Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Storlek: px
Starta visningen från sidan:

Download "Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)"

Transkript

1 Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6)

2 Innehållsförteckning 1. Sammanfattning Bakgrund Revisionsfråga Angreppssätt Omfattning och mål Generellt tillvägagångssätt Begränsningar Möjliga konsekvenser Iakttagelser och rekommendationer (6)

3 1. Sammanfattning 1.1. Bakgrund Kommunen blir alltmer beroende av sina informationssystem. Ny teknik innebär nya möjligheter men introducerar även nya risker. Kommunikationen med omvärlden ökar i omfattning och systemen blir mer integrerade såväl inom kommunen som med andra intressenter. Detta ställer krav på ett balanserat risktagande och ett väl fungerande säkerhetsarbete. Informationen måste skyddas mot obehörig åtkomst samtidigt som den ska finnas tillgänglig och dessutom vara tillförlitlig - rätt information i rätt tid och för rätt personer. Om kommunen inte har ett väl fungerande säkerhetsarbete och ett strukturerat arbetssätt för att hantera IT-säkerheten finns risk att känslig information kan läcka ut till obehöriga eller att viktig data obehörigt manipuleras. Sammantaget kan detta leda till att kommunens trovärdighet ifrågasätts såväl som ekonomiska förluster och förlorat anseende. Mot bakgrund av detta har PricewaterhouseCoopers (PwC) på uppdrag av de förtroendevalda revisorerna för Tierps kommun genomfört intrångstester mot kommunens interna ITmiljö. Genom granskning av intern säkerhetsnivå identifieras eventuella riskområden där skydd av kommunens information brister eller saknas Revisionsfråga Granskningens revisionsfråga är att bedöma om den befintliga IT-säkerheten är tillräcklig ur ett övergripande perspektiv. Revisorerna önskar svar på följande revisionsfråga: Är kommunens organisation och interna kontroll ändamålsenlig och tillräcklig när det gäller IT-säkerhet med fokus på skydd mot obehörigt intrång av intern aktör? 3(6)

4 2. Angreppssätt 2.1. Omfattning och mål Syftet med testerna och granskningen var att utvärdera kommunens interna IT-säkerhet, att identifiera potentiella säkerhetsbrister samt att ge rekommendationer för riskreducerande åtgärder. Vidare har utvärdering och bedömning av systemen och IT-miljön som helhet genomförts, baserat på observationer under testets genomförande. I följande stycken beskrivs kort omfattning och utgångspunkt för uppdraget. Det interna penetrationstestet utgår från ett scenario som definieras nedan. Scenario 1 Åtkomst till verksamhetskritiska system från det interna nätverket En person utan giltig behörighet till kommunens interna nätverk eller system får tillgång till det interna nätverket. Personen kartlägger nätverket i mån av tid och attackerar intressanta system. Målet är att få tillgång till och kunna ändra informationen, alternativt att störa systemens tillgänglighet. Attackerna genomfördes från det interna nätverket med en standardmässigt tilldelad IPadress på nätverket Generellt tillvägagångssätt De interna testerna genomförs i fyra steg; generell informationsinsamling, sårbarhetsanalys, intrångsförsök samt rapportering och sammanställning. Granskningen av processer inom IT-säkerhet har utförts genom intervjuer med berörda personer samt granskning av ett urval av relevant dokumentation. För informationsinsamling används många olika verktyg och informationskanaler för att kartlägga resurserna. För de externa testerna omfattar det generellt fastställande av förekommande tjänster, applikationer och operativsystem. För de interna testerna omfattar det giltiga användarnamn, domäninformation och förekommande tjänster på servernätverket. Använda verktyg är programvara för portscanning och tjänster för infrastruktur som DNS, WINS, LDAP och SMB. I steg två analyseras insamlad information och tjänster på nätverket inventeras. Program för att identifiera välkända sårbarheter används för att i största möjliga mån effektivisera informationsinsamlingen och en sårbarhetsanalys sker. Denna typ av program orsakar ett stort antal loggaktiviteter och larm i eventuella övervakningssystem, och i detta läge bör helst ett intrångsförsök identifieras om det inte redan skett i steg ett. I steg tre genomförs intrångsförsök, i enlighet med det scenario som tidigare definierats. I vissa fall utnyttjas svaga lösenord för att erhålla obehörig åtkomst eller mer detaljerad information. I andra fall utnyttjas brister i konfiguration eller kända sårbarheter i program för att utnyttja eller överta kontrollen av en dator. 4(6)

