Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet

Storlek: px
Starta visningen från sidan:

Download "Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet"

Transkript

1 Utbildningsnämnden Ordförandeförslag Diarienummer Göran Nilsson (M) UN-2013/279 Utbildningsnämnden Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet UN-2013/279 Förslag till beslut Utbildningsnämnden beslutar att lämna denna skrivelse som svar på revisorernas begäran om yttrande angående revisionsrapport Granskning av IT-säkerhet. Göran Nilsson (M)

2 Handläggare Tjänsteskrivelse Diarienummer Rojda Alpsoy KS-2013/1344 Torbjörn Sjölin UN-2013/279 Utbildningsnämnden Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet UN-2013/279 Förslag till beslut Utbildningsnämnden beslutar att lämna denna skrivelse som svar på revisorernas begäran om yttrande angående revisionsrapport Granskning av IT-säkerhet. Sammanfattning Revisorerna har i skrivelse begärt Utbildningsnämndens yttrade över bifogad revisionsrapport, Granskning av IT-säkerhet som genomfördes i juni Det är tre punkter som Knivsta kommuns revisorer bedömt vara relevanta för Utbildningsnämnden 1. Förvaltningsmodellen ITM5 är inte implementerad fullt ut 2. Avsaknad av enhetliga rutiner i processen för avslut av användare 3. Avsaknad av formella rutiner avseende periodisk granskning av användare Anstånd med svaret har erhållits av revisorernas ordförande Eva Enskär till början av mars för att Utbildningsnämnden ska kunna behandla ärendet på sitt sammanträde i februari Bakgrund Den kommunala revisionen granskar på fullmäktiges uppdrag om kommunens verksamhet sköts på ett ändamålsenligt och från ekonomisk synpunkt tillfredställande sätt, om räkenskaperna är rättvisande och om den interna kontrollen som görs inom nämnderna är tillräcklig. Knivsta kommuns revisorer har efterfrågat ett yttrande från Utbildningsnämnden avseende de iakttagelser de PwC presenterat i sin IT-revision, juni Kommunkontoret Postadress: Knivsta Besöksadress: Knivsta kommunhus, Centralvägen 18 Telefon: Fax: E-post:

3 I det följande kommenteras de punkter som Knivsta kommuns revisorer bedömt vara relevanta för Utbildningsnämnden. 1. Förvaltningsmodellen ITM5 är inte implementerad fullt ut Ett arbete med att implementera Knivsta kommuns förvaltningsmodell pågår för närvarande under ledning av Knivsta kommuns verksamhetsutvecklare. Arbetet har hög prioritet och Utbildningsnämnden kommer att utföra en genomlysning av behovet av personella resurser för att en implementering skall kunna vara genomförd senast Avsaknad av enhetliga rutiner i processen för avslut av användare Utbildningsnämnden delar uppfattningen om vikten av att säkerställa efterlevnaden av den befintliga processen för detta område. Utbildningsnämnden kommer under första halvåret 2014 att analysera bristens underliggande orsak och säkerställa att den befintliga processen är korrekt utformad, samt att en uppföljning genomförs årligen. Arbetet kommer att genomföras i samverkan med IT-enheten. 3. Avsaknad av formella rutiner avseende periodisk granskning av användare Med anledning av ovanstående iakttagelse kommer Utbildningsnämnden under 2014, i samverkan med IT-enheten, att införa rutiner för en årlig granskning av användarbehörigheterna inom nämndens ansvarsområde. Ett tydligt ansvar för denna granskning kommer att definieras och resultaten av genomförda granskningar kommer att arkiveras av spårbarhetsskäl. Rutinen för granskningen kommer primärt att inriktas mot användningen av finansiellt kritiska applikationer. Utbildningsnämnden kommer att samordna denna periodiska granskning med uppföljningen enligt punkt 2 ovan. Bengt Casterud T.f. Utbildningschef Bilaga: Revisionsrapport, Granskning av IT-säkerhet, daterad Kommunkontoret Postadress: Knivsta Besöksadress: Knivsta kommunhus, Centralvägen 18 Telefon: Fax: E-post:

4

5 IT-revision juni 2013*

6 1. Granskningens omfattning I samband med revisionen av de finansiella räkenskaperna för Knivsta kommun har PwC genomfört en granskning av IT-miljön och system vilka bedöms påverka den finansiella rapporteringen. Uppdraget har under maj 2013 genomförts av Fredrik Dreimanis (PwC) under ledning av Magnus Olson-Sjölander (PwC). Rapporten är skriven i avvikelseform, vilket innebär att den endast redovisar de områden där vi identifierat förbättringspotential. Rekommendation för åtgärd presenteras för respektive observation. Granskningen har utförts som en del av vår revisionsstrategi, vilket innebär att våra observationer inte kan förväntas inkludera alla möjliga förbättringar i den interna kontrollen. Vårt arbete har berört de områden vilka redovisas i tabellen intill. Granskningen har syftat till att skapa förståelse för hur IT påverkar verksamheten nom Knivsta kommun. Granskningen har genomförts genom intervjuer med nyckelpersoner på Knivsta kommuns ITavdelning i Knivsta med fokus på områdena i högertabellen. För mer information gällande intervjuade personer se Bilaga A - Intervjuade personer. I samband med revisionen har även föregående revisionsrapport avseende IT beaktats, dock har ingen explicit uppföljning av noterade observationer genomförts. För mer information se avseende dessa observationer se Bilaga B Observationer från föregående granskningar. Förvaltning av ITverksamheten (ITV) Programförändring (PF) - Styrande dokument finns upprättade avseende förvaltning och hantering av IT, - Riskanalyser kopplade till IT och verksamheten finns upprättade, - En tydlig IT-organisation finns definierad, - Tydliga kommunikationsvägar för IT-relaterade frågor i organisationen finns definierat, - Systemsamband för kritiska system finns upprättat, - Projekt vilka påverkar IT finns definierade och är formellt hanterade. - Process och kontroller finns på plats avseende fullständig och riktig hantering av förändringar till kritiska applikationer, vilket inkluderar: - Initiering av förändring, - Test av förändring, - Formellt godkännande av förändringen. Åtkomstkontroll (ÅK) - Process och rutiner finns på plats avseende fullständig och riktig hantering av behörigheter till kritiska applikationer, vilket inkluderar: - Tilldelning, förändring och borttag, - Periodisk granskning av behörigheter, - Hantering av höga behörigheter - Loggning av aktivitet och förändring till kritiska data. Datordrift (DD) - Kontroll att vitala batch jobb genomförs fullständigt och riktigt - Backup av finansiellt kritisk data genomförs fullständigt och riktigt 1

