Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna

Storlek: px
Starta visningen från sidan:

Download "Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna"

Transkript

1 Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna Landstinget i Uppsala län BDO Risk Advisory Services Oslo, 25. Februari 2015

2 1. Inledning Innehåll 1. Innledning 1.2 Sammanfattning revision 2. IT-säkerhetsrevision 2.1 Tillvägagångssätt och begränsningar ITsäkerhetsrevision 2.2 Sammanfattning IT-säkerhetsrevision 3. Penetrationstest 3.1 Skillnaden mellan externt och internt penetrationstest 3.2 Tillvägagångssätt och begränsningar Externt penetrationstest 3.3 Tillvägagångssätt och begränsningar Internt penetrationstest 3.4 Metodik Säkerhetstestning intern/extern 3.5 Sammanfattning Externt penetrationstest 3.6 Sammanfattning Internt penetrationstest 4. Tillstånd på rekommendationer från IT-säkerhetsrevision genomförd i Nya rekommendationer från IT-säkerhetsrevision Status på tidigare rekommendationer från externt penetrationstest genomfört i Nya rekommendationer från externt penetrationstest Status på tidigare rekommendationer från internt penetrationstest genomfört i 2011 Bakgrund Landstingets revisorer upphandlade i 2011 PWC för att genomföra en granskning av säkerhetsprocesser för IT samt externa och interna penetrationstest. Detta gjordes för att säkerställa att Landstingsstyrelsen har en adekvat IT-säkerhet avseende skydd mot obehörigt intrång. Landstingets revisorer önskade genomföra en uppföljning av den tidigare genomförda granskningen av landstingets IT-säkerhetsprocesser samt interna och externa penetrationstester. Syfte Syftet med denna granskning är att säkerställa att Landstinget i Uppsala Län (LUL) har vidtagit åtgärder utifrån revisionens rekommendationer och att landstinget i övrigt bedriver ett ändamålsenligt och systematiskt arbete med IT-säkerhet. Testerna och granskningen vill utvärdera landstingets interna och externa IT-säkerhet, identifiera potentiella säkerhetsbrister samt ge rekommendationer för riskreducerande åtgärder. Uppdraget genomfördes under januari och februari Den överordnade frågan som denna revision skall svara på är: Har landstinget vidtagit åtgärder utifrån revisionens rekommendationer och finns det idag ett ändamålsenligt och systematisk arbete med IT-säkerhet? Begränsningar Genomgången, intervjuerna och testen är styckprovsbaserade och vill ge en ögonblicksbild av säkerhetstillståndet i LUL. Revisionen ger ingen garanti för att alla säkerhetsbrister och fel identifieras. Det kan därför vara flera säkerhetsrisker i IT-miljön som inte omtalas i denna rapport. 9. Nya rekommendationer från internt penetrationstest Bilagor Siv Irene Aasen Projektledare Karl-Ludvig Mauland Ansvarig Partner Rapport - Landstinget i Uppsala län 2

3 Sammanfattning revision ITsäkerhetsrevision Vårt övergripande intryck efter granskningen av IT-säkerhetsprocesser hos LUL är att det är etablerat en del processer för att värna om IT-säkerheten i den operativa verksamheten, då IT-säkerhet är en integrerad del av hela verksamheten. IT-säkerhetsprocessen är emellertid inte tillfredsställande i alla delar, och det finns utrymme för förbättringar i styrning och ledning av IT-säkerhet, förankring av roller och ansvar, inkluderat mätning och uppföljning av området. Ett särskilt förbättringsbehov är identifierat inom åtkomstkontroller i de operativa processerna. Externt penetrationstest Baserat på genomförda tester framstår LULs externa nätverk som gott skyddat mot angrepp från internet. Servrar, tjänster och information verkar vara väl säkrat mot extern åtkomst och manipulation. Vi ser att säkerheten är förbättrad sedan förra säkerhetstestet 2011, men det återstår fortfarande något arbete för att säkra nätverket i förhållande till bästa praxis. Det har under detta penetrationstest inte avtäckts några allvarliga sårbarheter eller fel. Den största risken idag är utdaterad programvara på exponerade servrar. Detta var också en av dom största riskerna som drogs fram under förra testet Jämfört med 2011, har landstingets exponering ökat, men dock minimalt och är inom vad som borde anses som acceptabelt. Internt penetrationstest Baserat på genomförda tester framstår LULs interna nätverk som tillräckligt skyddat mot interna hot som exempelvis missnöjda anställda eller skadlig programvara. Kritiska servrar, tjänster och information verkar vara tillräckligt säkrade mot tillgång och manipulation. Enskilda mindre kritiska servrar och klienter har visat sig vara sårbara och det har varit möjligt att uppnå administrativa rättigheter på flera av dessa. De största riskerna idag är utdaterad programvara och operativsystem på en del interna servrar och klienter, användandet av osäkrade tjänster och användandet av lokala standard- eller svaga lösenord Rapport - Landstinget i Uppsala län 3

