Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna

Storlek: px
Starta visningen från sidan:

Download "Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna"

Transkript

1 Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna Landstinget i Uppsala län BDO Risk Advisory Services Oslo, 25. Februari 2015

2 1. Inledning Innehåll 1. Innledning 1.2 Sammanfattning revision 2. IT-säkerhetsrevision 2.1 Tillvägagångssätt och begränsningar ITsäkerhetsrevision 2.2 Sammanfattning IT-säkerhetsrevision 3. Penetrationstest 3.1 Skillnaden mellan externt och internt penetrationstest 3.2 Tillvägagångssätt och begränsningar Externt penetrationstest 3.3 Tillvägagångssätt och begränsningar Internt penetrationstest 3.4 Metodik Säkerhetstestning intern/extern 3.5 Sammanfattning Externt penetrationstest 3.6 Sammanfattning Internt penetrationstest 4. Tillstånd på rekommendationer från IT-säkerhetsrevision genomförd i Nya rekommendationer från IT-säkerhetsrevision Status på tidigare rekommendationer från externt penetrationstest genomfört i Nya rekommendationer från externt penetrationstest Status på tidigare rekommendationer från internt penetrationstest genomfört i 2011 Bakgrund Landstingets revisorer upphandlade i 2011 PWC för att genomföra en granskning av säkerhetsprocesser för IT samt externa och interna penetrationstest. Detta gjordes för att säkerställa att Landstingsstyrelsen har en adekvat IT-säkerhet avseende skydd mot obehörigt intrång. Landstingets revisorer önskade genomföra en uppföljning av den tidigare genomförda granskningen av landstingets IT-säkerhetsprocesser samt interna och externa penetrationstester. Syfte Syftet med denna granskning är att säkerställa att Landstinget i Uppsala Län (LUL) har vidtagit åtgärder utifrån revisionens rekommendationer och att landstinget i övrigt bedriver ett ändamålsenligt och systematiskt arbete med IT-säkerhet. Testerna och granskningen vill utvärdera landstingets interna och externa IT-säkerhet, identifiera potentiella säkerhetsbrister samt ge rekommendationer för riskreducerande åtgärder. Uppdraget genomfördes under januari och februari Den överordnade frågan som denna revision skall svara på är: Har landstinget vidtagit åtgärder utifrån revisionens rekommendationer och finns det idag ett ändamålsenligt och systematisk arbete med IT-säkerhet? Begränsningar Genomgången, intervjuerna och testen är styckprovsbaserade och vill ge en ögonblicksbild av säkerhetstillståndet i LUL. Revisionen ger ingen garanti för att alla säkerhetsbrister och fel identifieras. Det kan därför vara flera säkerhetsrisker i IT-miljön som inte omtalas i denna rapport. 9. Nya rekommendationer från internt penetrationstest Bilagor Siv Irene Aasen Projektledare Karl-Ludvig Mauland Ansvarig Partner Rapport - Landstinget i Uppsala län 2

3 Sammanfattning revision ITsäkerhetsrevision Vårt övergripande intryck efter granskningen av IT-säkerhetsprocesser hos LUL är att det är etablerat en del processer för att värna om IT-säkerheten i den operativa verksamheten, då IT-säkerhet är en integrerad del av hela verksamheten. IT-säkerhetsprocessen är emellertid inte tillfredsställande i alla delar, och det finns utrymme för förbättringar i styrning och ledning av IT-säkerhet, förankring av roller och ansvar, inkluderat mätning och uppföljning av området. Ett särskilt förbättringsbehov är identifierat inom åtkomstkontroller i de operativa processerna. Externt penetrationstest Baserat på genomförda tester framstår LULs externa nätverk som gott skyddat mot angrepp från internet. Servrar, tjänster och information verkar vara väl säkrat mot extern åtkomst och manipulation. Vi ser att säkerheten är förbättrad sedan förra säkerhetstestet 2011, men det återstår fortfarande något arbete för att säkra nätverket i förhållande till bästa praxis. Det har under detta penetrationstest inte avtäckts några allvarliga sårbarheter eller fel. Den största risken idag är utdaterad programvara på exponerade servrar. Detta var också en av dom största riskerna som drogs fram under förra testet Jämfört med 2011, har landstingets exponering ökat, men dock minimalt och är inom vad som borde anses som acceptabelt. Internt penetrationstest Baserat på genomförda tester framstår LULs interna nätverk som tillräckligt skyddat mot interna hot som exempelvis missnöjda anställda eller skadlig programvara. Kritiska servrar, tjänster och information verkar vara tillräckligt säkrade mot tillgång och manipulation. Enskilda mindre kritiska servrar och klienter har visat sig vara sårbara och det har varit möjligt att uppnå administrativa rättigheter på flera av dessa. De största riskerna idag är utdaterad programvara och operativsystem på en del interna servrar och klienter, användandet av osäkrade tjänster och användandet av lokala standard- eller svaga lösenord Rapport - Landstinget i Uppsala län 3