5 Om administrativa behörigheter erhålls verifieras åtkomst till målsystemen, alternativt inloggning till motsvarande applikationer. Fulla behörigheter till målsystemen innebär oftast även att full åtkomst till andra system erhålls. Efter genomförandet analyseras den omfattande insamlade informationen närmare, och används även som bakgrund till granskningen av IT-säkerhetsprocesser. Därefter sammanställs informationen från penetrationstesterna och granskning av rutiner i denna rapport Begränsningar Testerna har begränsats av följande faktorer: Tester har enbart genomförts mot relevant utrustning för att uppnå scenariernas mål. Då ett stort antal system påträffats i det interna nätverket, har tester gjorts på ett begränsat urval av dessa. Tester har, på grund av tidsbegränsningar, skett mot ett urval av de tjänster och system som varit tillgängliga. Det innebär sannolikt att det finns fler brister än de som identifierats och redogörs för i denna rapport. De tester som genomförts ger endast en ögonblicksbild av brister och säkerhetsnivån för det aktuella tillfället då testerna utfördes. Aktiviteter genomförda före eller efter testperioden behandlas enbart till viss del i genomgången av IT-säkerhetsprocesser. För att undvika eventuella driftstörningar har tester inte genomförts där risken för att störa produktion bedömts som hög, såvida inte explicit tillstånd för detta erhållits Möjliga konsekvenser Nedan följer exempel på potentiella konsekvenser av bristande säkerhet i den interna ITmiljön. Brist i integritet. Manipulation av information i databaser som ekonomisystem eller journalsystem. Brist i sekretess. Otillbörlig åtkomst till information i databaser eller på användares arbetsstationer. Brist i tillgänglighet. En illasinnad person skulle kunna påverka tillgängligheten i system genom sabotage. Ett antal tjänster skulle kunna stoppas för en kortare eller längre tid. Att information permanent skulle gå förlorad kan inte uteslutas. 5(6)

6 3. Iakttagelser och rekommendationer Resultatet av de genomförda testerna har delgivits berörda. 6(6)

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Tierps kommun Älvkarleby kommun Kerem Kocaer Juni 2014 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt...

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

IT-säkerhet Externt intrångstest Mjölby kommun April 2016 www.pwc.com/se IT-säkerhet Externt intrångstest Mjölby kommun April 2016 Revisionsfråga Granskningen syftar till att identifiera sårbarheter i kommunens externa nätverk genom tekniska tester. För att uppnå

Läs mer

Granskning av IT-säkerhet - svar

Granskning av IT-säkerhet - svar Missiv 1(1) Kommunstyrelsens förvaltning Datum Diarienummer 2016-09-28 KS/2016:222 Handläggare Carina Åsman Tfn 0142-853 73 Kommunstyrelsen Granskning av IT-säkerhet - svar Bakgrund Revisionen har genom

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Håbo kommuns förtroendevalda revisorer

Håbo kommuns förtroendevalda revisorer www.pwc.se Revisionsrapport Granskning av intrångsskydd Niklas Ljung Mattias Gröndahl Håbo kommuns förtroendevalda revisorer April/2018 Innehåll Sammanfattning... 2 1. Inledning... 4 1.1. Granskningsbakgrund...

Läs mer

Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna

Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna Landstinget i Uppsala län BDO Risk Advisory Services Oslo, 25. Februari 2015 1. Inledning Innehåll 1. Innledning

Läs mer

Cyber security Intrångsgranskning. Danderyds kommun

Cyber security Intrångsgranskning. Danderyds kommun Revisionsrapport Niklas Ljung Ronald Binnerstedt Augusti 2017 Cyber security Intrångsgranskning Danderyds kommun Sammafattande slutsatser med revisionella bedömningar Revisorerna har i sin riskanalys för