4 2. IT-säkerhetsrevision 4

5 2.1 Tillvägagångssätt och begränsningar IT-säkerhetsrevision Tillvägagångssätt Uppdraget är genomfört i två delar, där del 1 omfattar informationsinhämtning och -genomgång, och del 2 omfattar genomförande av intervjuer och styckprovsbaserad testning av tillfälligt utvalda områden. Utgångspunkten för denna revision är tidigare genomförd revisionsslutrapport med fynd och eventuella förslag till förbättringar. Vi använder oss av ISO 27001/2 och COBIT 5 vid utarbetandet av revisionsprogrammet på detta område och vi kommer att använda dessa ramverk vid kvalitetssäkring. Vi har inhämtat, och genomgått, relevant dokumentation för de olika områdena. Struktur Vi har delat upp olika frågor i 6 huvudkategorier i vår granskning. Frågorna bygger på områdan i ISO och COBIT Styrning och ledning 2. Riskvärdering 3. Organisering 4. Resurser och kompetens 5. Operativa processer 6. Mätning och förbättring Vid genomföring av ITsäkerhetsrevisionen önskar vi bland annat att få svar på följande frågor: Är säkerhetsarbetet förankrat i ledningen? Genomförs riskanalyser regelbundet och vid ändringar? Blir riskanalyser genomförda enligt ett enhetligt och gemensamt ramverk? Är det etablerat en process för händelsehantering, tillgångshantering och kontroll med administrativ tillgång till systemen? Är det utarbetat KPI-er (Key Performance Indicator) för säkerhetsarbetet? Är dessa mätbara och blir det rapporterat och uppföljt? Område 1 Område 2 Område 2 Område 5 Område 6 Område 6 Vi har intervjuat följande personer: Petter Könberg IT-direktör Fredrik Rosenberg Informationssäkerhetsansvarlig Johan Lindqvist MSI, Avdelingschef Greger Söderqvist MSI, Teknisk stöd IT Petter Larsson MSI, Nät och server Caroline Sundevall MSI, IT system Per Foyer MSI, IT säkerhetskonsult Mikael Ekberg och Tomas Roland Säkerhet och beredskap 5

6 2.2 Sammanfattning IT-säkerhetsrevision (1/3) Vårt övergripande intryck efter granskning av IT-säkerhetsprocesser hos LUL, är att en del processer är etablerade för att värna om IT-säkerheten i den operativa verksamheten, då IT-säkerhet är en integrerad del av hela verksamheten. ITsäkerhetsprocessen är emellertid inte tillfredsställande i alla delar, och det finns utrymme för förbättringar i styrning och ledning av IT-säkerhet, förankring av roller och ansvar, inkluderat mätning och uppföljning av området. Ett särskilt förbättringsbehov är identifierat inom åtkomstkontroller i de operativa processerna. Styrning och ledning Koncernledningen har traditionellt sätt inte varit involverade i styrning och ledning av IT-säkerheten i LUL. Riktlinjer och åtgärder inom IT-säkerhet från centralt håll har varit beroende av initiativ från enskilda personer. Informationssäkerhetsansvarlig har tagit initiativ på området, men han står väldigt ensam. Riskvärdering Det är etablerat processer för riskvärderingar inom LUL. Riskvärderingar från olika objekt och verksamheter sys ihop till en gemensam riskvärdering för landstinget. IT-säkerhet och informationssäkerhet är egna områden innanför detta område. Organisering Det är få personer som arbetar dedikerat med IT-säkerhet och informationssäkerhet inom LUL. Informationssäkerhetsansvarig centralt är den enda personen som har ett formellt ansvar i förhållande till detta, medan övriga individer runt om i organisationen upprätthåller uppgiften som en integrerad del av sin ställning. Utifrån landstingets storlek och komplexitet bedöms antalet resurser som arbetar dedikerat med IT-säkerhet och informationssäkerhet som lågt. Resurser och kompetens Kurs för upplärning inom bland annat informationssäkerhet och IT-säkerhet hålls för nyanställda. Det arbetas också med att etablera en kurs för ledare inom Landstinget. Det är inte ställt formella krav till kompetens inom IT och IT-säkerhet för IT-samordnare i verksamheterna. Det är få resurser i Landstinget som arbetar dedikerat med informationssäkerhet och IT-säkerhet. 6

7 2.2 Sammanfattning IT-säkerhetsrevision (2/3) Operativa processer IT-säkerhet är en integrerad del av de operativa processerna i Landstinget och i MSI. Operativa processer som utförs utanför MSI är emellertid i mindre grad utsatt för kontroll, och ansvaret är i stor grad beroende på den enskilda Systemförvaltaren/Objektägaren. Vi har identifierat områden med behov av förbättringar inom operativa processer som ändringshantering och åtkomstkontroller. Mätning och förbättring Informationssäkerhetsansvarig har definierat mål i förhållande till mätning av IT-säkerhet i LUL. Dessa mätningar är inte förankrade i de olika verksamheterna, och det är inte etablerat processer för mätning och uppföljning. Det är emellertid etablerat en process för egenkontroll där alla verksamheter gör en evaluering av sitt eget tillstånd. Detta uppsummeras och presenteras för koncernledningen. 7