7 Innehållsförteckning Innehållsförteckning 1. Granskningens omfattning Sammanfattning Observationer, rekommendationer och kommunens kommentar... 4 Bilaga A Intervjuade personer Bilaga B Observationer från föregående granskningar Bilaga C Generella IT-kontroller för god intern kontroll inom IT Rapportstruktur Vi har graderat de observationer som diskuteras i denna rapport efter dessas bedömda väsentlighet. Graderingen illustreras med hjälp av trafiksignaler. Även om graderingen ofrånkomligen är subjektiv och innehåller inslag av bedömningar och ställningstaganden kan definitionerna nedan vara vägledande. Rött ljus åsätts en brist med så stor påverkan på system, processer eller intern kontroll att det kan medföra att Knivsta kommun exponeras för betydande förluster, ineffektivitet eller väsentliga fel i den finansiella rapporteringen. Gult ljus åsätts en brist med påverkan på system, processer eller intern kontroll som kan medföra att Knivsta kommun exponeras för förluster, ineffektivitet eller ett betydande fel i den finansiella rapporteringen. Grönt ljus åsätts mindre brister eller fel där risken för otillbörlig användning och/eller felaktigheter i bokföringen är lägre, men där det ändå bedöms finnas utrymme för förbättringar. Rapporten har upprättats för Knivstas kommunledning och dess närstående och får inte hänvisas till eller distribueras till andra. 2

8 2. Sammanfattning Sammanfattning avseende IT-revisionen 2013 I samband med IT-revisonen för Knivsta kommun noterades väsentliga framsteg jämfört med den information PwC har tagit del av från tidigare revisoner. I första hand noterades att IT-funktionen idag är mer integrerad med verksamheten, dvs. fungerar som en stöd funktion i syfte att underlätta för verksamheten att leverera värde till medborgarna i kommunen. ITfunktionen bedrivs som en beställarorganisation med ett antal nyckelleverantörer. Vidare noterades att Knivsta kommun har tagit ett grepp gällande dokumentation och struktur där det idag finns underlag och instruktioner avseende exempelvis: Rutinbeskrivningar för roller (ex. systemägare, systemadministratör etc.), Beskrivningar avseende behörighetshantering, Beskrivning avseende förändringshantering, Systemkarta, IT-strategi, E-strategi, IT-policy. Det noterades även att Knivsta kommun bedriver arbete avseende informations- och IT-säkerhet där bland annat riskanalyser har upprättats för verksamheten i syfte att identifiera risker sam definiera åtgärder för dessa. Knivsta kommun har även utarbetat en projektmodell vilken säkerställer att IT arbetar proaktivt och i enlighet med verksamhetens mål avseende IT. Sammanfattningsvis bedömer PwC att Knivsta kommun har en definierad organisation avseende IT, givet kommunens storlek, med tydliga kopplingar och kommunikationsvägar till organisationen. Vidare bedöms det finnas grundläggande förutsättningar för att uppnå god intern kontroll avseende förvaltning och vidareutveckling av IT. intern kontroll definieras (se förslag enligt Bilaga C Generella ITkontroller för god intern kontroll inom IT ). Sammanfattning av årets observationer Vår observation från granskningen sammanfattas i nedan tabell ( Observationer 2013 ). Varje observation är graderade efter trafikljusmodellen beskriven tidigare i rapporten. Även om graderingen ofrånkomligen är subjektiv och innehåller inslag av bedömningar och ställningstaganden kan definitionerna nedan vara vägledande. Referensnumret i denna tabell hänvisar till numrering i kapitlet 3 Observationer, rekommendationer och bolagets kommentar, där en detaljerad beskrivning återfinns för varje observationen med relaterad risk och den rekommendation vi bedömer rimlig för att begränsa risken. Observationer 2013 Ref. Observation Prioritet 1. Förvaltningsmodellen ITM5 är inte implementerad fullständigt. 2. Avsaknad av enhetligt i processen för avslut av användare. 3. Avsaknad av formella rutiner avseende periodisk granskning av användare. 4. Stort antal användare med hög behörighet i nätverk. För att ytterligare förstärka den generella interna kontrollen inom IT-området rekommenderar vi att Knivsta kommun inför ett ramverk där miniminivån av 3

9 3 Observationer, rekommendationer och kommunens kommentar Granskningsområde Gradering Observationer 1. Förvaltning av ITverksamheten (ITV) Förvaltningsmodellen ITM5 är inte implementerad fullständigt. Knivsta kommun har inte implementerat förvaltningsmodellen fullständigt. Vidare noterades att IT-säkerhet inte är en del av modellen. Avsaknad av riktlinjer och instruktioner för IT-verksamheten ökar risken för en förvaltning som inte förenlig med verksamheten. En ineffektiv IT-verksamhet kan påverka den operativa effektiviteten i verksamheten samt få effekter på transaktioner och data vilken påverkar den finansiella informationen. Rekommendation: PwC rekommenderar att Knivsta kommun fortsätter arbetet med att implementera förvaltningsmodellen ITM5 i syfte att säkerställa tydliga och ändamålsenliga IT-processer vilka stödjer verksamheten och IT-strategin. Kommunens kommentar: Arbete pågår och har hög prioritet. 2. Åtkomstkontroll (ÅK) Avsaknad av enhetligt i processen för avslut av användare. Processen avseende avslut av användare efterlevs ej vid alla tillfällen vilket medför att det kan finnas aktiva konton för användare vilka har avslutat sin anställning inom kommunen. Bristande rutin för avslut av konton kan leda till att felaktiga behörigheter finns kvar i systemen. Felaktiga behörigheter kan leda till användare med åtkomst vilka inte är förenliga med deras arbetsuppgifter. Användare med felaktiga behörigheter ökar risken för felaktiga eller bedrägliga transaktioner vilka kan påverka data som är kritisk för den finansiella informationen. Rekommendation: PwC rekommenderar att Knivsta kommun säkerställer efterlevnad avseende rutinen för avslut av konton. Detta i syfte att säkerställa att användare som slutat alternativt ändrat position inom företaget har behörigheter vilken motsvarar deras arbetsuppgifter. Kommunens kommentar: Arbete med att stödja respektive verksamhets kontroll av att rätt behörigheter är aktuella för respektive användare kan hanteras i samband med de respektive boksluten och rapporter om utförd 4