4 2. IT-säkerhetsrevision 4

5 2.1 Tillvägagångssätt och begränsningar IT-säkerhetsrevision Tillvägagångssätt Uppdraget är genomfört i två delar, där del 1 omfattar informationsinhämtning och -genomgång, och del 2 omfattar genomförande av intervjuer och styckprovsbaserad testning av tillfälligt utvalda områden. Utgångspunkten för denna revision är tidigare genomförd revisionsslutrapport med fynd och eventuella förslag till förbättringar. Vi använder oss av ISO 27001/2 och COBIT 5 vid utarbetandet av revisionsprogrammet på detta område och vi kommer att använda dessa ramverk vid kvalitetssäkring. Vi har inhämtat, och genomgått, relevant dokumentation för de olika områdena. Struktur Vi har delat upp olika frågor i 6 huvudkategorier i vår granskning. Frågorna bygger på områdan i ISO och COBIT Styrning och ledning 2. Riskvärdering 3. Organisering 4. Resurser och kompetens 5. Operativa processer 6. Mätning och förbättring Vid genomföring av ITsäkerhetsrevisionen önskar vi bland annat att få svar på följande frågor: Är säkerhetsarbetet förankrat i ledningen? Genomförs riskanalyser regelbundet och vid ändringar? Blir riskanalyser genomförda enligt ett enhetligt och gemensamt ramverk? Är det etablerat en process för händelsehantering, tillgångshantering och kontroll med administrativ tillgång till systemen? Är det utarbetat KPI-er (Key Performance Indicator) för säkerhetsarbetet? Är dessa mätbara och blir det rapporterat och uppföljt? Område 1 Område 2 Område 2 Område 5 Område 6 Område 6 Vi har intervjuat följande personer: Petter Könberg IT-direktör Fredrik Rosenberg Informationssäkerhetsansvarlig Johan Lindqvist MSI, Avdelingschef Greger Söderqvist MSI, Teknisk stöd IT Petter Larsson MSI, Nät och server Caroline Sundevall MSI, IT system Per Foyer MSI, IT säkerhetskonsult Mikael Ekberg och Tomas Roland Säkerhet och beredskap 5

6 2.2 Sammanfattning IT-säkerhetsrevision (1/3) Vårt övergripande intryck efter granskning av IT-säkerhetsprocesser hos LUL, är att en del processer är etablerade för att värna om IT-säkerheten i den operativa verksamheten, då IT-säkerhet är en integrerad del av hela verksamheten. ITsäkerhetsprocessen är emellertid inte tillfredsställande i alla delar, och det finns utrymme för förbättringar i styrning och ledning av IT-säkerhet, förankring av roller och ansvar, inkluderat mätning och uppföljning av området. Ett särskilt förbättringsbehov är identifierat inom åtkomstkontroller i de operativa processerna. Styrning och ledning Koncernledningen har traditionellt sätt inte varit involverade i styrning och ledning av IT-säkerheten i LUL. Riktlinjer och åtgärder inom IT-säkerhet från centralt håll har varit beroende av initiativ från enskilda personer. Informationssäkerhetsansvarlig har tagit initiativ på området, men han står väldigt ensam. Riskvärdering Det är etablerat processer för riskvärderingar inom LUL. Riskvärderingar från olika objekt och verksamheter sys ihop till en gemensam riskvärdering för landstinget. IT-säkerhet och informationssäkerhet är egna områden innanför detta område. Organisering Det är få personer som arbetar dedikerat med IT-säkerhet och informationssäkerhet inom LUL. Informationssäkerhetsansvarig centralt är den enda personen som har ett formellt ansvar i förhållande till detta, medan övriga individer runt om i organisationen upprätthåller uppgiften som en integrerad del av sin ställning. Utifrån landstingets storlek och komplexitet bedöms antalet resurser som arbetar dedikerat med IT-säkerhet och informationssäkerhet som lågt. Resurser och kompetens Kurs för upplärning inom bland annat informationssäkerhet och IT-säkerhet hålls för nyanställda. Det arbetas också med att etablera en kurs för ledare inom Landstinget. Det är inte ställt formella krav till kompetens inom IT och IT-säkerhet för IT-samordnare i verksamheterna. Det är få resurser i Landstinget som arbetar dedikerat med informationssäkerhet och IT-säkerhet. 6

7 2.2 Sammanfattning IT-säkerhetsrevision (2/3) Operativa processer IT-säkerhet är en integrerad del av de operativa processerna i Landstinget och i MSI. Operativa processer som utförs utanför MSI är emellertid i mindre grad utsatt för kontroll, och ansvaret är i stor grad beroende på den enskilda Systemförvaltaren/Objektägaren. Vi har identifierat områden med behov av förbättringar inom operativa processer som ändringshantering och åtkomstkontroller. Mätning och förbättring Informationssäkerhetsansvarig har definierat mål i förhållande till mätning av IT-säkerhet i LUL. Dessa mätningar är inte förankrade i de olika verksamheterna, och det är inte etablerat processer för mätning och uppföljning. Det är emellertid etablerat en process för egenkontroll där alla verksamheter gör en evaluering av sitt eget tillstånd. Detta uppsummeras och presenteras för koncernledningen. 7

8 2.2 Sammanfattning IT-säkerhetsrevision (3/3) Nr. Prioritet/Status 2015 Prioritet/Status 2011 Rekommendation A5.4 Hög - Ändringshantering Icke-auktoriserad mjukvara A5.6 Hög - Åtkomstkontroll Lokala administratorer inom nätet A5.7 Hög - Åtkomstkontroll Lokala administratorer på egna datorer A5.9 Hög - Åtkomstkontroll Privilegierade användarkonton inom serverdrift Medium Hög Öka övervakning av applikationer/ system som är en del av infrastrukturen för att minimera intrång risker Medium Medium Utarbeta formellt dokumenterade acceptabla krav och regler gällande säkerhetsparametrar A1.1 Medium - Förankring i ledningen A1.2 Medium - IT-strategi A1.3 Medium - Styrningsdokumentation A3.1 Medium - Organisering av IT-säkerhetsorganisationen A4.1 Medium - Kompetens bland IT-samordnare A4.2 Medium - Medvetenhet kring IT-säkerhet A5.1 Medium - Operativa processer gemensamt. A5.2 Medium - Händelsehantering A5.3 Medium - Ändringshantering kategorisering av ändringar A5.5 Medium - Åtkomstkontroll Periodisk genomgång av användare och åtkomster A5.8 Medium - Åtkomstkontroll Funktionstillgångar A6.1 Medium - Mätningsparameter för IT-säkerhet A2.1 Låg - Process för riskvärdering A2.2 Låg - Acceptanskriterier för risk A4.3 Låg - Formella krav till utbildning inom IT-säkerhet A6.2 Låg - Egenkontroll 8

