, vilket till stor del beror på att ingen vet vem som är ansvarig att hantera vilka portar som är öppnade för vilket system. En säkerhetschef har anställts med ett övergripande ansvar kring säkerhetsfrågor. Dock råder det oklarheter kring hur ansvaret för IT-säkerhet förhåller sig till det övergripande säkerhetsarbetet. Det är informationssäkerhetssamordnaren som idag har ansvaret att driva IT-säkerhetsfrågor vilket har gjorts i så stor utsträckning denne har kunnat, då det inte finns ett tydligt formulerat mandat kring ITsäkerhetsfrågor. Form för återrapportering saknas och IT- och informationssäkerhet rapporteras endast till landstingsledningen på ad hoc basis d.v.s en formaliserad och strukturerad uppföljning av IT-säkerhet saknas på landstingsövergripande nivå. Landstinget Dalarna har skapat IT-råd som är rådgivande gällande förvaltning och utveckling av IT. Det har visat sig att IT-rådens funktion inte är tydligt förankrat inom organisationen. T.ex. är uppfattningen om vad IT-råden ska användas till oklar inom organisationen. Det råder även delade meningar om vilka som ska ingå i IT-råden för att en effektiv utveckling och förvaltning av IT ska kunna ske. 11 av 17

12 Landstinget Dalarnas roller och ansvar gällande IT-säkerhetsarbetet samt förvaltning är otydligt fördelade. Landstinget Dalarna säger sig arbeta efter en förvaltningsmodell men denna förvaltning täcker enbart en övergripande nivå och hanterar inte de mer tekniska delarna av IT-förvaltningen, t.ex. saknar Landstinget Dalarna ett ramverk för IT-säkerhet att efterleva inom förvaltningen. Det är därmed svårt att få en klarhet i hur roll- och ansvarsfördelningen tillämpas inom organisationen, på vilka nivåer den är tydligt fördelad och kommunicerad och inom vilka delar av organisationen. Genom att roller och ansvar är otydligt definierade leder detta i sin tur till otydlighet gällande uppföljning och efterlevnad. Rapporteringsvägarna är otydliga, det är otydligt vem som har ansvaret att rapportera händelser och till vem rapportering ska ske. Uppföljningsansvaret blir också otydligt och det blir svårt att följa upp förändringar/åtgärder när det är oklart vem som ansvarar för utförandet Styrande dokument För att uppnå en målstyrd organisation är det viktigt att styrande dokument finns på plats vilka kommunicerar mål och riktlinjer och som gör det tydligt för verksamheten hur de ska gå tillväga vid ansvarstagande och beslutsfattande. Vad som generellt kan sägas om Landstinget Dalarnas styrande dokument är att många delar finns på plats, det finns en övergripande informationssäkerhetspolicy (vilken bygger på BITS) från vilket Landstinget Dalarna har definierat riktlinjer för informationshanteringen, se Figur 1. Figur 1: Informationssäkerhetspolicystruktur Vid en övergripande översyn verkar Landstinget Dalarna täcka de flesta aktuella områden gällande IT-säkerhet, samtidigt som, enligt egen utsago, inte har dokument för förvaltning, utveckling och infrastruktur på plats. BITS (Basnivå för Informationssäkerhet, rekommendationer från Myndigheten för samhällskydd och beredskap) och PM3 (förvaltningsstyrningsmodell för att organisera förvaltnings- 12 av 17

13 verksamhet på ett affärsmässigt sätt) upplevs inte kunna fungera tillsammans fullt ut. Det råder delade meningar kring vilka delar av de styrande dokumenten som finns på plats. Detta antyder att de styrande dokumenten inte är kommunicerade. Inte heller finns något beslut kring vilket ramverk för IT-säkerhet som Landstinget Dalarna faktiskt skall efterleva. De styrande dokumenten har vid granskningen inte heller visat sig vara uppdaterade eller reviderade i närtid. Många av de dokument PwC tagit del av har inte uppdaterats sedan länge. Landstinget Dalarna poängterar att en större revidering avseende informationshanteringsförändringar är pågående varvid förändringar gällande IT-säkerhetspolicy inte har prioriterats då dessa snabbt skulle bli inaktuella igen. Det utförs heller ingen uppföljning där Landstinget Dalarna kontrollerar hur verksamheten följer de policys och riktlinjer som finns på. Trots att det råder en tvetydighet gällande vilka styrande dokument som gäller är vår bedömning, utifrån den översiktliga granskningen, att många styrande dokument finns. Dock är dessa undermåligt kommunicerade och kunskapsnivån inom verksamheten är låg avseende styrande dokument. En bakomliggande faktor som av landstinget anges som orsaken till inaktuella styrdokument uppges vara att stora förändringar sker just nu inom landstinget. Vår bedömning är dock att förändringar alltid sker och detta är något som ständigt behöver beaktas i en organisation i Landstinget Dalarnas storlek. 13 av 17