10 3 Observationer, rekommendationer och kommunens kommentar Granskningsområde Gradering Observationer egenkontroll kan hanteras av IT centralt om uppdrag ges. 3. Åtkomstkontroll (ÅK) Avsaknad av formella rutiner avseende periodisk granskning av användare. Det noterades att ingen formell rutin finns på plats vilken säkerställer att periodisk granskning av användarbehörigheter till kritiska applikationer genomförs. Avsaknad av periodisk granskning ökar risken för användare vilka inte har behörighet i enlighet med sina arbetsuppgifter. Felaktiga behörigheter ökar risken för bedräglig eller otillåtna transaktioner. Bedrägliga eller otillåtna transaktioner kan påverka data vilken är kritisk för den finansiella informationen. Rekommendation: PwC rekommenderar att Knivsta kommun som minimum granskar behörigheter i finansiellt kritiska applikationer en gång per år. Granskningen bör säkerställa att användare endast har behörighet i enlighet med sina arbetsuppgifter. Underlag från granskningen bör arkiveras i syfte att skapa spårbarhet samt stärka den interna kontrollen gällande behörigheter. Kommunens kommentar: Se ovan. 4. Åtkomstkontroll (ÅK) Stort antal användare med hög behörighet i nätverket. Genom granskning noterades att det finns 122 användare med behörigheten Domän Administratör. Baserat på antalet anställda inom IT samt organisationens storlek bedöms antal användare med hög behörighet i operativsystemet som hög samt ej förenlig med god intern kontroll avseende IT. Användare med hög åtkomst till funktioner och transaktioner kan påverka data vilken är kritisk för den finansiella informationen. Hög åtkomst i applikation, databas och infrastruktur bör vara begränsad till användare vilka behöver detta i enlighet med sina arbetsuppgifter. Rekommendation: PwC rekommenderar att Knivsta kommun analyserar behovet av användare med hög behörighet i domänen och begränsar antalet till användare vilka behöver detta i enlighet med sina arbetsuppgifter. 5

11 3 Observationer, rekommendationer och kommunens kommentar Granskningsområde Gradering Observationer Kommunens kommentar: Arbete med att begränsa antalet användare med hög behörighet pågår och aktualiseras i samband med uppgraderingen av nätverksoperativet på klienterna. Många äldre verksamhetsapplikationer kräver hög behörighet för att fungera prickfritt. 6

12 Bilaga A Intervjuade personer Följande personer har under januari 2013 intervjuats i samband med IT-revisionen av Knivsta kommun. Kontakt Anders Fredriksson Djamel Bhougaf Rojda Alpsoy Roll Strategisk IT-chef Servicesamordnare Verksamhetsutvecklare 7

13 Bilaga B Observationer från föregående granskningar Nedan är sammanfattning av de observationer vilka noterats vid tidigare granskningar. PwC har i samband med denna granskning tagit hänsyn till tidigare observationer vid informationsinsamlingen inför granskningen, dessa har dock inte varit del i omfattning vid ovan genomförd granskning. Observationerna är hämtad från rapporten Knivsta kommun - Rapport Uppföljning granskning 2008.doc, vilka är upprättad av dåvarande extern revisor (Ernst & Young). Ref Kontroll nr. Kontroll mål Observation 2.1 Organisation av Kontroll 2 informationssäkerheten Finns det en informationssäkerhetssamordnare/ funktion som ansvarar för informationssäkerheten? Informationssäkerhetssamordnare köps på timme i samverkan med Heby kommun. 2.2 Hantering av tillgångar Kontroll 8 Är organisationens information klassad avseende sekretess/ riktighet/tillgänglighet? Processen pågår. 2.2 Hantering av tillgångar Kontroll 11 Finns det upprättat dokument för hur informationsbehandlingsresurser får användas? Omarbetas i samband med driftsleverantörsbytet. 2.3 Personalresurser och säkerhet Kontroll 14 Har systemägaren definierat vilka krav som ställs på användare som får tillgång till informationssystem och information? Nej, det är respektive systemförvaltare som skall ställa dessa krav. 2.3 Personalresurser och säkerhet Kontroll 17 Finns det användarmanual för ett informationssystem att tillgå? Delvis, framtaget lathundar och manualer. Varierande i verksamheten. Ingår i systemansvarsrollen. 2.3 Personalresurser och säkerhet Kontroll 18 Dras åtkomsträtten till information och informationsbehandlingsresurser in vid avslutande av anställning eller vid förflyttning? Delvis, finns rutin för avslut av anställda som inte alltid efterlevs. ITstrateg går igenom AD en gång i kvartalet. Användarkonton stängs om de inte har använts på tre månader. Fungerar inte alltid och kontrollen bör stärkas. 8