9 3. Penetrationstest 9

10 3.1 Skillnaden mellan externt och internt penetrationstest Externt penetrationstest Simulera ett angrepp från internet Genomförs från en extern plats Intern penetrationstest Simulera ett angrepp från insidan (anställda med ett illvilligt uppsåt, ondsinnad kod m.m.) Genomförs från kundens lokaler 10

11 3.2 Tillvägagångssätt och begränsningar Externt penetrationstest Tillvägagångssätt Genomförande av ett externt penetrationstest kan göras med olika tillvägagångssätt och med olika förutsättningar och verktyg. I detta genomförande har det primära focuset varit att följa upp fynd från det förra penetrationstest som genomfördes Syftet med detta har varit att verifiera om åtgärder är implementerade och om de fungerar effektivt. Avtäckande av nya fynd och sårbarheter har haft sekundärt fokus. Det externa penetrationstestet genomfördes från BDOs lokaler i Oslo med egen testutrustning med krypterade diskar. BDO använde en dedikerad internetuppkoppling från sitt test lab under testningen. Allmänt tillgängliga verktyg, kommersiella och freeware, och tekniker som antas användas av datakriminella för att avtäcka sårbarheter och tillägna sig information användes under testningen. Begränsningar Kända tekniker som potentiellt används av kriminella, men som inte har varit en del av detta genomförande, är social manipulation och överbelastningsangrepp. Förstnämnda är primärt ett icke-teknisk tillvägagångssätt, medan sistnämnda kan resultera i instabilitet och avbrottstid. Därutöver har inte varianter av tekniken «brute force», som fordrar utskickane av stora mängder trafik, använts. Detta då det kan resultera i instabilitet och avbrottstid. Då ett stort antal system påträffats i externa nätverket, har tester endast genomförts på ett begränsat urval av dessa. Tester har, på grund av tidsbegränsningar, endast skett mot ett urval av de tjänster och system som varit tillgängliga. Det innebär sannolikt att det finns fler brister än de som identifierats och redogörs för i denna rapport. De tester som genomförts ger endast en ögonblicksbild av brister och säkerhetsnivån för det aktuella tillfället då testerna utfördes. Ingen hänsyn tas till aktiviteter som genomförts före eller efter testperioden. Omfång Följande IP-adresser har blivit kartlagda under denna genomföring:

12 3.3 Tillvägagångssätt och begränsningar Internt penetrationstest Tillvägagångssätt Genomförande av ett externt penetrationstest kan göras med olika tillvägagångssätt och med olika förutsättningar och verktyg. I detta genomförande har det primära focus varit att följa upp fynd från det förra penetrationstest som genomfördes Syftet med detta har varit att verifiera om åtgärder är implementerade och om de fungerar effektivt. Avtäckande av nya fynd och sårbarheter har haft sekundärt fokus. Det interna penetrationstestet genomfördes genom att koppla upp sig till landstingets interna nätverk från ett mötesrum i konferenscentret. Under penetrationstesten användes egen testutrustning som kör Windows 7 och Kali Linux. Allmänt tillgängliga verktyg, kommersiella och freeware, och tekniker som antas användas av datakriminella för att avtäcka sårbarheter och tillägna sig information användes under testningen. Begränsningar Kända tekniker som potentiellt används av kriminella, men som inte har varit en del av denna genomföring, är social manipulation och överbelastningsangrepp. Förstnämnda är primärt ett icke-teknisk tillvägagångssätt, medan sistnämnda kan resultera i instabilitet och avbrottstid. Därutöver har inte varianter av tekniken «brute force», som fordrar utskickane av stora mängder trafik, använts. Detta då det kan resultera i instabilitet och avbrottstid. Då ett stort antal system påträffats i externa nätverket, har tester endast genomförts på ett begränsat urval av dessa. Tester har, på grund av tidsbegränsningar, endast skett mot ett urval av de tjänster och system som varit tillgängliga. Det innebär sannolikt att det finns fler brister än de som identifierats och redogörs för i denna rapport. De tester som genomförts ger endast en ögonblicksbild av brister och säkerhetsnivån för det aktuella tillfället då testerna utfördes. Ingen hänsyn tas till aktiviteter genomförts före eller efter testperioden. Omfång Följande IP-adresser har blivit kartlagda under denna genomföring:

13 Metodik Säkerhetstestning intern/extern Ett penetrationstest har som mål att avtäcka sårbarheter knutna till tjänster och underliggande infrastruktur som är exponerade idag. BDOs ramverk för penetrationstestning är baserat på bästa praxis från flera allmänt kända institutioner för att säkra ett så fullständig test som möjligt. Uppstart och planläggning - Fastsätta mål, ramar och omfång - Utarbeta körregler - Inhämta godkännande - Signering av kontrakt - Sätta upp och konfigurera verktyg och maskiner - Inhämta och systematisera information - Utarbeta nätverksskiss - Göra eventuella prioriteringar innan nästa fas Kartläggning/ Informationsinhämtning Sårbarhetsanalys och -utnyttjande - Genomföra sårbarhetsanalys - Genomföra sårbarhetsutnyttjande - Riskevaluering av eventuella fynd* * Kritiska fynd rapporteras omedelbart Rapportering - Verifiera observationer och fynd - Utarbeta förslag till korrigerande åtgärder - Skriva rapport - Presentera rapport 13