14 2.2 IT-system I denna sektion redovisas de iakttagelser vi identifierat kopplat till IT-system inom Landstinget Dalarna Riskhantering Det är viktigt för en organisation att genomföra riskanalyser för IT-system för att fatta väl underbygda beslut genom t.ex. prioritering av utfall efter sannolikhet och påverkan samt kunna hantera verksamhetens risker proaktivt. Överlag genomförs inga fullständiga riskanalyser för Landstinget Dalarnas ITsystem, vilket innebär att Landstinget Dalarna vet mycket lite om vilka risker man är utsatt för och ännu mindre hur man ska hantera dessa. Exempelvis så har vårdinformationssystem analyserats men åtgärder för att hantera risker identifierade har inte fullt ut genomförts. Landstinget Dalarna vill fokusera på BITS men har hittills resonerat att de inte har haft tid att införa alla delar i BITS. Landstinget Dalarna säger sig ha genomfört BITS-analyser på infrastrukturen men koppling till verksamhetens bild kring säkerhetskrav saknas till viss del. Avsaknaden av kontinuerliga riskanalyser minskar Landstinget Dalarnas möjlighet att fatta rätt beslut avseende risker som verksamheten står inför. Ett konkret aktuellt exempel skulle kunna vara upphandlingen av ett nytt journalsystem Klassificering av IT-system En förutsättning för att arbeta ändamålsenligt med IT-säkerhet är att klassificering av IT-system sker. Då skapas förutsättningar för förvaltningen att prioritera insatser i den dagliga driften samt hitta rätt nivå på säkerhet, d.v.s hög eller låg. Vi har noterat att Landstinget Dalarnas IT-system saknar en klar klassificering (prioritetsordning) av IT-system. Detta har fått till följd att verksamheten inte vet hur systemen ska prioriteras/hanteras på ett adekvat sätt. Exempelvis är de svårt att fördela resurser vid planering av nya projekt, definiera vilka system som ska omfattas av striktare klassificering, vilka system som ska prioriteras vid en krissituation samt att säkerställa att system inte har en för hög nivå på säkerhet etc. Dokumentation för hur information skall klassas finns, vilket visar att försök har gjorts för att vägleda en klassificering men alltså inte utnyttjats fullt ut. 14 av 17

15 Att det inte finns en tydlig klassificering av IT-system medför komplikationer för förvaltning gällande IT-säkerhet. Det innebär komplikationer framförallt vid krissituationer där oklarheter kommer råda kring vilka system som skall prioriteras. Även att hitta rätt säkerhetsnivå baserat på riskerna kopplat till respektive IT-system blir svår, vilket kan leda till en för hög säkerhetsnivå på system som för verksamheten inte alls är kritiska Behörighetshantering För att uppnå en effektiv hantering av användare i Landstingets IT-system bör ett strukturerat angreppssätt för upplägg, förändring och borttag av behörigheter användas. Vidare bör uppföljning av behörigheter ske löpande. En tydlig strategi för användare med breda behörigheter bör finnas. Behörighetshanteringsprocesserna behöver ses över då det inte sker en kontinuerlig revidering av användare. Detta gäller även för konfigurering av för ITsäkerheten centrala komponenter såsom t.ex. brandväggar. Vi har vidare noterat att behörighetstilldelningen ofta är för bred, detta beroende på att när anställda byter position inom organisationen ges nya behörigheter till användaren men de får behålla de gamla utan att en utvärdering sker. Det är även så att de flesta av Landstingets system inte heller har en tillräckligt finfördelad behörighetstilldelning varför användare får tillgång till mer information och rätt att utföra förändringar än vad som krävs för att bedriva deras arbetssysslor. Vi har noterat att vissa system har fastställda rutiner för hantering av behörigheter. Landstinget Dalarna bör införa tydligare rutiner för att hantera användare och dess behörigheter Krishantering inom IT För att uppnå en effektiv hantering av t.ex. virusutbrott, otillåtna intrång och andra allvarliga driftstörninarg krävs att ansvaret är tydligt definierat, kontaktvägar är tydliga, och att hanteringen av incidenter sker strukturerat Vi har noterat att en tydlig och klart redogjord krishantering saknas. Den etablerade rutinen fungerar på individnivå men ett helhetstänkande saknas och beroendet till enskilda personer är stort. Övervakning av systemen saknas. En kontroll av aktiviteter på nätet ombesörjs av leverantören. Antivirusskydd används och är uppdaterat på klienter och servrar. Säkerhetsuppdateringar sker på klienter men är inte lika utbrett på servrar. Landstinget Dalarna bör etablera tydliga rutiner för krishantering inom IT. Dessa rutiner bör knytas an till landstingets övergripande hantering av kriser. 15 av 17