8 2.2 Sammanfattning IT-säkerhetsrevision (3/3) Nr. Prioritet/Status 2015 Prioritet/Status 2011 Rekommendation A5.4 Hög - Ändringshantering Icke-auktoriserad mjukvara A5.6 Hög - Åtkomstkontroll Lokala administratorer inom nätet A5.7 Hög - Åtkomstkontroll Lokala administratorer på egna datorer A5.9 Hög - Åtkomstkontroll Privilegierade användarkonton inom serverdrift Medium Hög Öka övervakning av applikationer/ system som är en del av infrastrukturen för att minimera intrång risker Medium Medium Utarbeta formellt dokumenterade acceptabla krav och regler gällande säkerhetsparametrar A1.1 Medium - Förankring i ledningen A1.2 Medium - IT-strategi A1.3 Medium - Styrningsdokumentation A3.1 Medium - Organisering av IT-säkerhetsorganisationen A4.1 Medium - Kompetens bland IT-samordnare A4.2 Medium - Medvetenhet kring IT-säkerhet A5.1 Medium - Operativa processer gemensamt. A5.2 Medium - Händelsehantering A5.3 Medium - Ändringshantering kategorisering av ändringar A5.5 Medium - Åtkomstkontroll Periodisk genomgång av användare och åtkomster A5.8 Medium - Åtkomstkontroll Funktionstillgångar A6.1 Medium - Mätningsparameter för IT-säkerhet A2.1 Låg - Process för riskvärdering A2.2 Låg - Acceptanskriterier för risk A4.3 Låg - Formella krav till utbildning inom IT-säkerhet A6.2 Låg - Egenkontroll 8

9 3. Penetrationstest 9

10 3.1 Skillnaden mellan externt och internt penetrationstest Externt penetrationstest Simulera ett angrepp från internet Genomförs från en extern plats Intern penetrationstest Simulera ett angrepp från insidan (anställda med ett illvilligt uppsåt, ondsinnad kod m.m.) Genomförs från kundens lokaler 10

11 3.2 Tillvägagångssätt och begränsningar Externt penetrationstest Tillvägagångssätt Genomförande av ett externt penetrationstest kan göras med olika tillvägagångssätt och med olika förutsättningar och verktyg. I detta genomförande har det primära focuset varit att följa upp fynd från det förra penetrationstest som genomfördes Syftet med detta har varit att verifiera om åtgärder är implementerade och om de fungerar effektivt. Avtäckande av nya fynd och sårbarheter har haft sekundärt fokus. Det externa penetrationstestet genomfördes från BDOs lokaler i Oslo med egen testutrustning med krypterade diskar. BDO använde en dedikerad internetuppkoppling från sitt test lab under testningen. Allmänt tillgängliga verktyg, kommersiella och freeware, och tekniker som antas användas av datakriminella för att avtäcka sårbarheter och tillägna sig information användes under testningen. Begränsningar Kända tekniker som potentiellt används av kriminella, men som inte har varit en del av detta genomförande, är social manipulation och överbelastningsangrepp. Förstnämnda är primärt ett icke-teknisk tillvägagångssätt, medan sistnämnda kan resultera i instabilitet och avbrottstid. Därutöver har inte varianter av tekniken «brute force», som fordrar utskickane av stora mängder trafik, använts. Detta då det kan resultera i instabilitet och avbrottstid. Då ett stort antal system påträffats i externa nätverket, har tester endast genomförts på ett begränsat urval av dessa. Tester har, på grund av tidsbegränsningar, endast skett mot ett urval av de tjänster och system som varit tillgängliga. Det innebär sannolikt att det finns fler brister än de som identifierats och redogörs för i denna rapport. De tester som genomförts ger endast en ögonblicksbild av brister och säkerhetsnivån för det aktuella tillfället då testerna utfördes. Ingen hänsyn tas till aktiviteter som genomförts före eller efter testperioden. Omfång Följande IP-adresser har blivit kartlagda under denna genomföring:

12 3.3 Tillvägagångssätt och begränsningar Internt penetrationstest Tillvägagångssätt Genomförande av ett externt penetrationstest kan göras med olika tillvägagångssätt och med olika förutsättningar och verktyg. I detta genomförande har det primära focus varit att följa upp fynd från det förra penetrationstest som genomfördes Syftet med detta har varit att verifiera om åtgärder är implementerade och om de fungerar effektivt. Avtäckande av nya fynd och sårbarheter har haft sekundärt fokus. Det interna penetrationstestet genomfördes genom att koppla upp sig till landstingets interna nätverk från ett mötesrum i konferenscentret. Under penetrationstesten användes egen testutrustning som kör Windows 7 och Kali Linux. Allmänt tillgängliga verktyg, kommersiella och freeware, och tekniker som antas användas av datakriminella för att avtäcka sårbarheter och tillägna sig information användes under testningen. Begränsningar Kända tekniker som potentiellt används av kriminella, men som inte har varit en del av denna genomföring, är social manipulation och överbelastningsangrepp. Förstnämnda är primärt ett icke-teknisk tillvägagångssätt, medan sistnämnda kan resultera i instabilitet och avbrottstid. Därutöver har inte varianter av tekniken «brute force», som fordrar utskickane av stora mängder trafik, använts. Detta då det kan resultera i instabilitet och avbrottstid. Då ett stort antal system påträffats i externa nätverket, har tester endast genomförts på ett begränsat urval av dessa. Tester har, på grund av tidsbegränsningar, endast skett mot ett urval av de tjänster och system som varit tillgängliga. Det innebär sannolikt att det finns fler brister än de som identifierats och redogörs för i denna rapport. De tester som genomförts ger endast en ögonblicksbild av brister och säkerhetsnivån för det aktuella tillfället då testerna utfördes. Ingen hänsyn tas till aktiviteter genomförts före eller efter testperioden. Omfång Följande IP-adresser har blivit kartlagda under denna genomföring:

13 Metodik Säkerhetstestning intern/extern Ett penetrationstest har som mål att avtäcka sårbarheter knutna till tjänster och underliggande infrastruktur som är exponerade idag. BDOs ramverk för penetrationstestning är baserat på bästa praxis från flera allmänt kända institutioner för att säkra ett så fullständig test som möjligt. Uppstart och planläggning - Fastsätta mål, ramar och omfång - Utarbeta körregler - Inhämta godkännande - Signering av kontrakt - Sätta upp och konfigurera verktyg och maskiner - Inhämta och systematisera information - Utarbeta nätverksskiss - Göra eventuella prioriteringar innan nästa fas Kartläggning/ Informationsinhämtning Sårbarhetsanalys och -utnyttjande - Genomföra sårbarhetsanalys - Genomföra sårbarhetsutnyttjande - Riskevaluering av eventuella fynd* * Kritiska fynd rapporteras omedelbart Rapportering - Verifiera observationer och fynd - Utarbeta förslag till korrigerande åtgärder - Skriva rapport - Presentera rapport 13

14 3.5 Sammanfattning Externt penetrationstest Baserat på genomförda tester framstår LULs externa nätverk som gott skyddat mot angrepp från internet. Servrar, tjänster och information verkar vara väl säkrat mot extern åtkomst och manipulation. Vi ser att säkerheten är förbättrad sedan förra säkerhetstestet 2011, men det återstår fortfarande något arbete för att säkra nätverket i förhållande till bästa praxis. Det har under detta penetrationstest inte avtäckts några allvarliga sårbarheter eller fel. Den största risken idag är utdaterad programvara på exponerade servrar. Detta var också en av de största riskerna som drogs fram under förra testet, i Exponeringen mot internet för LUL utgörs av 109 öppna portar, fördelat på 67 olika IP-adresser, med 15 olika typer av protokoll/tjänster. Jämfört med 2011, har landstingets exponering ökat, men dock minimalt och är inom vad som borde anses som acceptabelt. Nr. Prioritet /Status 2015 Prioritet/Status 2011 Rekommendation Medium Hög Komplettera uppdateringsrutiner för applikationer på servrar B1 Medium - Begränsa exponeringen av personliga uppgifter Låg Medium Åtgärda övriga identifierade applikationer med SQL injektion Låg Medium Förbättra rutiner kring produktionssättning av webbtjänst Låg Låg Reducera exponering av oanvända tjänster Låg Låg Begränsa exponering av administrativa funktioner Låg Låg Begränsa läckage av kontonamn mot Internet B2 Låg - Avaktivera omdirigering Risk hanterad Hög Åtgärda SQL injektion på medsys Risk hanterad Hög Säkra konfiguration av Lotus Quickr på qp1.lul.se Risk hanterad Medium Begränsa exponering av tillfälliga, privata, tjänster mot Internet Risk hanterad Medium Förhindra obehöriga zontransfereringar Risk hanterad Medium Förhindra exponering av lösenord till applikation Mikromarc Risk hanterad Låg Verifiera förutsättningar för extern parts tjänst på LUL:s nätverk 14

15 3.6 Sammanfattning Internt penetrationstest Baserat på genomförda tester framstår LULs interna nätverk som tillräckligt skyddat mot interna hot som exempelvis missnöjda anställda eller skadlig programvara. Kritiska servrar, tjänster och information verkar vara tillräckligt säkrade mot tillgång och manipulation. Enskilda mindre kritiska servrar och klienter har visat sig vara sårbara och det har varit möjligt att uppnå administrativa rättigheter på flera av dessa. De största riskerna idag är utdaterad programvara och operativsystem på en del interna servrar och klienter, användandet av osäkrade tjänster och användandet av lokala standard- eller svaga lösenord. Nr. Prioritet/Status 2015 Prioritet/Status 2011 Rekommendation Medium Hög Komplettera uppdateringsrutiner för interna servrar Medium Hög Komplettera uppdateringsrutiner för interna klienter Medium Medium Ersätt installationer av utgångna operativsystem C1 Medium - Begränsa tillgången till SNMP C2 Medium - Ändra lösenord på web-gränssnitt mot övervakningskameror C3 Medium - Avaktivera konfigurationsporten och ändra på Lantronix-enheter Låg Medium Fastställ och applicera komplexitets-krav på lösenord Låg Låg Utöka filtreringen i nätverket C4 Låg - Begränsa tillgång till NetBIOS C5 Låg - Genomföra regelmässig periodisk genomgång av användare och tillgångar. C6 Låg - Hindra enumerering av Oracle databas. C7 Låg - Ändra lösenord på SSH-tjänster C8 Låg - Begränsa möjligheten till att koppla främmande utrustning till nätverket C9 Låg - Maskinnamn indikerar tjänster C10 Låg - Begränsa tillgång till FTP-servrar Risk hanterad Hög Efterlev eller etablera krav på lösenord i databaser Risk hanterad Medium Inför utelåsning i UAS-domänen Risk hanterad Låg Avaktivera lagring av lösenord i LanMan-format 15