14 3.5 Sammanfattning Externt penetrationstest Baserat på genomförda tester framstår LULs externa nätverk som gott skyddat mot angrepp från internet. Servrar, tjänster och information verkar vara väl säkrat mot extern åtkomst och manipulation. Vi ser att säkerheten är förbättrad sedan förra säkerhetstestet 2011, men det återstår fortfarande något arbete för att säkra nätverket i förhållande till bästa praxis. Det har under detta penetrationstest inte avtäckts några allvarliga sårbarheter eller fel. Den största risken idag är utdaterad programvara på exponerade servrar. Detta var också en av de största riskerna som drogs fram under förra testet, i Exponeringen mot internet för LUL utgörs av 109 öppna portar, fördelat på 67 olika IP-adresser, med 15 olika typer av protokoll/tjänster. Jämfört med 2011, har landstingets exponering ökat, men dock minimalt och är inom vad som borde anses som acceptabelt. Nr. Prioritet /Status 2015 Prioritet/Status 2011 Rekommendation Medium Hög Komplettera uppdateringsrutiner för applikationer på servrar B1 Medium - Begränsa exponeringen av personliga uppgifter Låg Medium Åtgärda övriga identifierade applikationer med SQL injektion Låg Medium Förbättra rutiner kring produktionssättning av webbtjänst Låg Låg Reducera exponering av oanvända tjänster Låg Låg Begränsa exponering av administrativa funktioner Låg Låg Begränsa läckage av kontonamn mot Internet B2 Låg - Avaktivera omdirigering Risk hanterad Hög Åtgärda SQL injektion på medsys Risk hanterad Hög Säkra konfiguration av Lotus Quickr på qp1.lul.se Risk hanterad Medium Begränsa exponering av tillfälliga, privata, tjänster mot Internet Risk hanterad Medium Förhindra obehöriga zontransfereringar Risk hanterad Medium Förhindra exponering av lösenord till applikation Mikromarc Risk hanterad Låg Verifiera förutsättningar för extern parts tjänst på LUL:s nätverk 14

15 3.6 Sammanfattning Internt penetrationstest Baserat på genomförda tester framstår LULs interna nätverk som tillräckligt skyddat mot interna hot som exempelvis missnöjda anställda eller skadlig programvara. Kritiska servrar, tjänster och information verkar vara tillräckligt säkrade mot tillgång och manipulation. Enskilda mindre kritiska servrar och klienter har visat sig vara sårbara och det har varit möjligt att uppnå administrativa rättigheter på flera av dessa. De största riskerna idag är utdaterad programvara och operativsystem på en del interna servrar och klienter, användandet av osäkrade tjänster och användandet av lokala standard- eller svaga lösenord. Nr. Prioritet/Status 2015 Prioritet/Status 2011 Rekommendation Medium Hög Komplettera uppdateringsrutiner för interna servrar Medium Hög Komplettera uppdateringsrutiner för interna klienter Medium Medium Ersätt installationer av utgångna operativsystem C1 Medium - Begränsa tillgången till SNMP C2 Medium - Ändra lösenord på web-gränssnitt mot övervakningskameror C3 Medium - Avaktivera konfigurationsporten och ändra på Lantronix-enheter Låg Medium Fastställ och applicera komplexitets-krav på lösenord Låg Låg Utöka filtreringen i nätverket C4 Låg - Begränsa tillgång till NetBIOS C5 Låg - Genomföra regelmässig periodisk genomgång av användare och tillgångar. C6 Låg - Hindra enumerering av Oracle databas. C7 Låg - Ändra lösenord på SSH-tjänster C8 Låg - Begränsa möjligheten till att koppla främmande utrustning till nätverket C9 Låg - Maskinnamn indikerar tjänster C10 Låg - Begränsa tillgång till FTP-servrar Risk hanterad Hög Efterlev eller etablera krav på lösenord i databaser Risk hanterad Medium Inför utelåsning i UAS-domänen Risk hanterad Låg Avaktivera lagring av lösenord i LanMan-format 15

16 1. Förklaring till symboler Symbolen indikerar vår uppfattning av situationen vid genomförandet av projektet. Utvärderingarna är baserade på kartläggning, observationer och testning gjort i samband med projektgenomförandet, och ger inte någon total konklusion, men hellre en indikation på status på säkerhetsarbetet. Det kan därför vara förhållanden som inte är värderade och som hade kunnat medföra andra konklusioner. Utvärderingar Kvaliteten måste förbättras omgående Möter inte minsta rekommendation till bästa praxis. Kritiska risker eller väsentliga svagheter är inte hanterade på ett tillfredsställande sätt. Väsentliga ekonomiska, regulativa eller anseendemässiga förluster kan inträffa. Åtgärder måste initieras omedelbart Kvaliteten måste förbättras Möter inte alla rekommendationer till bästa praxis. Väsentliga risker eller svagheter är inte hanterade på ett tillfredsställande sätt. Väsentliga förluster kan inträffa. Åtgärder måste initieras så snart som möjligt. Kvaliteten bör förbättras Möter inte alla rekommendationer till bästa praxis. Enskilda risker är inte hanterade på ett tillfredsställande sätt. Förluster kan inträffa. Åtgärder bör initieras. Kvaliteten kan förbättras Möter de flesta rekommendationer till bästa praxis. Det är inte avtäckt väsentliga risker som inte är hanterade på ett tillfredsställande sätt. Förluster kan ändå inträffa, och det vill vara områden som kan förbättras. Kvaliteten är tillfredsställande Möter de allra flesta rekommendationer till bästa praxis. Det är inte avtäckt väsentliga risker som inte är hanterade på ett tillfredsställande sätt. Förluster kan ändå inträffa, och det vill vara områden som kan förbättras. Rekommendationer Hög Medium Låg Risk hanterad Rapport - Landstinget i Uppsala län Hög prioritet Anger en kritisk risk eller ett lagstadgat krav som inte är hanterat på ett tillfredsställande sätt. Det måste initieras åtgärder snarast. Medium prioritet Anger en risk som inte är hanterat på ett fullt ut tillfredsställande sätt. Åtgärder bör initieras så snart som möjligt. Låg prioritet Anger en risk som inte är hanterad på en fullt ut tillfredsställande sätt, men där risken inte värderas att ha stor betydelse. Åtgärder bör initieras. Informativ Risk avtäckt under tidigare testning som nu är hanterad. 16