16 2.2.5 Logghantering Hantering av loggar är en viktig pusselbit för att lättare kunna spåra orsaker till incidenter samt för att proaktivt identifiera eventuella intrång/oegentligheter. Loggar är aktiverade för vissa av Landstinget Dalarnas system. Rutiner, utanför vårdinformationssystemet, saknas för uppföljning av loggar samt granskning av loggar sker ej i förebyggande syfte (ex. operativsystem och databaser). Landstinget Dalarna beaktar inte vikten av spårbarhet i tillräckligt stor utsträckning och rutiner gällande logghantering och rutiner för uppföljning av efterlevanden är inte tillräcklig. 2.3 Infrastruktur I detta stycke presenteras de huvudsakliga upptäckter som gjort gällande Landstinget Dalarnas infrastruktur Segmentering av nätverk För att förhindra felaktig åtkomst till känslig information bör nätverket segmenteras så att tillgången begränsas till känsliga system, resurser och information. Internt är Landstinget Dalarnas nätverk helt öppet, d.v.s segmentering saknas tillika begräsning med hjälp av lösenord eller dylikt, vilket i praktiken betyder att en användare inom Landstinget Dalarnas nätverk har möjlighet att försöka logga in mot samtliga system i nätverket. Det har tidigare funnits accesslistor för att begränsa åtkomsten på nätverket. Då infrastrukturen vid den tidpunkten var föråldrad lämpade sig denna strategi inte och blev administrativt krånglig och avvecklades. Idag är infrastrukturen uppdaterad och mer lämpad för striktare styrning av åtkomst inom nätverket. PwC anser att en segmentering av nätverket är kritisk för att uppnå en ändamålsenlig nivå på IT-säkerhet inom infrastrukturen Trådlösa nätverk Trådlösa nätverk har från ett användarperspektiv många fördelar t.ex. avseende mobilitet. Trådlös nätverksteknik kräver dock en väl genomtänkt strategi (kryptering etc.) för att säkerställa att inga obehöriga får åtkomst till nätverket. Det trådlösa nätverket inom Landstinget Dalarna hanteras inte på ett ur ITsäkerhets perspektiv ändamålsenligt sätt. Kontroll saknas över uppsatta 16 av 17

17 accesspunkter och samtidigt finns accesspunkter med undermålig kryptering, t.ex. vissa accesspunkter använder krypteringsmetoden WEP som inte tillhandahåller ett tillräckligt skydd för trafik med känslig information. Diskussioner pågår gällande att säkra upp hantering av trådlösa nätverk genom att införa ett nytt autentiseringssystem (802.1X) men det är oklart hur långt gångna dessa planer är. Vi har även noterat att 3G kort används i verksamheten, vilket är en användning utanför de fastlagda rutinerna. För att säkerställa ett effektivt och säkert användande av trådlöst nätverk vid t.ex. rondvagnar, behöver Landstinget Dalarna strukturera och säkra upp sina trådlösa nätverk. 2.4 Övriga observationer Vem som ansvarar för det normativa arbetet gällande IT-säkerhet upplevs som otydligt både i det dagliga arbetet men också kopplat till t.ex. upphandlingar av nya IT-system. Vi föreslår även att för framtida granskningar titta på följande områden; - Penetrationstest (hacking) är nätverket konfigurerat på ett för landstinget ändamålsenligt sätt? - IT-styrning sker arbetet inom IT på ett för landstinget ändamålsenligt sätt och ger IT-investeringarna motsvarande värde för landstinget? - Projektgranskning av elektronisk journalföring kommer projektet att levereras inom budget och tidsplan? - Patientdatalagen efterlevs lagen inom landstinget? 17 av 17