14 Bilaga B Observationer från föregående granskningar Ref Kontroll nr. Kontroll mål Observation 2.4 Fysisk och miljörelaterad säkerhet Kontroll 19 Finns funktioner för att förhindra obehörigt fysiskt tillträde till organisationens lokaler och information? Systemet för inpassering har uppdaterats och största hålen täckta. 2.4 Fysisk och miljörelaterad säkerhet Kontroll 24 Är korskopplingsskåp låsta? Åtgärdat. 2.5 Styrning av kommunikation och drift Kontroll 42 Är det möjligt att logga säkerhetsrelevanta händelser? Delvis, hanteras av Systeam vad gäller loggning i brandväggen och där IT-samordnaren tar emot avvikelser. Loggar även i AD som sparas i en månad rullande, tittar på detta ad hoc. Brandväggslogg sparas i tre månader. Skall även ske loggning på verksamhetssystemen med systemansvariga som gör detta. 2.5 Styrning av kommunikation och drift 2.5 Styrning av kommunikation och Kontroll 48 Kontroll 49 Finns olika typer av autentiseringsmetoder med olika grad av skydd? Sparas revisionsloggar för säkerhetsrelevanta händelser? drift 2.6 Styrning av åtkomst Kontroll 50 Har organisationen satt upp dokumenterade regler för åtkomst/tillträde för tredjeparts åtkomst till information eller informationssystem? 2.6 Styrning av åtkomst Kontroll 53 Begränsas samtliga administratörers rättigheter till en behörighet som motsvarar arbetsuppgifterna eller tilldelas de fullständiga systembehörigheter? SITHS-kort under införande för medicinska journaler och inloggning mot apotekens e-dostjänst. Delvis, se kontroll 42. Personal från driftsleverantör har avtal och tystnadsförbindelse. Vad gäller tredjepartsleverantörer är det nog tyvärr mer flytande. Delvis, driftsleverantören skall inte ha några behörigheter i verksamhetssystemen. I AD:et har driftsleverantören ett antal personliga domainadminkonton för driften. IT-samordnaren har behörigheten Enterprise administrator. 2.6 Styrning av åtkomst Kontroll 54 Har organisationen en dokumenterad rutin för tilldelning, förändring eller borttag av behörighet? Är de kommunicerade till ansvarig för behörigheter? Instruktion för förvaltning är kommunicerad i samband med utbildning i "Chefskörkortet". Chef har sedan ansvar att sprida det till berörd personal. 9

15 Bilaga B Observationer från föregående granskningar Ref Kontroll nr. Kontroll mål Observation 2.6 Styrning av åtkomst Kontroll 61 Finns en dokumenterad brandväggspolicy där det beskrivs vilka tjänster brandväggen skall tillhandahålla? Är under utarbetande i samverkan med Informationssäkerhetssamordnare. 2.7 Anskaffning, utveckling och underhåll av informationssystem Kontroll 67 Har systemsäkerhetsanalys upprättats och dokumenterats för varje informationssystem som bedöms som viktigt? Under arbete: ett flertal äldre system är avslutade och dokumentation påbörjad. 2.7 Anskaffning, utveckling och underhåll av informationssystem Kontroll 71 Finns det dokumenterade regler för hur systemoch programförändringar ska genomföras? Finns i IT-säkerhetsinstruktion Förvaltning, projekthandbok beslutad av ledningsgrupp 10

16 Bilaga C Generella IT-kontroller för god intern kontroll inom IT Ref Subprocess Kontroll mål Beskrivning av IT-kontroll 1 Programutveckling 2 Programutveckling 3 Programutveckling 4 Programutveckling Alla nödvändiga moment inom programutveckling är formellt definierade. Data från gamla system konverteras fullständigt och korrekt, utan obehöriga förändringar. Åtkomst är begränsad och enbart behöriga personer har åtkomst att förändra program och data i produktionsmiljön. All utveckling godkänns av ansvarig chef innan produktionssättning. Ledningen har etablerat en process för systemutveckling som innefattar krav på utvecklingsprojekt. Då datamigrering krävs ska migreringen granskas och godkännas av ansvarig chef inom affärsverksamheten. Utvecklare, eller annan person med åtkomst att förändra källkod eller konfigurationsfiler före implementation, ska inte ha åtkomst till produktionsmiljön. Ansvarig chef granskar och godkänner alla förändringsärenden innan utvecklingsprojektet produktionssätts. 5 Programförändringar Alla nödvändiga moment inom programförändring är formellt definierade. Ledningen har en dokumenterad programförändringsprocess. Alla programförändringar som ska genomföras är dokumenterade. 6 Programförändringar 7 Programförändringar Alla förändringar är dokumenterade samt testade och godkända av verksamhetssidan. Alla förändringar är godkända av ansvarig chef innan produktionssättning. För alla programförändringar ska testresultat granskas och godkännas av ansvarig chef inom affärsverksamheten. Ansvarig chef granskar och godkänner alla förändringsärenden innan förändringen produktionssätts. 8 Programförändringar Åtkomst är begränsad och enbart behöriga personer har åtkomst att förändra program och data i produktionsmiljön. Utvecklare, eller annan person med åtkomst att förändra källkod eller konfigurationsfiler före implementation, ska inte ha åtkomst till produktionsmiljön. 11