16 1. Förklaring till symboler Symbolen indikerar vår uppfattning av situationen vid genomförandet av projektet. Utvärderingarna är baserade på kartläggning, observationer och testning gjort i samband med projektgenomförandet, och ger inte någon total konklusion, men hellre en indikation på status på säkerhetsarbetet. Det kan därför vara förhållanden som inte är värderade och som hade kunnat medföra andra konklusioner. Utvärderingar Kvaliteten måste förbättras omgående Möter inte minsta rekommendation till bästa praxis. Kritiska risker eller väsentliga svagheter är inte hanterade på ett tillfredsställande sätt. Väsentliga ekonomiska, regulativa eller anseendemässiga förluster kan inträffa. Åtgärder måste initieras omedelbart Kvaliteten måste förbättras Möter inte alla rekommendationer till bästa praxis. Väsentliga risker eller svagheter är inte hanterade på ett tillfredsställande sätt. Väsentliga förluster kan inträffa. Åtgärder måste initieras så snart som möjligt. Kvaliteten bör förbättras Möter inte alla rekommendationer till bästa praxis. Enskilda risker är inte hanterade på ett tillfredsställande sätt. Förluster kan inträffa. Åtgärder bör initieras. Kvaliteten kan förbättras Möter de flesta rekommendationer till bästa praxis. Det är inte avtäckt väsentliga risker som inte är hanterade på ett tillfredsställande sätt. Förluster kan ändå inträffa, och det vill vara områden som kan förbättras. Kvaliteten är tillfredsställande Möter de allra flesta rekommendationer till bästa praxis. Det är inte avtäckt väsentliga risker som inte är hanterade på ett tillfredsställande sätt. Förluster kan ändå inträffa, och det vill vara områden som kan förbättras. Rekommendationer Hög Medium Låg Risk hanterad Rapport - Landstinget i Uppsala län Hög prioritet Anger en kritisk risk eller ett lagstadgat krav som inte är hanterat på ett tillfredsställande sätt. Det måste initieras åtgärder snarast. Medium prioritet Anger en risk som inte är hanterat på ett fullt ut tillfredsställande sätt. Åtgärder bör initieras så snart som möjligt. Låg prioritet Anger en risk som inte är hanterad på en fullt ut tillfredsställande sätt, men där risken inte värderas att ha stor betydelse. Åtgärder bör initieras. Informativ Risk avtäckt under tidigare testning som nu är hanterad. 16

17

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

Datum 2014-04-11. Kommunrevisionen: Granskning av generalla IT-kontroller 2013

Datum 2014-04-11. Kommunrevisionen: Granskning av generalla IT-kontroller 2013 ta,xj -Zoty-OG-I^ Uppsala "KOMMUN A retat. 4-5 KONTORET FÖR BARN, UNGDOM OCH ARBETSMARKNAD Handläggare Wicks Elaine Datum 2014-04-11 Diarienummer BUN-2014-0631 Barn och ungdomsnämnden Kommunrevisionen:

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkra trådlösa nät - praktiska råd och erfarenheter Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret GRANSKNINGS Uppföljning IT-granskningar Projektledare: Lotta Onsö Beslutad av revisorskollegiet 2013-06-12 RAPP Uppföljning IT-granskningar Postadress: Stadshuset, 205 80 Malmö Besöksadress: August Palms

Läs mer

Inga krav utöver ISO 14001

Inga krav utöver ISO 14001 Förordning (2009:907) om miljöledning i statliga myndigheter Relaterat till motsvarande krav i ISO 14001 och EMAS De krav som ställs på miljöledningssystem enligt EMAS utgår från kraven i ISO 14001. Dessutom

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

OHSAS 18001.2007. Av Benny Halldin

OHSAS 18001.2007. Av Benny Halldin OHSAS 18001.2007 Av Benny Halldin Revision av OHSAS 18001 Ny standard klar juni/juli 2007! Mer lika ISO 14 001.2004 Mer tonvikt på Hälsa även psykisk sådan. Anläggningssäkerhet borttaget. Nytt avsnitt

Läs mer

Icke funktionella krav

Icke funktionella krav 1 (9) Underskriftstjänst Svensk e-legitimation 2 (9) INNEHÅLL 1 Inledning... 3 2 Tillgänglighet och kapacitet... 3 2.1 Svarstider... 3 3 Administrativ säkerhet... 4 3.1 Policy och regelverk... 4 3.1.1

Läs mer

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Kommunens revisorer 2013-04-08 GRANSKNING AV INTERNKONTROLLPLANER I HÄRRYDA KOMMUN Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Rapporten

Läs mer

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG Underlag 1. Några myndigheters rapportering om informationssäkerhet i årsredovisningen Årsredovisningar år 2009 Läkemedelsverket Ledningssystemet för informationssäkerhet SS-ISO/IEC 27001:2006 är under

Läs mer

EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet

EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet IT SOM TJÄNST - MOLNTJÄNSTER Användning av internetbaserade IT-tjänster tillhandahållna av extern leverantör Syfte

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

Utforma säkerhetsprocesser

Utforma säkerhetsprocesser Utforma säkerhetsprocesser www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen

Läs mer

Lägesrapport av säkerhetsbrist i Stockholms läns landsting IT-miljö

Lägesrapport av säkerhetsbrist i Stockholms läns landsting IT-miljö Lägesrapport av säkerhetsbrist i Stockholms läns landsting IT-miljö 2013-10-31 Landstingsstyrelsens förvaltning Biträdande förvaltningschef Anders Nyström 2 (5) Innehållsförteckning Bakgrund... 3 Metod...

Läs mer

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT Revisionsrapport 3/2012 Genomförd på uppdrag av revisorerna Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT Nicklas Samuelsson Magnus Nilsson

Läs mer

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015 Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015 Agenda Tillvägagångssätt för att identifiera IT-relaterade risker. Exempel på olika typer av ITrelaterade granskningar.