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhetsanvisningar Förvaltning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Förvaltning i enlighet med rektors beslut fattat den 16 februari 2010 (dnr 020-09-101). Gäller från och med den

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Rapport avseende granskning av IT-säkerhet. Östersunds kommun Rapport avseende granskning av IT-säkerhet Östersunds kommun November 2014 Innehåll Sammanfattning 1 1. Inledning 2 1.1. Uppdrag och bakgrund 2 1.2. Revisionsfråga 2 1.3. Revisionskriterier 2 1.4. Avgränsning

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 07-05-24 dnr A 13 349/ 07 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum Juni 2007 Publicerad Beslutsfattare

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång.  Informationssäkerhetsspecialister: www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet angående externt och internt dataintrång Informationssäkerhetsspecialister: Pernilla Nordström Viktor Bergvall Victor Svensson Kommunalrevisor:

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Informations- och IT-säkerhet i kommunal verksamhet

Informations- och IT-säkerhet i kommunal verksamhet Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-

Läs mer

Granskning intern kontroll

Granskning intern kontroll Revisionsrapport Granskning intern kontroll Kinda kommun Karin Jäderbrink Cert. kommunal revisor Innehållsförteckning 1 Sammanfattande bedömning 1 2 Bakgrund 2 2.1 Uppdrag och revisionsfråga 2 2.2 Avgränsning

Läs mer

PM 2009-01-21. DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport.

PM 2009-01-21. DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport. 1(5) KS 2008/0177 Översyn av IT- och telefonidrift - lägesrapport Bakgrund Under det gångna året har inträffat ett antal driftstopp inom IT och telefoni som fått allvarliga konsekvenser genom att för verksamheten

Läs mer

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc www.pwc.se Revisionsrapport Joanna Hägg Tilda Lindell Granskning av intern kontroll Tierps kommun pwc Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Granskningsbakgrund...

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

Bilaga 3 Säkerhet Dnr: /

Bilaga 3 Säkerhet Dnr: / stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete

Läs mer

Uppföljning palliativ vård

Uppföljning palliativ vård Revisionsrapport* Uppföljning palliativ vård Eskilstuna kommun Februari 2008 Kerstin Svensson, certifierad kommunal revisor *connectedthinking Innehållsförteckning 1 Uppdraget...3 1.1 Bakgrund...3 1.2

Läs mer

Granskning av IT-säkerhet - svar

Granskning av IT-säkerhet - svar Missiv 1(1) Kommunstyrelsens förvaltning Datum Diarienummer 2016-09-28 KS/2016:222 Handläggare Carina Åsman Tfn 0142-853 73 Kommunstyrelsen Granskning av IT-säkerhet - svar Bakgrund Revisionen har genom

Läs mer

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011 Revisionsrapport Förstudie av personalsystemet Kalmar kommun Caroline Liljebjörn Förstudie av personalsystemet 2011-10-10 Caroline Liljebjörn Stefan Wik Kalmar kommun Förstudie av personalsystemet Innehållsförteckning

Läs mer

Landstingsstyrelsens förvaltning Bilaga N Internkontrollplan (5)

Landstingsstyrelsens förvaltning Bilaga N Internkontrollplan (5) Internkontrollplan 2008 1(5) Styrning och konsekvensanalyser Landstingsstyrelsens förvaltning har en fastställd budget/verksamhetsplan med mätbara mål Landstingsstyrelsens förvaltning tecknar avtal och

Läs mer

Övergripande granskning av IT-driften - förstudie

Övergripande granskning av IT-driften - förstudie MISSIV 1(1) 2013-09-04 LJ2013/1116 Landstingsstyrelsen Övergripande granskning av IT-driften - förstudie Bakgrund Landstingets revisorer har i skrivelse 2013-06-13 redovisat en övergripande granskning

Läs mer

Revisionsrapport. IT-revision Solna Stad ecompanion

Revisionsrapport. IT-revision Solna Stad ecompanion Revisionsrapport IT-revision 2013 Solna Stad ecompanion Fredrik Dreimanis November 2013 Innehållsförteckning Inledning... 3 Avgränsning.3 Granskningens omfattning... 4 Sammanfattning... 5 Observationer

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Granskning av intern kontroll

Granskning av intern kontroll Revisionsrapport Granskning av intern kontroll Kerstin Sikander Cert. kommunal revisor Mars 2013 Landstinget i Jönköpings län Innehållsförteckning 1. Inledning... 1 1.1. Bakgrund och revisionsfråga...