17

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Granskning av IT-säkerhet - svar

Granskning av IT-säkerhet - svar Missiv 1(1) Kommunstyrelsens förvaltning Datum Diarienummer 2016-09-28 KS/2016:222 Handläggare Carina Åsman Tfn 0142-853 73 Kommunstyrelsen Granskning av IT-säkerhet - svar Bakgrund Revisionen har genom

Läs mer

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC Checklista Identitetshanteringssystem för SWAMID 2.0 Utarbetad tillsammans med SUNET CERT och SUSEC Bakgrund För att upprätta förtroende i en federation krävs inte bara att identitetsutdelningsprocessen

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer. Botkyrka Kommun Revisionsrapport Generella IT kontroller Aditro och HRM Detaljerade observationer och rekommendationer Oktober 2015 Anders Hägg Fredrik Dreimanis Anna Lång Thomas Bauer Innehållsförteckning

Läs mer

Uppföljningsrapport IT-revision 2013

Uppföljningsrapport IT-revision 2013 Revisionsrapport Uppföljningsrapport IT-revision 2013 Solna Stad Raindance Fredrik Dreimanis November 2013 1 av 10 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning... 5

Läs mer

Revisionsrapport. IT-revision Solna Stad ecompanion

Revisionsrapport. IT-revision Solna Stad ecompanion Revisionsrapport IT-revision 2013 Solna Stad ecompanion Fredrik Dreimanis November 2013 Innehållsförteckning Inledning... 3 Avgränsning.3 Granskningens omfattning... 4 Sammanfattning... 5 Observationer

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök Göteborgs universitet 2007-06-26 Intern miljörevision Exempel på frågor vid platsbesök Nedan finns exempel på frågor som kan ställas vid platsbesök inom den interna miljörevisionen. Ytterligare följdfrågor

Läs mer

Inga krav utöver ISO 14001

Inga krav utöver ISO 14001 Förordning (2009:907) om miljöledning i statliga myndigheter Relaterat till motsvarande krav i ISO 14001 och EMAS De krav som ställs på miljöledningssystem enligt EMAS utgår från kraven i ISO 14001. Dessutom

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen

Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen stockholm.se Stadsledningskontoret It-avdelningen Ragnar Östbergs Plan 1 105 35 Stockholm Växel 08-508 29 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete 3 2.1 Allmänt 3 2.2 Ledningssystem

Läs mer

Samma krav gäller som för ISO 14001

Samma krav gäller som för ISO 14001 Förordning (2009:907) om miljöledning i statliga myndigheter Relaterat till motsvarande krav i ISO 14001 och EMAS De krav som ställs på miljöledningssystem enligt EMAS är samma som ingår i ISO 14001. Dessutom

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010. Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

Region Skåne Granskning av IT-kontroller

Region Skåne Granskning av IT-kontroller Region Skåne Granskning av IT-kontroller Per Stomberg Niklas Westerlund Deloitte AB Januari 2016 2 Innehållsförteckning 1. Sammanfattning... 3 2. Inledning... 4 2.1 Bakgrund och syfte... 4 2.2 Revisionskriterier...

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet samt transmission -C 2 (7) Innehåll 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 6 3 (7) 1 Allmänt Borderlight har styrdokument

Läs mer

Datum 2014-04-11. Kommunrevisionen: Granskning av generalla IT-kontroller 2013

Datum 2014-04-11. Kommunrevisionen: Granskning av generalla IT-kontroller 2013 ta,xj -Zoty-OG-I^ Uppsala "KOMMUN A retat. 4-5 KONTORET FÖR BARN, UNGDOM OCH ARBETSMARKNAD Handläggare Wicks Elaine Datum 2014-04-11 Diarienummer BUN-2014-0631 Barn och ungdomsnämnden Kommunrevisionen:

Läs mer

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN 1 Kommunstyrelsen SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN Syfte med säkerhetsarbetet Syftet med säkerhetsarbetet är att: Verka för en säker och trygg kommun genom att förebygga och hantera förluster, störningar

Läs mer

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Kommunens revisorer 2013-04-08 GRANSKNING AV INTERNKONTROLLPLANER I HÄRRYDA KOMMUN Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Rapporten

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Riktlinjer för internkontroll i Kalix kommun

Riktlinjer för internkontroll i Kalix kommun Riktlinjer för internkontroll i Kalix kommun Antaget av kommunfullmäktige 2012-11-26--27, 182 Innehållsförteckning Riktlinjer för internkontroll i Kalix kommun...1 Inledning...1 Internkontroll...1 Organisation

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 I checklistan gäller det att instämma med de påståenden som anges i listan för att vara säker på att verksamhetens miljöledningssystem

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkra trådlösa nät - praktiska råd och erfarenheter Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

OHSAS 18001.2007. Av Benny Halldin

OHSAS 18001.2007. Av Benny Halldin OHSAS 18001.2007 Av Benny Halldin Revision av OHSAS 18001 Ny standard klar juni/juli 2007! Mer lika ISO 14 001.2004 Mer tonvikt på Hälsa även psykisk sådan. Anläggningssäkerhet borttaget. Nytt avsnitt

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

Miljöledningsbarometern 2002

Miljöledningsbarometern 2002 Bilaga 7 Miljöledningsbarometern 2002 Uppgiftslämnare: Ann-Christine Mohlin Verksamhet: Tandvårdsstaben Datum: 2003-02-04 A. MILJÖUTREDNING Ja Arbete Har ni genomfört en miljöutredning*? B. MILJÖLEDNINGSSYSTEM

Läs mer

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret GRANSKNINGS Uppföljning IT-granskningar Projektledare: Lotta Onsö Beslutad av revisorskollegiet 2013-06-12 RAPP Uppföljning IT-granskningar Postadress: Stadshuset, 205 80 Malmö Besöksadress: August Palms

Läs mer

Case Asset Management

Case Asset Management Case Asset Management Riktlinjer för riskhantering i fonderna Dessa riktlinjer har fastställts av styrelsen för Case Asset Management AB vid styrelsemöte 2012 12 05 1 Innehåll 1. INLEDNING OCH SYFTE...