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

STYRKAN I ENKELHETEN. Business Suite

STYRKAN I ENKELHETEN. Business Suite STYRKAN I ENKELHETEN Business Suite HOTET ÄR VERKLIGT Onlinehot mot ditt företag är verkliga, oavsett vad du gör. Om du har data eller pengar är du ett mål. Säkerhetstillbuden ökar drastiskt varje dag

Läs mer

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system Stockholms läns landsting Landstingsstyrelsens förvaltning SLL Informationssäkerhet SLL IT Handläggare: Vesna Lucassi Landstingsstyrelsens innovationsberedning Ankom Stockholms läns landsting 2015-08-

Läs mer

Revisionen i finansiella samordningsförbund. seminarium 2014 01 14

Revisionen i finansiella samordningsförbund. seminarium 2014 01 14 Revisionen i finansiella samordningsförbund seminarium 2014 01 14 Så här är det tänkt Varje förbundsmedlem ska utse en revisor. För Försäkringskassan och Arbetsförmedlingen utser Försäkringskassan en gemensam

Läs mer

Handlingsplan baserad på Gatukontorets IT-strategi 2011

Handlingsplan baserad på Gatukontorets IT-strategi 2011 Handlingsplan baserad på Gatukontorets IT-strategi 2011 Status: Bruttolista Version: 2012-03-20 Innehåll INTRODUKTION... 3 REDOVISNING AV ETT PROJEKT/UTREDNING... 4 HUVUDPROJEKT: ÖKAD MOBILITET... 5 1.

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Systemkrav och tekniska förutsättningar

Systemkrav och tekniska förutsättningar Systemkrav och tekniska förutsättningar Hogia Webbrapporter Det här dokumentet går igenom systemkrav, frågor och hanterar teknik och säkerhet kring Hogia Webbrapporter, vilket bl a innefattar allt ifrån

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Aktiviteter vid avtalets upphörande

Aktiviteter vid avtalets upphörande SID 1 (10) Bilaga 4h Aktiviteter vid avtalets upphörande Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt genomförande inom Skolplattform Stockholm Box 22049, 104

Läs mer

Riktlinjer för internkontroll i Kalix kommun

Riktlinjer för internkontroll i Kalix kommun Riktlinjer för internkontroll i Kalix kommun Antaget av kommunfullmäktige 2012-11-26--27, 182 Innehållsförteckning Riktlinjer för internkontroll i Kalix kommun...1 Inledning...1 Internkontroll...1 Organisation

Läs mer

Granskning av informationssäkerhet inom Landstinget i Kalmar län

Granskning av informationssäkerhet inom Landstinget i Kalmar län Landstingsdirektörens stab Kanslienheten TJÄNSTESKRIVELSE Sida 1(1) Datum 2015-06-29 Diarienummer 150246 Landstingsstyrelsen Granskning av informationssäkerhet inom Landstinget i Kalmar län Förslag till

Läs mer

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Rapport avseende granskning av IT-säkerhet. Östersunds kommun Rapport avseende granskning av IT-säkerhet Östersunds kommun November 2014 Innehåll Sammanfattning 1 1. Inledning 2 1.1. Uppdrag och bakgrund 2 1.2. Revisionsfråga 2 1.3. Revisionskriterier 2 1.4. Avgränsning

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Informations- och IT-säkerhet i kommunal verksamhet

Informations- och IT-säkerhet i kommunal verksamhet Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-

Läs mer

Granskning av risken för driftstopp i landstingets informationssystem

Granskning av risken för driftstopp i landstingets informationssystem Revisionsrapport Granskning av risken för driftstopp i landstingets informationssystem Landstinget i Uppsala län Janne Swenson, Magnus Olson-Sjölander Jens Ryning Mars 2014 Innehållsförteckning Sammanfattning

Läs mer

Kamedo. IT-haverier i vården. Johan Carlstedt Socialstyrelsen

Kamedo. IT-haverier i vården. Johan Carlstedt Socialstyrelsen Kamedo IT-haverier i vården Johan Carlstedt Socialstyrelsen Katastrofmedicinska observatörsstudier Vad är Kamedo? Vad studeras? Hur bedrivs arbetet? Varför den här rapporten? Ökande antal IT-haverier inom

Läs mer

Logisk Access I MicroWeb

Logisk Access I MicroWeb Logisk access 1.0 Sidan 1 av 5 Logisk Access I MicroWeb 1(6) Logisk access 1.0 Sidan 2 av 5 Inloggning till MicroWeb sker via SSO (Single sign-on). Länken säkerställer att rätt person får access till systemet

Läs mer

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 I checklistan gäller det att instämma med de påståenden som anges i listan för att vara säker på att verksamhetens miljöledningssystem

Läs mer

Informationssäkerhet

Informationssäkerhet Informationssäkerhet trender och utmaningar Rätt Säkerhet 2013 Tobias Hermansson och Sara Löfving Vår globala informationssäkerhetsundersökning För 15:e året i följd har Ernst & Youngs genomfört sin globala

Läs mer

Vem tar ansvar för Sveriges informationssäkerhet?