Läs mer

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet.

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet. 2012-08-27 Sidan 1 av 6 IT-säkerhetspolicy Dokumentnamn Dokumenttyp Fastställd/upprättad Diarie nummer Fastställd av IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige Dokumentansvarig/ processägare

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Policy för internkontroll för Stockholms läns landsting och bolag

Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag 2 (6) Innehållsförteckning Policy för internkontroll... 1 för Stockholms

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 11-09-14 dnr A 13 349/ 07 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum Juni 2007 ( rev. September

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system Stockholms läns landsting Landstingsstyrelsens förvaltning SLL Informationssäkerhet SLL IT Handläggare: Vesna Lucassi Landstingsstyrelsens innovationsberedning Ankom Stockholms läns landsting 2015-08-

Läs mer

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012 Göteborg Energi AB Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte 18 december 2012 1 Sammanfattning Med start hösten 2010 har Deloitte, Ernst & Young och PwC på uppdrag av Göteborgs

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

Övergripande granskning IT-driften

Övergripande granskning IT-driften www.pwc.se Övergripande granskning IT-driften Sollentuna Kommun Bakgrund och syfte Inledning Under augusti-september 2013 har på uppdrag av de förtroendevalda revisorerna i Sollentuna kommun genomfört

Läs mer

Granskning av landstingets hantering av personuppgifter

Granskning av landstingets hantering av personuppgifter Granskning av landstingets hantering av personuppgifter Rapport nr 25/2012 Februari 2013 Susanne Hellqvist, revisor, revisionskontoret Innehåll 1. SAMMANFATTNING... 3 1.1 REKOMMENDATIONER... 4 2. BAKGRUND...

Läs mer

Compliancefunktionen och de nya regelverken från FI om intern styrning och kontroll. Lina Rollby Claesson, Compliance Forum

Compliancefunktionen och de nya regelverken från FI om intern styrning och kontroll. Lina Rollby Claesson, Compliance Forum Compliancefunktionen och de nya regelverken från FI om intern styrning och kontroll Lina Rollby Claesson, Compliance Forum Vem är jag och varför dessa frågor? Styrelseledamot i CF sedan start Växelvis

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

1 (7) Arbetsgången enligt BITS-konceptet

1 (7) Arbetsgången enligt BITS-konceptet 1 (7) Arbetsgången enligt BITS-konceptet 2 (7) Innehållsförteckning ALLMÄNT OM BITS-KONCEPTET... 3 CENTRALA BEGREPP... 3 BITS-KONCEPTETS PRODUKTER... 3 KOPPLING TILL ISO 27000... 4 ARBETSGÅNG ENLIGT BITS-KONCEPTET...

Läs mer

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun n av 5 för Munkfors, Forshaga, Kils och Grums kommun April 2005 av IT-samverkansgruppen n 2 av 5. IT-säkerhetspolicyns roll i IT-säkerhetsarbetet. Inledning IT-säkerhet är en del i organisationens lednings-

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts

Läs mer

Löpande granskning av den interna kontrollen. vid Kostnämnden. Landstinget Västmanland. Revisionsrapport

Löpande granskning av den interna kontrollen. vid Kostnämnden. Landstinget Västmanland. Revisionsrapport Revisionsrapport Löpande granskning av den interna kontrollen i administrativa rutiner vid Kostnämnden Landstinget Västmanland Charlotta Fardelius Bert Hedberg Viveca Karlsson 31 maj 2013 Innehållsförteckning

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr:0036/13 Kommunalförbundet ITSAM, Storgatan 36A, 590 36

Läs mer

Landstinget Gävleborg

Landstinget Gävleborg www.pwc.se Revisionsrapport Göran Persson Lingman Lars-Åke Ullström Dec 2014 Gransking av informationssäkerheten Landstinget Gävleborg Innehållsförteckning 1. Sammanfattning, bedömning och rekommendationer...