Läs mer

Granskning av applikationenn Basware oktober 2012*

Granskning av applikationenn Basware oktober 2012* Granskning av applikationenn Basware 2012 22 oktober 2012* 1. Granskningens omfattning PwC har på uppdrag av revisionskontoret (Kjell Johansson) genomfört en granskning av applikationen Basware. Syftet

Läs mer

Revisionen i finansiella samordningsförbund. seminarium 2014 01 14

Revisionen i finansiella samordningsförbund. seminarium 2014 01 14 Revisionen i finansiella samordningsförbund seminarium 2014 01 14 Så här är det tänkt Varje förbundsmedlem ska utse en revisor. För Försäkringskassan och Arbetsförmedlingen utser Försäkringskassan en gemensam

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

Revisionsrapport: Informationssäkerheten i den tekniska miljön

Revisionsrapport: Informationssäkerheten i den tekniska miljön 1(11) Styrelse och rektor Revisionsrapport: Informationssäkerheten i den tekniska miljön SAMMANFATTNING Internrevisionen (IR) har granskat och lämnar förslag till förbättringar inom området för den tekniska

Läs mer

REGLEMENTE FÖR INTERN KONTROLL

REGLEMENTE FÖR INTERN KONTROLL Bilaga 2, LS 167 /02 Ekonomienheten DATUM DIARIENR 2006-01-10 LKD 02558 REGLEMENTE FÖR INTERN KONTROLL Inledning 1 Allmänt Detta reglemente avser inte att reglera vad som är god intern kontroll. Varje

Läs mer

Revisionsrapport Intern kontroll inom Landstinget Dalarna

Revisionsrapport Intern kontroll inom Landstinget Dalarna Revisionsrapport Intern kontroll inom Landstinget Dalarna Emil Forsling Auktoriserad revisor Malin Liljeblad Godkänd revisor Innehållsförteckning 1. Inledning... 3 1.1 Uppdrag och revisionsfråga... 3 1.2

Läs mer

Bengt Sebring OKTOBER 2000 Ordförande GRANSKNINGSRAPPORT 3 Sida: 1

Bengt Sebring OKTOBER 2000 Ordförande GRANSKNINGSRAPPORT 3 Sida: 1 ÅSTORPS KOMMUN GRANSKNING AV IT-SÄKERHET 2000 Bengt Sebring Ordförande GRANSKNINGSRAPPORT 3 Sida: 1 Innehållsförteckning Sammanfattning....... 3 1. Inledning....... 4 1.1 Syfte med revisionen...... 4 1.2

Läs mer

STYRKAN I ENKELHETEN. Business Suite

STYRKAN I ENKELHETEN. Business Suite STYRKAN I ENKELHETEN Business Suite HOTET ÄR VERKLIGT Onlinehot mot ditt företag är verkliga, oavsett vad du gör. Om du har data eller pengar är du ett mål. Säkerhetstillbuden ökar drastiskt varje dag

Läs mer

Vägledning för krav på dokumenterad information enligt ISO 9001:2015

Vägledning för krav på dokumenterad information enligt ISO 9001:2015 Vägledning för krav på dokumenterad information enligt ISO 9001:2015 1 Orientering Två av de viktigaste målen vid revideringen av standarderna i ISO 9000-serien var att a) utveckla förenklade standarder

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts

Läs mer

Reglemente för internkontroll

Reglemente för internkontroll Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll

Läs mer

Pandium Capital AB RIKTLINJER FÖR INTERNREVISION

Pandium Capital AB RIKTLINJER FÖR INTERNREVISION Pandium Capital AB RIKTLINJER FÖR INTERNREVISION Dessa riktlinjer har fastställts av styrelsen för Pandium Capital AB vid styrelsemöte den 30 september 2013 INNEHÅLLSFÖRTECKNING 1 INLEDNING... 1 2 ORGANISATION

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C Säkerhet Säkerhet 2 (14) Innehåll 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll säkerhetsrevision 5 2.1.3 Säkerhets-

Läs mer

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012 Göteborg Energi AB Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte 18 december 2012 1 Sammanfattning Med start hösten 2010 har Deloitte, Ernst & Young och PwC på uppdrag av Göteborgs

Läs mer

Återkoppling på revisorernas granskning av landstingets åtgärder för att motverka ekonomisk brottslighet

Återkoppling på revisorernas granskning av landstingets åtgärder för att motverka ekonomisk brottslighet BESLUTSUNDERLAG Landstingsstyrelsen Central förvaltning Datum 2015-02-16 Sida 1 (2) Administrativ enhet Dnr LD14/02923 Uppdnr 891 2015-02-02 Landstingsstyrelsens arbetsutskott 2015-02-16 Landstingsstyrelsen

Läs mer

Informationssäkerhet

Informationssäkerhet Informationssäkerhet trender och utmaningar Rätt Säkerhet 2013 Tobias Hermansson och Sara Löfving Vår globala informationssäkerhetsundersökning För 15:e året i följd har Ernst & Youngs genomfört sin globala