Läs mer

Granskning av intern IT - säkerhet. Juni 2017

Granskning av intern IT - säkerhet. Juni 2017 Landskrona stad Granskning av intern IT - säkerhet Juni 2017 Bakgrund och syfte 2 Bakgrund och syfte Av kommunallagen och god revisionssed följer att revisorerna årligen ska granska styrelser, nämnder

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Styrning av behörigheter

Styrning av behörigheter Revisionsrapport Styrning av behörigheter i journalsystem Landstinget i Östergötland Janne Swenson Kerem Kocaer Jens Ryning Eva Andlert, cert. kommunal revisor Styrning av behörigheter i journalsystem

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017 SKATTEVERKET 171 94 SOLNA Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017 Som ett led i granskningen av årsredovisningen med syfte att göra uttalanden om denna har Riksrevisionen

Läs mer

Uppföljningsrapport IT-generella kontroller 2015

Uppföljningsrapport IT-generella kontroller 2015 Revisionsrapport Uppföljningsrapport IT-generella kontroller 2015 Uppsala kommun Gustaf Gambe Frida Ilander 15 september 2015 1 av 17 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning...

Läs mer

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc www.pwc.se Revisionsrapport Joanna Hägg Tilda Lindell Granskning av intern kontroll Tierps kommun pwc Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Granskningsbakgrund...

Läs mer

Granskning av räddningstjänstens ITverksamhet

Granskning av räddningstjänstens ITverksamhet www.pwc.se Granskning av räddningstjänstens ITverksamhet Författare: Niklas Ljung, projektledare Ida Ek, utredare Södertörns Brandförsvarsförbund December 2017 1. Bakgrund och syfte Bakgrund och syfte

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017 Sollentuna kommun Generella IT kontroller Visma Affärslösningar Detaljerade observationer och rekommendationer November 2017 Fredrik Dreimanis Johan Jelbring Jesper Östling Innehållsförteckning Sammanfattning

Läs mer

Revisionsrapport. IT-revision Solna Stad ecompanion

Revisionsrapport. IT-revision Solna Stad ecompanion Revisionsrapport IT-revision 2013 Solna Stad ecompanion Fredrik Dreimanis November 2013 Innehållsförteckning Inledning... 3 Avgränsning.3 Granskningens omfattning... 4 Sammanfattning... 5 Observationer

Läs mer

Revisionsrapport Övergripande granskning av intern kontroll Tandvårdsnämnden 2015

Revisionsrapport Övergripande granskning av intern kontroll Tandvårdsnämnden 2015 Revisionsrapport Övergripande granskning av intern kontroll Tandvårdsnämnden 2015 Emil Forsling Auktoriserad revisor Fredrik Winter Innehållsförteckning 1. Bakgrund... 3 1.1 Revisionsfråga... 3 1.2 Metod...

Läs mer

Svar på KS 2018/ Revisionsrapport - Granskning av intrångsskydd

Svar på KS 2018/ Revisionsrapport - Granskning av intrångsskydd Tjänsteutlåtande 0 Österåker Kommunstyrelsens kontor Datum 2018-08-22 Dnr 2018/0165 Till Kommunstyrelsen Svar på KS 2018/0165-01 - Revisionsrapport - Granskning av intrångsskydd Sammanfattning Under första

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer

IT- och informationssäkerhet

IT- och informationssäkerhet www.pwc.se Revisionsrapport IT- och informationssäkerhet Robert Bergman Revisionskonsult December 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte och Revisionsfråga...

Läs mer

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017 Tyresö kommun Generella IT kontroller Economa och Heroma Detaljerade observationer och rekommendationer Juni 2017 Fredrik Dreimanis Johan Jelbring Tina Emami Innehållsförteckning Sammanfattning av granskningen...

Läs mer

Emil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014

Emil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014 Emil Forsling Auktoriserad revisor Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014 Innehållsförteckning 1. Inledning... 3 1.1 Uppdrag och revisionsfråga... 3 1.2

Läs mer

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag Förfrågningsunderlag stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Granskning av intern kontroll i kommunens huvudboksprocess

Granskning av intern kontroll i kommunens huvudboksprocess Revisionsrapport Granskning av intern kontroll i kommunens huvudboksprocess Marks kommun Andreas Crusell Erik Sellergren Augusti 2015 Innehållsförteckning 1. Introduktion... 1 1.1. Bakgrund och revisionsfråga...