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer. Botkyrka Kommun Revisionsrapport Generella IT kontroller Aditro och HRM Detaljerade observationer och rekommendationer Oktober 2015 Anders Hägg Fredrik Dreimanis Anna Lång Thomas Bauer Innehållsförteckning

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Beslut: Rektor 2012-01-16 Revidering: - Dnr: DUC 2012/63/10 Gäller fr o m: 2012-01-16 Ersätter: - Relaterade dokument: - Ansvarig

Läs mer

Uppföljning av tidigare granskningar

Uppföljning av tidigare granskningar Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2

Läs mer

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Kommunens revisorer 2013-04-08 GRANSKNING AV INTERNKONTROLLPLANER I HÄRRYDA KOMMUN Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Rapporten

Läs mer

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Gäller från och med 2009-01-01 Dnr 5581/2008-030 Beslut 2008-12-10 Dnr:5581/2008-030 Universitetsdirektören Regler och riktlinjer för IT-säkerhet

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun Datum Dnr Dpl 2009-09-10 2009/KS0203-1 005 Riktlinjer för IT i Lilla Edets kommun 1. Introduktion Det politiskt styrande dokumentet för IT-användning i Lilla Edets kommun är denna riktlinje, som fastställs

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

Landstinget Kronoberg

Landstinget Kronoberg Revisionsrapport december 2012 Genomförd på uppdrag av revisorerna Landstinget Kronoberg Implementering och efterlevnad av reglemente för intern kontroll Innehållsförteckning Sammanfattande diskussion

Läs mer

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016 www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016 Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4

Läs mer

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök Göteborgs universitet 2007-06-26 Intern miljörevision Exempel på frågor vid platsbesök Nedan finns exempel på frågor som kan ställas vid platsbesök inom den interna miljörevisionen. Ytterligare följdfrågor

Läs mer

IT-Policy. Tritech Technology AB

IT-Policy. Tritech Technology AB IT-Policy Tritech Technology AB 1 av 6 Innehåll 1 Dokumentinformation...3 1.1 Syfte och målgrupp 3 1.2 Ansvar 3 1.3 Nyttjande 3 1.4 Distribution 3 1.5 Versionshistorik 3 1.6 Godkännande 3 2 IT-Policy...4

Läs mer

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen Hälso- och sjukvårdsförvaltningen TJÄNSTEUTLÅTANDE 2016-03-03 1 (3) HSN 1506-0806 Handläggare: Bill Heiding, Carina Landberg Hälso- och sjukvårdsnämnden 2016-04-19, p 11 Lokal informationssäkerhetspolicy

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015 Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015 Agenda Tillvägagångssätt för att identifiera IT-relaterade risker. Exempel på olika typer av ITrelaterade granskningar.

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING

SOLLENTUNA FÖRFATTNINGSSAMLING för Sollentuna kommun Antagen av fullmäktige 2011-10-19, 125 Innehållsförteckning 1 Inledning... 2 1.1... 2 1.2 E-vision... 2 1.3 Informationssäkerhetspolicy... 2 2 Styrande principer... 2 2.1 Fokusera

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

Externt finansierade projekt

Externt finansierade projekt Revisionsrapport Externt finansierade projekt Gällivare kommun Mars 2010 Hans Forsström, certifierad kommunal revisor Rolf Särkimukka, revisionskonsult 2010-03-11 Hans Forsström Rolf Särkimukka Innehållsförteckning

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket 15-12-07 1/6 Tillämpningsområde 1 Denna författning innehåller bestämmelser om myndigheternas arbete med informationssäkerhet och deras tillämpning av standarder i sådant arbete. 2 Författningen gäller

Läs mer

Granskning av Intern kontroll

Granskning av Intern kontroll www.pwc.se Revisionsrapport Lars Wigström Cert. kommunal revisor Granskning av Intern kontroll Vingåkers kommun Innehållsförteckning 1. Sammanfattande bedömning och rekommendationer... 1 2. Inledning...3

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Landstingsstyrelsen och den interna kontrollen en inledande belysning

Landstingsstyrelsen och den interna kontrollen en inledande belysning Revisorerna Anders Marmon 2005-02-24 Rev/04078 Landstingsstyrelsen och den interna kontrollen en inledande belysning Rapport 2-05 Sammanfattning Landstingets revisorer har att genomföra årlig granskning

Läs mer