Läs mer

Granskning av informationssäkerhet inom Landstinget i Kalmar län

Granskning av informationssäkerhet inom Landstinget i Kalmar län Landstingsdirektörens stab Kanslienheten TJÄNSTESKRIVELSE Sida 1(1) Datum 2015-06-29 Diarienummer 150246 Landstingsstyrelsen Granskning av informationssäkerhet inom Landstinget i Kalmar län Förslag till

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG Underlag 1. Några myndigheters rapportering om informationssäkerhet i årsredovisningen Årsredovisningar år 2009 Läkemedelsverket Ledningssystemet för informationssäkerhet SS-ISO/IEC 27001:2006 är under

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet

EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet IT SOM TJÄNST - MOLNTJÄNSTER Användning av internetbaserade IT-tjänster tillhandahållna av extern leverantör Syfte

Läs mer

Processinriktning i ISO 9001:2015

Processinriktning i ISO 9001:2015 Processinriktning i ISO 9001:2015 Syftet med detta dokument Syftet med detta dokument är att förklara processinriktning i ISO 9001:2015. Processinriktning kan tillämpas på alla organisationer och alla

Läs mer

Policy för internkontroll för Stockholms läns landsting och bolag

Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag 2 (6) Innehållsförteckning Policy för internkontroll... 1 för Stockholms

Läs mer

SÖDERTÄLJE KOMMUNALA FÖRFATTNINGSSAMLING

SÖDERTÄLJE KOMMUNALA FÖRFATTNINGSSAMLING SÖDERTÄLJE KOMMUNALA FÖRFATTNINGSSAMLING Utgåva februari 2006 6:1 REGLEMENTE FÖR INTERN KONTROLL Inledning 1 Syftet Detta reglemente syftar till att säkerställa att såväl den politiska som den professionella

Läs mer

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång.  Informationssäkerhetsspecialister: www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet angående externt och internt dataintrång Informationssäkerhetsspecialister: Pernilla Nordström Viktor Bergvall Victor Svensson Kommunalrevisor:

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Indikatorer för bedömning av landstingets generella krisberedskap Norrbottens läns landsting dnr 3520-16 Syftet med en bedömning av landstingets

Läs mer

Kamedo. IT-haverier i vården. Johan Carlstedt Socialstyrelsen

Kamedo. IT-haverier i vården. Johan Carlstedt Socialstyrelsen Kamedo IT-haverier i vården Johan Carlstedt Socialstyrelsen Katastrofmedicinska observatörsstudier Vad är Kamedo? Vad studeras? Hur bedrivs arbetet? Varför den här rapporten? Ökande antal IT-haverier inom

Läs mer

Utöver vad som föreskrivs i kommunallagen gäller bestämmelserna i detta reglemente.

Utöver vad som föreskrivs i kommunallagen gäller bestämmelserna i detta reglemente. 1 (5) Reglemente för intern kontroll Utöver vad som föreskrivs i kommunallagen gäller bestämmelserna i detta reglemente. Syfte med reglementet 1 Syfte Detta reglemente syftar till att säkerställa att kommunstyrelsen

Läs mer

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight?

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight? Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight? Fredrik Rehnström, CISSP, CISM, CGEIT Seniorkonsult, vvd, partner Ca 50% av de beslut som fattas görs på underlag

Läs mer

KVALITETSLEDNINGSSYSTEM MORA DATORER AB

KVALITETSLEDNINGSSYSTEM MORA DATORER AB KVALITETSLEDNINGSSYSTEM MORA DATORER AB Sida 1 av 7 KVALITETSLEDNINGSSYSTEM MORA DATORER AB INNEHÅLL KVALITETSPOLICY 3 ORGANISATION OCH LEDARSKAP 3 Organisation och ledarskap 3 Kvalitetssystem 3 Intern

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

EBITS 2008-03-10 Arbetsgruppen för Energibranschens Reviderad 2009-10-21 Informationssäkerhet

EBITS 2008-03-10 Arbetsgruppen för Energibranschens Reviderad 2009-10-21 Informationssäkerhet 2008-03-10 Arbetsgruppen för Energibranschens Reviderad 2009-10-21 Informationssäkerhet Digitala mätvärden - Riktlinjer för insamling och visning Syfte Syfte med detta dokument är att synliggöra informationssäkerhetsproblematiken

Läs mer

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10 Revisionsrapport KPMG AB Antal sidor: 10 Innehåll 1. Sammanfattning 1 2. Bakgrund 3 3. Syfte 3 4. Avgränsning 3 5. Revisionskriterier 4 6. Ansvarig styrelse/nämnd 4 7. Metod 4 8. Projektorganisation 4

Läs mer

Capitex dataservertjänst

Capitex dataservertjänst Capitex dataservertjänst Beskrivning Capitex dataservertjänst fungerar som en mellanhand för arbetet mellan klienterna och databasen. Detta reducerar frekvensen och storleken på den nätverkstrafik som

Läs mer

Att planera tekniken. Stöddokument för. Version: 20130211 Ersätter : Tidigare dokument på orientering.se.

Att planera tekniken. Stöddokument för. Version: 20130211 Ersätter : Tidigare dokument på orientering.se. Stöddokument för Att planera tekniken Version: 20130211 Ersätter : Tidigare dokument på orientering.se. Här följer några frågor att fundera igenom på tekniksidan: Hur ser det ut med hårdvaruresurser och

Läs mer

Vem tar ansvar för Sveriges informationssäkerhet?

Vem tar ansvar för Sveriges informationssäkerhet? Vem tar ansvar för Sveriges informationssäkerhet? 6 åtgärder för förbättrad informationssäkerhet Sälen 2008-01-14 Vem har ansvaret vid en storskalig it-attack? Vem skulle vara ansvarig om Sverige utsattes

Läs mer

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015 Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015 Agenda Tillvägagångssätt för att identifiera IT-relaterade risker. Exempel på olika typer av ITrelaterade granskningar.