17 Bilaga C Generella IT-kontroller för god intern kontroll inom IT Ref Subprocess Kontroll mål Beskrivning av IT-kontroll 9 Åtkomst till program och data Relaterade policies och rutiner ska vara designade och implementerade för att stödja den finansiella verksamhetens krav på riktighet. Säkerhetspolicies och rutinbeskrivningar är definierade och dokumenterade. 10 Åtkomst till program och data Åtkomst till applikationer, data och operativsystem är tillbörligt begränsad till enbart auktoriserade personer vars behörigheter stämmer överens med deras arbetsuppgifter. Begäran om ny användarbehörighet, eller förändring av existerande användarbehörighet, granskas och godkänns av ansvarig chef. 11 Åtkomst till program och data Åtkomst till applikationer, data och operativsystem är tillbörligt begränsad till enbart auktoriserade personer vars behörigheter stämmer överens med deras arbetsuppgifter. Ansvarig chef genomför en periodisk granskning av användarbehörigheter i signifikanta applikationer, databaser och operativsystem för att avgöra om bara aktiva anställda har åtkomst till systemen och att användarbehörigheter stämmer överens med arbetsuppgifter. 12 Åtkomst till program och data Säkerhetskonfigurationer är inställda i enlighet med definierade standarder och granskas regelbundet för att säkerställa efterlevnad. Periodiska granskningar av säkerhetskonfigurationer genomförs för att säkerställa att inga obehöriga ändringar har gjorts. Förändringar av konfigurationer ska följa programförändringsprocessen. 13 Åtkomst till program och data Systemanvändare med höga behörigheter övervakas avseende obehöriga aktiviteter. Ansvarig chef genomför en periodisk granskning av de aktiviteter som utförs av användare med höga behörigheter (t.ex. systemadministratörer i applikationer och databasadministratörer) för att säkerställa att inga obehöriga aktiviteter har utförts. 14 IT-drift Schemalagda jobb övervakas avseende fullständigt slutförande. Ansvarig chef övervakar att schemalagda jobb slutförs fullständigt. Om ofullständiga avslut på schemalagda jobb upptäcks ska dessa undersökas och alla fel hanteras. 12

Revisionsrapport. IT-revision Solna Stad ecompanion

Revisionsrapport. IT-revision Solna Stad ecompanion Revisionsrapport IT-revision 2013 Solna Stad ecompanion Fredrik Dreimanis November 2013 Innehållsförteckning Inledning... 3 Avgränsning.3 Granskningens omfattning... 4 Sammanfattning... 5 Observationer

Läs mer

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017 Region Gotland Generella IT kontroller Visma och HR Plus Detaljerade observationer och rekommendationer Februari 2017 Fredrik Dreimanis Jonas Leander Innehållsförteckning Sammanfattning av granskningen...

Läs mer

Uppföljningsrapport IT-revision 2013

Uppföljningsrapport IT-revision 2013 Revisionsrapport Uppföljningsrapport IT-revision 2013 Solna Stad Raindance Fredrik Dreimanis November 2013 1 av 10 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning... 5

Läs mer

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT Revisionsrapport 3/2012 Genomförd på uppdrag av revisorerna Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT Nicklas Samuelsson Magnus Nilsson

Läs mer

Granskning av applikationenn Basware oktober 2012*

Granskning av applikationenn Basware oktober 2012* Granskning av applikationenn Basware 2012 22 oktober 2012* 1. Granskningens omfattning PwC har på uppdrag av revisionskontoret (Kjell Johansson) genomfört en granskning av applikationen Basware. Syftet

Läs mer

Granskning av generella IT-kontroller för PLSsystemet

Granskning av generella IT-kontroller för PLSsystemet F Ö R S V A R E T S M A T E R I E LV E R K (F M V ) 115 88 S T O C K HO LM Försvarets materielverk (FMV) Granskning av generella IT-kontroller för PLSsystemet vid Försvarets materielverk (FMV) Som ett

Läs mer

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer. Botkyrka Kommun Revisionsrapport Generella IT kontroller Aditro och HRM Detaljerade observationer och rekommendationer Oktober 2015 Anders Hägg Fredrik Dreimanis Anna Lång Thomas Bauer Innehållsförteckning

Läs mer

Granskning av IT-säkerhet

Granskning av IT-säkerhet TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Granskning av generella IT-kontroller för ett urval system vid Skatteverket SKATTEVERKET 171 94 SOLNA Granskning av generella IT-kontroller för ett urval system vid Skatteverket Som ett led i granskningen av årsredovisningen med syfte att göra uttalanden om denna har Riksrevisionen

Läs mer

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket 171 94 Solna. Datum Dnr 2012-02-03 32-2011-0544

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket 171 94 Solna. Datum Dnr 2012-02-03 32-2011-0544 Revisionsrapport Skatteverket 171 94 Solna Datum Dnr 2012-02-03 32-2011-0544 Revision av uppbördsprocessen Moms 1 Inledning Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787

Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787 Göran Nilsson Ordförandens förslag Diarienummer Kommunstyrelsens ordförande Datum KS-2010/605 2012-02-15 Kommunstyrelsen Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

Landstinget i Värmland Granskning av generella IT-kontroller. Revisionsrapport

Landstinget i Värmland Granskning av generella IT-kontroller. Revisionsrapport Landstinget i Värmland Granskning av generella IT-kontroller Revisionsrapport November 2012 Inledning Granskningen av de generella IT-kontrollerna kring ekonomisystemet Raindance har påvisat ett antal

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Revision av den interna kontrollen kring uppbördssystemet REX

Revision av den interna kontrollen kring uppbördssystemet REX 1 Revision av den interna kontrollen kring uppbördssystemet REX 1 Inledning Riksrevisionen har som ett led i den årliga revisionen 2012 av Kronofogdemyndigheten (KFM) granskat den interna kontrollen kring

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Svar till kommunrevisionen avseende genomförd IT-revision

Svar till kommunrevisionen avseende genomförd IT-revision Kommunkansliet TJÄNSTESKRIVELSE Datum: Sida: 2011-11-11 1 (6) Handläggare: Dokumentnamn: DokumentID Version: Victoria Galbe, Magnus Lindén och Per Nordén Svar till kommunrevisionen beträffande Genomförd

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Mjölby kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Systemförvaltnings Modell Ystads Kommun(v.0.8) IT avdelningen Piparegränd 3 271 42 Ystad Systemförvaltnings Modell Ystads Kommun(v.0.8) S.M.Y.K Beskrivningar och hänvisningar till rutiner och riktlinjer som ligger till grund för ett tryggt förvaltande

Läs mer

Datum 2014-04-11. Kommunrevisionen: Granskning av generalla IT-kontroller 2013

Datum 2014-04-11. Kommunrevisionen: Granskning av generalla IT-kontroller 2013 ta,xj -Zoty-OG-I^ Uppsala "KOMMUN A retat. 4-5 KONTORET FÖR BARN, UNGDOM OCH ARBETSMARKNAD Handläggare Wicks Elaine Datum 2014-04-11 Diarienummer BUN-2014-0631 Barn och ungdomsnämnden Kommunrevisionen:

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Granskning av informationssäkerhet inom Landstinget i Kalmar län

Granskning av informationssäkerhet inom Landstinget i Kalmar län Landstingsdirektörens stab Kanslienheten TJÄNSTESKRIVELSE Sida 1(1) Datum 2015-06-29 Diarienummer 150246 Landstingsstyrelsen Granskning av informationssäkerhet inom Landstinget i Kalmar län Förslag till

Läs mer

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång.  Informationssäkerhetsspecialister: www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet angående externt och internt dataintrång Informationssäkerhetsspecialister: Pernilla Nordström Viktor Bergvall Victor Svensson Kommunalrevisor:

Läs mer

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen 2014-05-16 dnr 017721-2014

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen 2014-05-16 dnr 017721-2014 Riksrevisionen årlig revision 1 (14) 5.2 Systemgenererade listor över applikationsförändringar kan för närvarande inte produceras. Avsaknad av fullständiga listor över applikationsförändringar som har

Läs mer

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun Datum Dnr Dpl 2009-09-10 2009/KS0203-1 005 Riktlinjer för IT i Lilla Edets kommun 1. Introduktion Det politiskt styrande dokumentet för IT-användning i Lilla Edets kommun är denna riktlinje, som fastställs

Läs mer

2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM

2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM Uddevalla kommun Granskning av IT-säkerheten 2013-09-25 cutting through complexity TM Innehållsförteckning Kontaktperson vid KPMG: Henrik Leffler Manager, KPMG Göteborg Sammanfattning Tel: 031 614826 Mobil:

Läs mer

Anvisning om riskhantering och internrevision i värdepapperscentraler

Anvisning om riskhantering och internrevision i värdepapperscentraler tills vidare 1 (11) Till värdepapperscentralerna Anvisning om riskhantering och internrevision i värdepapperscentraler Finansinspektionen meddelar med stöd av 4 2 punkten lagen om finansinspektionen följande

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

Granskning av IT-säkerhet - svar

Granskning av IT-säkerhet - svar Missiv 1(1) Kommunstyrelsens förvaltning Datum Diarienummer 2016-09-28 KS/2016:222 Handläggare Carina Åsman Tfn 0142-853 73 Kommunstyrelsen Granskning av IT-säkerhet - svar Bakgrund Revisionen har genom

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

INFORMATIONSSÄKERHETSGRANSKNING AV PARAPLYSYSTEMETS APPLIKATION PARASOL

INFORMATIONSSÄKERHETSGRANSKNING AV PARAPLYSYSTEMETS APPLIKATION PARASOL STADSREVISIONEN www.stockholm.se/revision Nr 6 September 2008 DNR 420-117/2008 Revisionsrapport INFORMATIONSSÄKERHETSGRANSKNING AV PARAPLYSYSTEMETS APPLIKATION PARASOL Stadsdelsnämndernas tilldelning av

Läs mer

Uppföljning av tidigare granskningar

Uppföljning av tidigare granskningar Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2

Läs mer

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012 Göteborg Energi AB Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte 18 december 2012 1 Sammanfattning Med start hösten 2010 har Deloitte, Ernst & Young och PwC på uppdrag av Göteborgs

Läs mer

Ystad kommun. Rapport: IT-revision. Göteborg, 2011-07-07

Ystad kommun. Rapport: IT-revision. Göteborg, 2011-07-07 Ystad kommun Rapport: IT-revision Göteborg, 2011-07-07 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Ystad kommun har Ernst & Young genomfört en IT-revision i kommunen. IT-revisionens

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Motala kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA 2014-03-14 1 (7) RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA Riktlinjen är ett komplement till den policy som finns kring it-säkerhet i Höganäs kommun. Riktlinjen beskriver hur ansvarsfördelningen

Läs mer

Region Skåne Granskning av IT-kontroller

Region Skåne Granskning av IT-kontroller Region Skåne Granskning av IT-kontroller Per Stomberg Niklas Westerlund Deloitte AB Januari 2016 2 Innehållsförteckning 1. Sammanfattning... 3 2. Inledning... 4 2.1 Bakgrund och syfte... 4 2.2 Revisionskriterier...

Läs mer

Styrning av behörigheter

Styrning av behörigheter Revisionsrapport Styrning av behörigheter i journalsystem Landstinget i Östergötland Janne Swenson Kerem Kocaer Jens Ryning Eva Andlert, cert. kommunal revisor Styrning av behörigheter i journalsystem

Läs mer

Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept 2010. Haninge kommun. Rapport: IT-revision, granskning av informationssäkerheten

Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept 2010. Haninge kommun. Rapport: IT-revision, granskning av informationssäkerheten Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept 2010 Haninge kommun Rapport: IT-revision, granskning av informationssäkerheten Sammanfattning Bakgrund På uppdrag av de förtroendevalda

Läs mer

Datum 2013-03-27. Kommunrevisionen: Angående stödsystem Heroma och Agresso

Datum 2013-03-27. Kommunrevisionen: Angående stödsystem Heroma och Agresso KS 14 7 MAJ 2013 KOMMUNLEDNINGSKONTORET Handläggare Frändén Bo Huss-Landström Maria Datum 2013-03-27 Diarienummer KSN-2012-1227 Kommunstyrelsen Kommunrevisionen: Angående stödsystem Heroma och Agresso

Läs mer

Granskning intern kontroll

Granskning intern kontroll Revisionsrapport Granskning intern kontroll Kinda kommun Karin Jäderbrink Cert. kommunal revisor Innehållsförteckning 1 Sammanfattande bedömning 1 2 Bakgrund 2 2.1 Uppdrag och revisionsfråga 2 2.2 Avgränsning

Läs mer

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll Revisionsrapport KPMG AB Antal sidor: 9 Innehåll 1. Sammanfattning och kommentarer/rekommendationer 1 2. Uppdrag 2

Läs mer

Övergripande granskning av ITverksamheten. Härryda kommun

Övergripande granskning av ITverksamheten. Härryda kommun Övergripande granskning av ITverksamheten i Härryda kommun Våren 2011 INNEHÅLLSFÖRTECKNING 1. Inledning... 3 2. Bakgrund... 3 3. Metod... 4 3.1 Representanter... 5 4. Övergripande sammanfattning... 6 5.