Läs mer

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång.   Informationssäkerhetsspecialister: www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet avseende externt och internt dataintrång Informationssäkerhetsspecialister: Viktor Bergvall Linus Owman Certifierad kommunal revisor: Lena

Läs mer

Revisionsrapport Granskning av intrångsskydd Sandvikens kommun Niklas Ljung Mattias Gröndahl

Revisionsrapport Granskning av intrångsskydd Sandvikens kommun Niklas Ljung Mattias Gröndahl www.pwc.se Revisionsrapport Granskning av intrångsskydd Niklas Ljung Mattias Gröndahl December 2017 Innehållsförteckning Sammanfattning... 2 1. Inledning... 4 1.1. Granskningsbakgrund... 4 1.2. Revisionsfråga...

Läs mer

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017 Region Gotland Generella IT kontroller Visma och HR Plus Detaljerade observationer och rekommendationer Februari 2017 Fredrik Dreimanis Jonas Leander Innehållsförteckning Sammanfattning av granskningen...

Läs mer

Uppföljningsrapport IT-revision 2013

Uppföljningsrapport IT-revision 2013 Revisionsrapport Uppföljningsrapport IT-revision 2013 Solna Stad Raindance Fredrik Dreimanis November 2013 1 av 10 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning... 5

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

Uppföljning avseende granskning av attestrutiner

Uppföljning avseende granskning av attestrutiner Revisionsrapport Uppföljning avseende granskning av attestrutiner Nynäshamns kommun December 2010 Jonas Eriksson Innehållsförteckning 1 Inledning... 1 1.1 Syfte och revisionsfråga... 1 1.2 Avgränsning

Läs mer

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018 SKATTEVERKET 171 94 SOLNA Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018 Som en del av arbetet med att granska Skatteverkets årsredovisning 2018 har

Läs mer

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter Vi skyddar din information Vårt informationssäkerhetsarbete och skydd av personuppgifter Vår informationssäkerhetsstrategi Capios förmåga att erbjuda sjukvård av högsta kvalitet stöds av vår strategi för

Läs mer

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN 1 INLEDNING...1 2 MÅL FÖR IT-SÄKERHETSARBETET...1 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN...1 3.1 ALLMÄNT...1 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET...2 3.2.1...2 3.2.2 Systemansvarig...3

Läs mer

Granskning av miljö- och hälsoskyddsnämndens interna kontroll avseende faktureringsrutiner

Granskning av miljö- och hälsoskyddsnämndens interna kontroll avseende faktureringsrutiner Revisionsrapport Granskning av miljö- och hälsoskyddsnämndens interna kontroll avseende faktureringsrutiner Solna stad April 2010 Josefin Loqvist 2010-04 Namnförtydligande Namnförtydligande Innehållsförteckning

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010. Revisionsrapport Kungl. Musikhögskolan i Stockholm Box 27711 115 91 Stockholm Datum Dnr 2011-03-08 32-2010-0733 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan

Läs mer

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012 Göteborg Energi AB Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte 18 december 2012 1 Sammanfattning Med start hösten 2010 har Deloitte, Ernst & Young och PwC på uppdrag av Göteborgs

Läs mer

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Rapport avseende granskning av IT-säkerhet. Östersunds kommun Rapport avseende granskning av IT-säkerhet Östersunds kommun November 2014 Innehåll Sammanfattning 1 1. Inledning 2 1.1. Uppdrag och bakgrund 2 1.2. Revisionsfråga 2 1.3. Revisionskriterier 2 1.4. Avgränsning

Läs mer

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång.  Informationssäkerhetsspecialister: www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet angående externt och internt dataintrång Informationssäkerhetsspecialister: Pernilla Nordström Viktor Bergvall Victor Svensson Kommunalrevisor:

Läs mer

Intrångstester SIG Security, 28 oktober 2014

Intrångstester SIG Security, 28 oktober 2014 Intrångstester SIG Security, 28 oktober 2014 Mattias Berglund Oberoende konsult inom IT- och informationssäkerhetsområdet Fokus på test och granskningar av system Bakgrund inom drift och förvaltning, säkerhetskonsult