Läs mer

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet Beskrivning av infrastruktur kring RTJP 1 1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet 1.1 Nätverk och brandvägg RTJP är placerat

Läs mer

Holm Security VMP. Nästa generations plattform för sårbarhetsanalyser

Holm Security VMP. Nästa generations plattform för sårbarhetsanalyser Holm Security VMP Nästa generations plattform för sårbarhetsanalyser Nätverksskanning Automatiskt & kontinuerligt Vår nätverksskanning skannar automatiskt och kontinuerligt dina system efter över 43 000

Läs mer

Lägesrapport av säkerhetsbrist i Stockholms läns landsting IT-miljö

Lägesrapport av säkerhetsbrist i Stockholms läns landsting IT-miljö Lägesrapport av säkerhetsbrist i Stockholms läns landsting IT-miljö 2013-10-31 Landstingsstyrelsens förvaltning Biträdande förvaltningschef Anders Nyström 2 (5) Innehållsförteckning Bakgrund... 3 Metod...

Läs mer

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet 2010-11-22 Beslut 1(9) Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet Inledning Universitetsstyrelsen fastställde 2002-02-27 IT-strategi för Linköpings universitet. Där fastslås

Läs mer

Icke funktionella krav

Icke funktionella krav 1 (9) Underskriftstjänst Svensk e-legitimation 2 (9) INNEHÅLL 1 Inledning... 3 2 Tillgänglighet och kapacitet... 3 2.1 Svarstider... 3 3 Administrativ säkerhet... 4 3.1 Policy och regelverk... 4 3.1.1

Läs mer

Systemkrav och tekniska förutsättningar

Systemkrav och tekniska förutsättningar Systemkrav och tekniska förutsättningar Hogia Webbrapporter Det här dokumentet går igenom systemkrav, frågor och hanterar teknik och säkerhet kring Hogia Webbrapporter, vilket bl a innefattar allt ifrån

Läs mer

Compliance och Internrevision kan lära av varandra. Louise Hedqvist, FCG Desirée Nordqvist, Länsförsäkringar AB

Compliance och Internrevision kan lära av varandra. Louise Hedqvist, FCG Desirée Nordqvist, Länsförsäkringar AB Compliance och Internrevision kan lära av varandra Louise Hedqvist, FCG Desirée Nordqvist, Länsförsäkringar AB Compliance och Internrevision kan lära av varandra 1 Sammarbete 2 Ramverk 3 Planering 4 Granskning

Läs mer

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN Syfte med reglementet 1 Syfte Detta reglemente syftar till att säkerställa att kommunstyrelsen, nämnder och bolagsstyrelser upprätthåller en tillfredsställande

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Revisionsrapport. Internkontroll - Finspångs kommun år 2007. Ref R Wallin

Revisionsrapport. Internkontroll - Finspångs kommun år 2007. Ref R Wallin Revisionsrapport Internkontroll - Finspångs kommun år 2007 Ref R Wallin 1. Sammanfattning...3 2. Inledning...4 3. Syfte...4 4. Utgångspunkter...4 4.1 Metod...5 5. Resultat av granskningen...5 5.1 Servicenämnden...5

Läs mer

Intrångstester SIG Security, 28 oktober 2014

Intrångstester SIG Security, 28 oktober 2014 Intrångstester SIG Security, 28 oktober 2014 Mattias Berglund Oberoende konsult inom IT- och informationssäkerhetsområdet Fokus på test och granskningar av system Bakgrund inom drift och förvaltning, säkerhetskonsult

Läs mer

Granskning intern kontroll

Granskning intern kontroll Revisionsrapport Granskning intern kontroll Kinda kommun Karin Jäderbrink Cert. kommunal revisor Innehållsförteckning 1 Sammanfattande bedömning 1 2 Bakgrund 2 2.1 Uppdrag och revisionsfråga 2 2.2 Avgränsning

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Reglemente för intern kontroll

Reglemente för intern kontroll Reglemente för intern kontroll Strategi Plan/program Riktlinje Regler och instruktioner Fastställt av: Kommunfullmäktige Datum: 2014-06-17 För revidering av reglementet ansvarar: Kommunfullmäktige För

Läs mer

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system Stockholms läns landsting Landstingsstyrelsens förvaltning SLL Informationssäkerhet SLL IT Handläggare: Vesna Lucassi Landstingsstyrelsens innovationsberedning Ankom Stockholms läns landsting 2015-08-

Läs mer

Lösenordsregelverk för Karolinska Institutet

Lösenordsregelverk för Karolinska Institutet Lösenordsregelverk för Karolinska Institutet Dnr 1-213/2015 Version 2.0 Gäller från och med 2015-05-18 Sida 2 av 7 Lösenordsregelverk för Karolinska Institutet - Sammanfattning Syfte Det övergripande syftet

Läs mer

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc www.pwc.se Revisionsrapport Joanna Hägg Tilda Lindell Granskning av intern kontroll Tierps kommun pwc Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Granskningsbakgrund...

Läs mer

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun Datum Dnr Dpl 2009-09-10 2009/KS0203-1 005 Riktlinjer för IT i Lilla Edets kommun 1. Introduktion Det politiskt styrande dokumentet för IT-användning i Lilla Edets kommun är denna riktlinje, som fastställs

Läs mer

Tillämpningsanvisningar för intern kontroll, teknik- och servicenämnden

Tillämpningsanvisningar för intern kontroll, teknik- och servicenämnden 1/8 Beslutad: Teknik- och servicenämnden 2015-03-24 36 Gäller fr o m: 2015-04-01 Myndighet: Teknik- och servicenämnd Diarienummer: TSN/2015:136-012 Ersätter: - Ansvarig: Teknik- och servicekontoret Tillämpningsanvisningar

Läs mer

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016 www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016 Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4

Läs mer