Vem tar ansvar för Sveriges informationssäkerhet? Vem tar ansvar för Sveriges informationssäkerhet? 6 åtgärder för förbättrad informationssäkerhet Sälen 2008-01-14 Vem har ansvaret vid en storskalig it-attack? Vem skulle vara ansvarig om Sverige utsattes

Läs mer

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet Beskrivning av infrastruktur kring RTJP 1 1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet 1.1 Nätverk och brandvägg RTJP är placerat

Läs mer

Föreskrift om televerksamhetens informationssäkerhet

Föreskrift om televerksamhetens informationssäkerhet Kommunikationsverket 67 A/2015 M 1 (6) Föreskrift om televerksamhetens informationssäkerhet Utfärdad i Helsingfors den 4 mars 2015. Kommunikationsverket har med stöd av 244, 247 och 272 i informationssamhällsbalken

Läs mer

Policy för internkontroll för Stockholms läns landsting och bolag

Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag 2 (6) Innehållsförteckning Policy för internkontroll... 1 för Stockholms

Läs mer

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight?

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight? Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight? Fredrik Rehnström, CISSP, CISM, CGEIT Seniorkonsult, vvd, partner Ca 50% av de beslut som fattas görs på underlag

Läs mer

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799 2003-01-24 Energibranschens IT-säkerhet 1 (13) Att införa LIS Förberedelser inför anpassning till ISO/IEC 17799 Vad är informationssäkerhet? Information är en tillgång som, liksom andra viktiga tillgångar

Läs mer

Case Asset Management

Case Asset Management Case Asset Management Riktlinjer för riskhantering i fonderna Dessa riktlinjer har fastställts av styrelsen för Case Asset Management AB vid styrelsemöte 2012 12 05 1 Innehåll 1. INLEDNING OCH SYFTE...

Läs mer

Tillgänglighet och bemötande inom individ- och familjeomsorg

Tillgänglighet och bemötande inom individ- och familjeomsorg www.pwc.se Revisionsrapport Inger Kullberg Cert. kommunal revisor Tillgänglighet och bemötande inom individ- och familjeomsorg Surahammars kommun Innehållsförteckning 1. Sammanfattning och revisionell

Läs mer

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun Datum Dnr Dpl 2009-09-10 2009/KS0203-1 005 Riktlinjer för IT i Lilla Edets kommun 1. Introduktion Det politiskt styrande dokumentet för IT-användning i Lilla Edets kommun är denna riktlinje, som fastställs

Läs mer

Intrångstester SIG Security, 28 oktober 2014

Intrångstester SIG Security, 28 oktober 2014 Intrångstester SIG Security, 28 oktober 2014 Mattias Berglund Oberoende konsult inom IT- och informationssäkerhetsområdet Fokus på test och granskningar av system Bakgrund inom drift och förvaltning, säkerhetskonsult

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Plan för informationssäkerhet vid Högskolan Dalarna 2015 Plan för informationssäkerhet vid Högskolan Dalarna 2015 Beslut: 2015-05-04 Reviderad: Dnr: DUC 2015/769/10 Ersätter: Relaterade dokument: Policy för informationssäkerhet Ansvarig: Förvaltningschef Innehållsförteckning

Läs mer

Landstinget Västernorrlands utmaningar

Landstinget Västernorrlands utmaningar Fempunktsprogrammet Landstinget Västernorrlands utmaningar Landstinget i Västernorrland har under senare år genomgått en rad förändringar. Det har bland annat gällt förändringar i organisation, i lednings-

Läs mer

Eltako FVS. 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient)

Eltako FVS. 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient) Eltako FVS 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient) Obegränsad flexibilitet och bekvämlighet i fastighetsautomation 1. Konfigurera åtkomst till din dator/nätverk

Läs mer

Granskning av informationssäkerhet

Granskning av informationssäkerhet 1(1) DNR: SLU ua 2014.1.1.2-841 Exp. den: 2014-06- Styrelsen BESLUT 2014-06-17 Sändlista Granskning av informationssäkerhet Styrelsen beslutar: att fastställa internrevisionens rapport Informationssäkerhet,

Läs mer

Revisionsregler. för revision mot kraven i FR2000 Verksamhetsledning. antagna av Rådet för FR2000 den 2014-03-07 och gällande fr.o.m.

Revisionsregler. för revision mot kraven i FR2000 Verksamhetsledning. antagna av Rådet för FR2000 den 2014-03-07 och gällande fr.o.m. Revisionsregler för revision mot kraven i FR2000 Verksamhetsledning antagna av Rådet för FR2000 den 2014-03-07 och gällande fr.o.m. 2014-05-15 Revisionsregler/2014-03-15 1 Innehåll 1 Definitioner och begrepp

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Granskning av IT-säkerhet

Granskning av IT-säkerhet TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet

Läs mer

Reglemente för internkontroll

Reglemente för internkontroll Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll

Läs mer

Din guide till. Teknisk Specifikation Säljstöd

Din guide till. Teknisk Specifikation Säljstöd Din guide till Teknisk Specifikation Säljstöd April 2014 Innehåll Systemkrav... 3 Operativsystem... 3 Mjukvara... 3 Maskinvara... 4 Datakällor... 4 Databas... 5 Databasstruktur... 5 Katalogstruktur...