Läs mer

Uppföljning av intern kontroll avseende fakturahantering

Uppföljning av intern kontroll avseende fakturahantering Revisionsrapport Uppföljning av intern kontroll avseende fakturahantering Katrineholms kommun 2009-06-11 Oscar Hjelte 2009- - Namnförtydligande Namnförtydligande Innehållsförteckning 1 Bakgrund...1 1.1

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010. Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen

Läs mer

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Granskning av generella IT-kontroller för ett urval system vid Skatteverket SKATTEVERKET 171 94 SOLNA Granskning av generella IT-kontroller för ett urval system vid Skatteverket Som ett led i granskningen av årsredovisningen med syfte att göra uttalanden om denna har Riksrevisionen

Läs mer

Revisionsrapport Intern kontroll inom Landstinget Dalarna

Revisionsrapport Intern kontroll inom Landstinget Dalarna Revisionsrapport Intern kontroll inom Landstinget Dalarna Emil Forsling Auktoriserad revisor Malin Liljeblad Godkänd revisor Innehållsförteckning 1. Inledning... 3 1.1 Uppdrag och revisionsfråga... 3 1.2

Läs mer

Söderhamn kommun. Granskning av intern ITsäkerhet. Juni 2017

Söderhamn kommun. Granskning av intern ITsäkerhet. Juni 2017 Söderhamn kommun Granskning av intern ITsäkerhet Juni 2017 1. Bakgrund och syfte 2 Bakgrund och syfte Av kommunallagen och god revisionssed följer att revisorerna årligen ska granska styrelser, nämnder

Läs mer

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan 0 Sammanfattning Förslaget till revisionsplan baseras på en risk- och väsentlighetsanalys som internrevisionen genomfört. Analysen bygger

Läs mer

Intern kontroll och riskbedömningar. Strömsunds kommun

Intern kontroll och riskbedömningar. Strömsunds kommun www.pwc.se Revisionsrapport Intern kontroll och riskbedömningar Anneth Nyqvist Mars 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte och Revisionsfråga... 3 1.3. Kontrollmål

Läs mer

Region Skåne Granskning av IT-kontroller

Region Skåne Granskning av IT-kontroller Region Skåne Granskning av IT-kontroller Per Stomberg Niklas Westerlund Deloitte AB Januari 2016 2 Innehållsförteckning 1. Sammanfattning... 3 2. Inledning... 4 2.1 Bakgrund och syfte... 4 2.2 Revisionskriterier...

Läs mer

Revision av årsbokslutet

Revision av årsbokslutet Revision av årsbokslutet 2014-12-31 Stockholms Stadshus AB Mikael Sjölander 2015-03-23 Väsentlighet Riskbedömning och fokusområden koncernen Högre Lagstiftning begränsning avdragsrätt räntor Intäktsredovisning

Läs mer

Projekt inom utvecklingsenheten

Projekt inom utvecklingsenheten www.pwc.se Revisionsrapport Projekt inom utvecklingsenheten Johan Lidström Januari 2016 Innehåll 1. Sammanfattning... 2 2. Inledning... 3 2.1. Bakgrund... 3 2.2. Syfte och revisionsfrågor... 3 2.3. Revisionskriterier...

Läs mer

PROTOKOLLSUTDRAG 95 KS/2016:222, KS/2019:73. IT-säkerhet svar på revisionens uppföljande granskningsrapport

PROTOKOLLSUTDRAG 95 KS/2016:222, KS/2019:73. IT-säkerhet svar på revisionens uppföljande granskningsrapport Mjölby Kommun PROTOKOLLSUTDRAG Sammanträdesdatum Arbetsutskott 2019-04-29 1 (1) Sida 95 KS/2016:222, KS/2019:73 IT-säkerhet 2017 - svar på revisionens uppföljande granskningsrapport Bakgrund PwC utförde

Läs mer

Granskning av generella IT-kontroller för PLSsystemet

Granskning av generella IT-kontroller för PLSsystemet F Ö R S V A R E T S M A T E R I E LV E R K (F M V ) 115 88 S T O C K HO LM Försvarets materielverk (FMV) Granskning av generella IT-kontroller för PLSsystemet vid Försvarets materielverk (FMV) Som ett

Läs mer

Revisionsredogörelse Stadsrevisionen. Nämnden för arbetsmarknad och vuxenutbildning granskning av verksamhetsåret goteborg.