Läs mer

Granskning av bokslutsprocessen

Granskning av bokslutsprocessen www.pwc.se Revisionsrapport Martin Westholm Granskning av bokslutsprocessen Motala kommun Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Bakgrund... 2 2.2.

Läs mer

IT-Säkerhetsinstruktion: Förvaltning

IT-Säkerhetsinstruktion: Förvaltning n av 7 för Munkfors, Forshaga, Kils och Grums kommun april 2006 av IT-samverkansgruppen n 2 av 7 IT SÄKERHETSINSTRUKTION: FÖRVALTNING Innehållsförteckning IT-säkerhetsinstruktion Förvaltnings roll i IT-säkerhetsarbetet...3

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010. Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen

Läs mer

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhetsanvisningar Förvaltning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Förvaltning i enlighet med rektors beslut fattat den 16 februari 2010 (dnr 020-09-101). Gäller från och med den

Läs mer

Revisionsrapport: Uppföljning av rapport Genomlysning av IFO

Revisionsrapport: Uppföljning av rapport Genomlysning av IFO Revisorerna Socialnämnden För kännedom: Kommunstyrelsen Kommunfullmäktiges presidium Revisionsrapport: Uppföljning av rapport Genomlysning av IFO Revisionen har genom KPMG genomfört en uppföljning av rapporten

Läs mer

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Kommunens revisorer 2013-04-08 GRANSKNING AV INTERNKONTROLLPLANER I HÄRRYDA KOMMUN Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Rapporten

Läs mer

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet Riktlinjer Handläggare Vårt diarienummer Datum Sidan 1(8) Jonas Åström KS2016/222 VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL Sandvikens kommuns Riktlinjer för informationssäkerhet

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

Övergripande IT- och informationssäkerhet

Övergripande IT- och informationssäkerhet Övergripande IT- och informationssäkerhet Landstinget Dalarna 4 februari 2011 PwC Technology Risk Services Jon Arwidson Magnus Olson-Sjölander Christian Svensson Sammanfattning På uppdrag av de förtroendevalda

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

IT-Policy. Tritech Technology AB

IT-Policy. Tritech Technology AB IT-Policy Tritech Technology AB 1 av 6 Innehåll 1 Dokumentinformation...3 1.1 Syfte och målgrupp 3 1.2 Ansvar 3 1.3 Nyttjande 3 1.4 Distribution 3 1.5 Versionshistorik 3 1.6 Godkännande 3 2 IT-Policy...4

Läs mer

www.pwc.com/se Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012

www.pwc.com/se Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012 www.pwc.com/se Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012 Innehållsförteckning 1. Bakgrund och syfte 2. Metod för granskning 3. Deltagande personer 4.

Läs mer

Revisionsrapport Övergripande granskning av intern kontroll Tandvårdsnämnden 2015

Revisionsrapport Övergripande granskning av intern kontroll Tandvårdsnämnden 2015 Revisionsrapport Övergripande granskning av intern kontroll Tandvårdsnämnden 2015 Emil Forsling Auktoriserad revisor Fredrik Winter Innehållsförteckning 1. Bakgrund... 3 1.1 Revisionsfråga... 3 1.2 Metod...

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Granskning av intern kontroll i kommunens huvudboksprocess

Granskning av intern kontroll i kommunens huvudboksprocess Revisionsrapport Granskning av intern kontroll i kommunens huvudboksprocess Marks kommun Andreas Crusell Erik Sellergren Augusti 2015 Innehållsförteckning 1. Introduktion... 1 1.1. Bakgrund och revisionsfråga...

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 07-05-24 dnr A 13 349/ 07 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum Juni 2007 Publicerad Beslutsfattare

Läs mer

Svar till revisorerna angående intern kontroll och återrapportering av delegationsbeslut UN-2014/

Svar till revisorerna angående intern kontroll och återrapportering av delegationsbeslut UN-2014/ Utbildningsnämnden Ordförandeförslag Diarienummer Klas Bergström (M) 2014-01-08 UN-2014/ Utbildningsnämnden Svar till revisorerna angående intern kontroll och återrapportering av delegationsbeslut UN-2014/

Läs mer

Granskning av Intern kontroll

Granskning av Intern kontroll www.pwc.se Revisionsrapport Lars Wigström Cert. kommunal revisor Granskning av Intern kontroll Vingåkers kommun Innehållsförteckning 1. Sammanfattande bedömning och rekommendationer... 1 2. Inledning...3

Läs mer

Granskning av bokslutsprocessen

Granskning av bokslutsprocessen www.pwc.se Revisionsrapport Martin Westholm Granskning av bokslutsprocessen Mjölby kommun Innehållsförteckning 1. Sammanfattning... 1 2. Inledning... 2 2.1. Bakgrund... 2 2.2. Uppdrag... 2 2.3. Metod och

Läs mer

Granskning av intern kontroll 2011 - svar på revisionsskrivelse

Granskning av intern kontroll 2011 - svar på revisionsskrivelse STYRELSEN SAMMANTRÄDES PROTOKOLL 30 (36) Sammanträdesdatum Paragraf Kommunstyrelsen 30 januari 2012 19 Diarienummer KS-2011/1 036.912 Granskning av intern kontroll 2011 - svar på revisionsskrivelse Kommunstyrelsens

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Uppföljning avseende granskning av attestrutiner

Uppföljning avseende granskning av attestrutiner Revisionsrapport Uppföljning avseende granskning av attestrutiner Nynäshamns kommun December 2010 Jonas Eriksson Innehållsförteckning 1 Inledning... 1 1.1 Syfte och revisionsfråga... 1 1.2 Avgränsning

Läs mer

Återrapportering till Länsstyrelsen angående utlåtande över Knivsta kommuns tillsyn enligt miljöbalken KS-2011/177

Återrapportering till Länsstyrelsen angående utlåtande över Knivsta kommuns tillsyn enligt miljöbalken KS-2011/177 Göran Nilsson FÖRSLAG TILL BESLUT Kommunstyrelsens ordförande 2011-09-12 Kommunstyrelsen Återrapportering till Länsstyrelsen angående utlåtande över Knivsta kommuns tillsyn enligt miljöbalken KS-2011/177

Läs mer

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium Revisorerna 1 (1) Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden För kännedom: Kommunfullmäktiges presidium Revisionsrapport: Revisorerna har uppdragit till

Läs mer

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion.