Revisionsredogörelse Stadsrevisionen. Nämnden för arbetsmarknad och vuxenutbildning granskning av verksamhetsåret goteborg. Revisionsredogörelse Stadsrevisionen Nämnden för arbetsmarknad och vuxenutbildning granskning av verksamhetsåret 2015 goteborg.se/stadsrevisionen 2 Mars 2016 Nämnden för arbetsmarknad och vuxenutbildning.

Läs mer

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN 1 INLEDNING... 1 2 MÅL FÖR IT-SÄKERHETSARBETET... 1 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 1 3.1 ALLMÄNT... 1 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 2 3.2.1... 2 3.2.2

Läs mer

Granskning av Intern kontroll

Granskning av Intern kontroll www.pwc.se Revisionsrapport Lars Wigström Cert. kommunal revisor Granskning av Intern kontroll Vingåkers kommun Innehållsförteckning 1. Sammanfattande bedömning och rekommendationer... 1 2. Inledning...3

Läs mer

Bolagsspecifika resultat Sektion 3. Page 1

Bolagsspecifika resultat Sektion 3. Page 1 Bolagsspecifika resultat Page 1 Omfattning av granskning Introduktion EY har under 2015 genomfört en uppföljning av de observationer som noterades i samband med IT-revisionen 2014. De tidigare observationerna

Läs mer

Intern kontroll avseende fakturahantering

Intern kontroll avseende fakturahantering Revisionsrapport* Intern kontroll avseende fakturahantering Eskilstuna kommun Mars 2008 Matti Leskelä Pär Lindberg *connectedthinking Innehållsförteckning 1 Inledning...3 1.1 Bakgrund och syfte...3 1.2

Läs mer

Lägesrapport av säkerhetsbrist i Stockholms läns landsting IT-miljö

Lägesrapport av säkerhetsbrist i Stockholms läns landsting IT-miljö Lägesrapport av säkerhetsbrist i Stockholms läns landsting IT-miljö 2013-10-31 Landstingsstyrelsens förvaltning Biträdande förvaltningschef Anders Nyström 2 (5) Innehållsförteckning Bakgrund... 3 Metod...

Läs mer

Paraplysystemets säkerhet och ändamålsenlighet

Paraplysystemets säkerhet och ändamålsenlighet Hägersten-LIljeholmens stadsdelsförvaltning Administrativa avdelningen Sida 1 (5) 2014-03-21 Handläggare Gunnela Börjes Telefon: 08-508 22 052 Till Hägersten-Liljeholmens stadsdelsnämnd 2014-04-10 Paraplysystemets

Läs mer

Informations- och kommunikationsteknologi. Smedjebackens kommun

Informations- och kommunikationsteknologi. Smedjebackens kommun www.pwc.se Revisionsrapport Informations- och kommunikationsteknologi inom undervisningen Johanna Kemppainen Januari 2016 Smedjebackens kommun Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund...

Läs mer

Dnr Rev 12-2008. Riskhantering, styrning och intern kontroll, sammanställning. GöteborgsOperan AB

Dnr Rev 12-2008. Riskhantering, styrning och intern kontroll, sammanställning. GöteborgsOperan AB Dnr Rev 12-2008 Riskhantering, styrning och intern kontroll, sammanställning GöteborgsOperan AB Vårt uppdrag/syfte Lekmannarevisorerna, Revisionsenheten VGR, gav oss i uppdrag att medverka till en sammanställning

Läs mer

Övergripande IT- och informationssäkerhet

Övergripande IT- och informationssäkerhet Övergripande IT- och informationssäkerhet Landstinget Dalarna 4 februari 2011 PwC Technology Risk Services Jon Arwidson Magnus Olson-Sjölander Christian Svensson Sammanfattning På uppdrag av de förtroendevalda

Läs mer

Intern kontroll och riskbedömningar. Sollefteå kommun

Intern kontroll och riskbedömningar. Sollefteå kommun www.pwc.se Revisionsrapport Intern kontroll och riskbedömningar Bo Rehnberg Cert. kommunal revisor Erik Jansen November 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte

Läs mer

BILAGA 3 Tillitsramverk Version: 1.2

BILAGA 3 Tillitsramverk Version: 1.2 BILAGA 3 Tillitsramverk Version: 1.2 Innehåll Revisionshistorik... 1 Allmänt... 2 A. Organisation och styrning... 2 Övergripande krav på verksamheten... 2 Villkor för användning av Leverantörer... 3 Handlingars

Läs mer

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT Revisionsrapport 3/2012 Genomförd på uppdrag av revisorerna Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT Nicklas Samuelsson Magnus Nilsson

Läs mer

Bergslagens kommunalteknik. Nyckelhantering Projektplan. KPMG AB 10 augusti 2016 Antal sidor: 5. Projektplan nyckelhantering.docx

Bergslagens kommunalteknik. Nyckelhantering Projektplan. KPMG AB 10 augusti 2016 Antal sidor: 5. Projektplan nyckelhantering.docx Projektplan KPMG AB 10 augusti 2016 Antal sidor: 5 Projektplan nyckelhantering.docx Innehåll 1. Bakgrund 1 2. Syfte 1 3. Avgränsning 1 4. Revisionskriterier 1 5. Ansvarig nämnd 2 6. Metod 2 7. Projektorganisation

Läs mer

Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen

Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen stockholm.se Stadsledningskontoret It-avdelningen Ragnar Östbergs Plan 1 105 35 Stockholm Växel 08-508 29 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete 3 2.1 Allmänt 3 2.2 Ledningssystem

Läs mer

Anvisning om riskhantering och internrevision i värdepapperscentraler

Anvisning om riskhantering och internrevision i värdepapperscentraler tills vidare 1 (11) Till värdepapperscentralerna Anvisning om riskhantering och internrevision i värdepapperscentraler Finansinspektionen meddelar med stöd av 4 2 punkten lagen om finansinspektionen följande

Läs mer

Riktlinje för informationssäkerhet

Riktlinje för informationssäkerhet Bilaga 2 Dokumentansvarig: Chef Samhällsskydd och Beredskap Upprättad av: Informationssäkerhetschef Beslutad av: Kommunfullmäktige Gäller för: Anställda och förtroendevalda i Göteborgs Stads förvaltningar,

Läs mer

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen Datainspektionens granskningar av integritetsskyddet inom vård och omsorg Erik Janzon Datainspektionen Några utgångspunkter Lagstiftaren och EU vill ha integritet Digitala vinster & digitala risker Integritet

Läs mer

Säkerhet och förtroende

Säkerhet och förtroende Säkerhet och förtroende Boardeaser AB 2018-05-07 Boardeaser är en molntjänst för styrelsearbete, en organisations mest känsliga data. Boardeaser är en mycket säker plattform för styrelsearbete, många gånger

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Revisionen i finansiella samordningsförbund. seminarium 2014 01 14

Revisionen i finansiella samordningsförbund. seminarium 2014 01 14 Revisionen i finansiella samordningsförbund seminarium 2014 01 14 Så här är det tänkt Varje förbundsmedlem ska utse en revisor. För Försäkringskassan och Arbetsförmedlingen utser Försäkringskassan en gemensam

Läs mer

Verkställighet och återrapportering av beslut

Verkställighet och återrapportering av beslut Revisionsrapport Verkställighet och återrapportering av beslut Motala kommun April 2010 Christina Norrgård Innehållsförteckning 1 Sammanfattande bedömning och rekommendationer...1 2 Bakgrund...2 2.1 Uppdrag

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet UFV 2014/389 Riktlinjer för informationssäkerhet Säkrare elektronisk kommunikation - Tvåfaktorautentisering - Kryptering av e-post - Elektronisk signering av dokument Fastställd av: Säkerhetschef 2014-

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1 (5) Ver. 1.1-2008-11-06 Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1. Inledning Detta dokument redogör för vissa grundläggande säkerhetskrav som bör ställas i samband med anskaffning eller

Läs mer

Mjölby Kommun PROTOKOLLSUTDRAG. 123 Dnr KS/2016:222, KS/2019:73. Uppföljning av granskning avseende IT-säkerhet svar till KF