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion. SKRIVELSE 2016-06-07 Kommunrevisionen Till Kommunstyrelsen Till Kommunfullmäktige, för kännedom Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion. Vi har genomfört en

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem Karin Norrman Elgh Översiktlig revisionsrapport Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem Vara kommun Anställningar och avslut i lönesystemet

Läs mer

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning 2008. 1. Sammanfattning

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning 2008. 1. Sammanfattning Revisionsrapport Sveriges Lantbruksuniversitet Box 7070 750 07 Uppsala Datum Dnr 2009-03-30 32-2008-0760 Sveriges Lantbruksuniversitets årsredovisning 2008 Riksrevisionen har granskat Sveriges Lantbruksuniversitets

Läs mer

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016 www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016 Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4

Läs mer

Granskning av IT-säkerheten inom Lunds kommun

Granskning av IT-säkerheten inom Lunds kommun Revisionsrapport 2015 Genomförd på uppdrag av revisorerna Juni 2015 Granskning av IT-säkerheten inom Lunds kommun Innehållsförteckning 1 Sammanfattning... 4 1.1 Bakgrund...4 1.2 Övergripande slutsatser...4

Läs mer

Kommunrevisorerna granskar. UMEÅ KOMMUN Granskning av IT- och informationssäkerhet.

Kommunrevisorerna granskar. UMEÅ KOMMUN Granskning av IT- och informationssäkerhet. Kommunrevisorerna granskar UMEÅ KOMMUN Granskning av IT- och informationssäkerhet. Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Umeå har EY genomfört en granskning av IT- och

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

Uppföljning av tidigare granskning

Uppföljning av tidigare granskning Uppföljning av tidigare granskning Härnösands kommun Maj 2015 Innehåll Sammanfattning 1 Uppdrag och bakgrund 1 Revisionsfråga 1 Revisionskriterier 1 Svar på revisionsfrågan 1 1. Inledning 2 Uppdrag och

Läs mer

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll KIRUNA KOMMUN Bilaga 1 Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll Innehåll sida 1. Intern styrning och kontroll 2 2. Riskanalys 3 - Övergripande

Läs mer

IT-verksamheten, organisation och styrning

IT-verksamheten, organisation och styrning IT-verksamheten, organisation och styrning KPMG Örebro 27 februari 2007 Antal sidor 12 Innehåll 1. Inledning 1 2. Syfte 1 3. Metod 1 4. Sammanfattning 2 5. IT-verksamhet, organisation och ansvar 3 5.1.1

Läs mer

Revisionsrapport Rutiner och intern styrning och kontroll 2016

Revisionsrapport Rutiner och intern styrning och kontroll 2016 T R A N S P O R T S T Y R E LSEN 601 73 N O R R K Ö P I N G B E S LUT: 20 1 7-04- 12 Transportstyrelsen Revisionsrapport Rutiner och intern styrning och kontroll 2016 Som ett led i granskningen av årsredovisningen

Läs mer

Vetlanda kommun. Granskning avseende IT- och informationssäkerhet enligt BITS

Vetlanda kommun. Granskning avseende IT- och informationssäkerhet enligt BITS Revisionsrapport 2013 Genomförd på uppdrag av de förtroendevalda revisorerna i Vetlanda kommun Vetlanda kommun Granskning avseende IT- och informationssäkerhet enligt BITS Innehållsförteckning Sammanfattning...

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Informationssäkerhet Riktlinje Förvaltning

Informationssäkerhet Riktlinje Förvaltning Informationssäkerhet Riktlinje Förvaltning Fastställd av kommundirektören 2011-06-20 Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar 4 2.1 Informationssäkerhetssamordnare... 4 2.2 IT-chef...

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Stockholms Stadshus AB. Granskning av IT-intern kontroll 11 December 2014

Stockholms Stadshus AB. Granskning av IT-intern kontroll 11 December 2014 Stockholms Stadshus AB Granskning av IT-intern kontroll 11 December 2014 Innehåll Innehåll 1. Inledning 1.1 Sammanfattning 2. Introduktion 2.1 Bakgrund syfte 2.2 Omfattning av granskning 2.3 Utvärderingskriterier

Läs mer

EBITS 2003-10-14 Energibranschens IT-säkerhetsforum

EBITS 2003-10-14 Energibranschens IT-säkerhetsforum EBITS 2003-10-14 Energibranschens IT-säkerhetsforum Bruksanvisning till malldokument för REGLER OCH RIKTLINJER FÖR INFORMATIONSSÄKERHET Version 0.1 1. Dokumentet skall anpassas specifikt för företaget.

Läs mer

Övergripande granskning IT-driften

Övergripande granskning IT-driften www.pwc.se Övergripande granskning IT-driften Sollentuna Kommun Bakgrund och syfte Inledning Under augusti-september 2013 har på uppdrag av de förtroendevalda revisorerna i Sollentuna kommun genomfört

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015 Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015 Agenda Tillvägagångssätt för att identifiera IT-relaterade risker. Exempel på olika typer av ITrelaterade granskningar.

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet Dnr UFV 2014/1307 Riktlinjer för informationssäkerhet Fastställda av Säkerhetschef 2014-10-28 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering av riktlinjerna 4 3 Definitioner

Läs mer