Mjölby Kommun PROTOKOLLSUTDRAG. 123 Dnr KS/2016:222, KS/2019:73. Uppföljning av granskning avseende IT-säkerhet svar till KF Mjölby Kommun PROTOKOLLSUTDRAG Sammanträdesdatum Kommunstyrelsen 2019-05-08 1 (2) Sida 123 Dnr KS/2016:222, KS/2019:73 Uppföljning av granskning avseende IT-säkerhet 2017 - svar till KF Bakgrund PwC utförde

Läs mer

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun. REVISIONSRAPPORT Löpande granskning av redovisning och administrativa rutiner avseende Tekniska nämnden Hylte Kommun November 2002 Rolf Bergman Tommy Karlsson www.pwcglobal.com/se www.komrev.se Sammanfattning

Läs mer

Östra Göteborg. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Östra Göteborg. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014 Östra Göteborg Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte Februari 2014 1 Inledning Med start hösten 2010 har Deloitte, EY och PwC på uppdrag av Göteborgs Stad, som ett

Läs mer

Granskning av förlorad arbetsinkomst avseende politiker

Granskning av förlorad arbetsinkomst avseende politiker Revisionsrapport Granskning av förlorad arbetsinkomst avseende politiker Ängelholms kommun Januari 2010 Anna Eriksson Karin Andersson Innehållsförteckning Sammanfattning... 3 1 Inledning... 4 1.1 Bakgrund...

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

Guide för säker behörighetshantering

Guide för säker behörighetshantering 2018-06-18 1 (5) GUIDE FÖR SÄKER BEHÖRIGHETSHANTERING Digitaliseringsenheten Guide för säker behörighetshantering Innehåll Om guiden... 1 Om behörigheter... 2 Gör en informationsklassning först... 2 Visa

Läs mer

Svar på revisionsrapport Uppföljande granskning av ITsäkerhetsarbetet

Svar på revisionsrapport Uppföljande granskning av ITsäkerhetsarbetet Regionstyrelsen Svar på revisionsrapport Uppföljande granskning av ITsäkerhetsarbetet Ordförandes förslag till beslut Föreslås att regionstyrelsen beslutar att godkänna svar på revisionsrapport Uppföljande

Läs mer

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Kommunalförbundet ITSAM Revision: 20130317 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Punkt 15: Riktlinje för internrevision

Punkt 15: Riktlinje för internrevision 2016-09-21 Punkt 15: Riktlinje för internrevision Förslag till beslut i styrelsen att anta Riktlinje för internrevision för försäkrings AB Göta Lejon Denna riktlinje kallades tidigare Riktlinje för oberoende

Läs mer

Riktlinjer för intern kontroll

Riktlinjer för intern kontroll Riktlinjer för intern kontroll KS 2018-12-05 161 Dokumenttyp Riktlinjer Gäller för Samtliga förvaltningar i Bjuvs kommun Version 2 Giltighetsperiod Tillsvidare Dokumentägare Kommunchef Beslutat/antaget

Läs mer

Uppföljande granskning: Sjukfrånvaro och rehabilitering. Strömsunds kommun

Uppföljande granskning: Sjukfrånvaro och rehabilitering. Strömsunds kommun www.pwc.se Revisionsrapport Uppföljande granskning: Sjukfrånvaro och rehabilitering Robert Bergman Mars 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte... 3 1.3. Avgränsning

Läs mer

Sjunet standardregelverk för informationssäkerhet

Sjunet standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering... 5 1.3. Riskhantering... 5 SJUNET specifika regler... 6 2. Förutsättningar för avtal...

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet samt transmission -C 2 (7) Innehåll 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 6 3 (7) 1 Allmänt Borderlight har styrdokument

Läs mer

Uppföljning av tidigare granskning

Uppföljning av tidigare granskning Uppföljning av tidigare granskning Härnösands kommun Maj 2015 Innehåll Sammanfattning 1 Uppdrag och bakgrund 1 Revisionsfråga 1 Revisionskriterier 1 Svar på revisionsfrågan 1 1. Inledning 2 Uppdrag och

Läs mer