Läs mer

Pandium Capital AB RIKTLINJER FÖR INTERNREVISION

Pandium Capital AB RIKTLINJER FÖR INTERNREVISION Pandium Capital AB RIKTLINJER FÖR INTERNREVISION Dessa riktlinjer har fastställts av styrelsen för Pandium Capital AB vid styrelsemöte den 30 september 2013 INNEHÅLLSFÖRTECKNING 1 INLEDNING... 1 2 ORGANISATION

Läs mer

Projekt- och kvalitetsstyrning på Frontec

Projekt- och kvalitetsstyrning på Frontec Projekt- och kvalitetsstyrning på Frontec Detta dokument beskriver hur Frontec bedriver utvecklingsprojekt med kvalitetssäkring FSAB_LS020_Projekt och kvalitetsstyrning A.doc Sida 1(6) Frontec kan projekt

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se

Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se Det här är.se Stiftelsen för Internetinfrastruktur grundades 1997. Verka för positiv utveckling

Läs mer

Granskning av informations- integrationer inom Malmö stad

Granskning av informations- integrationer inom Malmö stad Granskning av informations- integrationer inom Malmö stad Februari 2010 Deloitte AB SE-113 79 Stockholm Stadsrevisionen Malmö stad Stadshuset, August Palms plats 1 205 80 Malmö Tel: +46 8 506 710 00 Fax:

Läs mer

Instruktion. Datum. 2013-06-19 1 (12) Coverage Dokument id Rev Status? - 1.0 Godkänd. Tillhör objekt -

Instruktion. Datum. 2013-06-19 1 (12) Coverage Dokument id Rev Status? - 1.0 Godkänd. Tillhör objekt - 20130619 1 (12)? 1.0 Godkänd Secure Manager Guide Hantera användarprofiler i tjänsten Telia Secure Manager Dokumentet beskriver hur du som administratör beställer och hanterar användarprofiler i administrationsportalen

Läs mer

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1 (5) Ver. 1.1-2008-11-06 Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1. Inledning Detta dokument redogör för vissa grundläggande säkerhetskrav som bör ställas i samband med anskaffning eller

Läs mer

- Budget och uppföljning - Kundfakturor fakturor till kund/brukare - Leverantörsfakturor fakturor från leverantör - Lönehantering

- Budget och uppföljning - Kundfakturor fakturor till kund/brukare - Leverantörsfakturor fakturor från leverantör - Lönehantering 1(5) KS 2011/0014 Svar på revisionsrapport- Granskning av ekonomiadministrativa processer - Effektivitetsgranskning Bakgrund Danderyds förtroendevalda revisorer har uppdragit till PricewaterhouseCoopers

Läs mer

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet ii Socia Istyrelsen DRegion SydvästiSek4 Mikael Ramböl mikaetrarnbol@socialstyrelsen.se BESLUT 2011-06-15 Dnr 9.1-7139/2011 1(5) SU/Sahlgrenska Universitetssjukhuset Sjukhusdirektör Jan Eriksson Bruna

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Mjölby kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

Lösenordsregelverk för Karolinska Institutet

Lösenordsregelverk för Karolinska Institutet Lösenordsregelverk för Karolinska Institutet Dnr 1-213/2015 Version 2.0 Gäller från och med 2015-05-18 Sida 2 av 7 Lösenordsregelverk för Karolinska Institutet - Sammanfattning Syfte Det övergripande syftet

Läs mer

Administratör IT-system Kursplan

Administratör IT-system Kursplan Administratör IT-system Kursplan Administratör IT-system Kursöversikt Obligatoriska kurser Kurs Poäng Advanced Enterprise System Administration 25 CCNA 45 CCNA Security 20 Drift i virtuella miljöer 20

Läs mer

Uppföljning av tidigare granskningar

Uppföljning av tidigare granskningar Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2

Läs mer

Tekis-FB 7.1.0. Systemkrav

Tekis-FB 7.1.0. Systemkrav 7.1.0 Systemkrav Systemkrav 2015-09-17 MAAN 2 (2) Systemkrav 7.1.0 Dokumentet beskriver de krav som systemet ställer på maskinvara och programvara i de servrar och klientdatorer som ska användas för systemet.

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

EBITS 2013. Totalförsvarets Forskningsinstitut David Lindahl Erik Westring

EBITS 2013. Totalförsvarets Forskningsinstitut David Lindahl Erik Westring EBITS 2013 Totalförsvarets Forskningsinstitut David Lindahl Erik Westring Demo: Hur går ett angrepp till Något förenklat på grund av tidsbrist..men bara något. Antagonistiska hot Antagonistiska hot är

Läs mer

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun. REVISIONSRAPPORT Löpande granskning av redovisning och administrativa rutiner avseende Tekniska nämnden Hylte Kommun November 2002 Rolf Bergman Tommy Karlsson www.pwcglobal.com/se www.komrev.se Sammanfattning

Läs mer

Anvisning om riskhantering och internrevision i värdepapperscentraler

Anvisning om riskhantering och internrevision i värdepapperscentraler tills vidare 1 (11) Till värdepapperscentralerna Anvisning om riskhantering och internrevision i värdepapperscentraler Finansinspektionen meddelar med stöd av 4 2 punkten lagen om finansinspektionen följande

Läs mer

Allmänna villkor för infrastrukturen Mina meddelanden

Allmänna villkor för infrastrukturen Mina meddelanden Allmänna villkor för infrastrukturen Mina meddelanden Bilaga 1 Krav på säkerhet för brevlådeoperatörer version 1.2 (Gäller fr.o.m. 2015-11-11) 2 Bakgrund och syfte Skatteverket tillhandahåller en myndighetsgemensam

Läs mer

Förtroendevald revisor i regionens stiftelser

Förtroendevald revisor i regionens stiftelser Förtroendevald revisor i regionens stiftelser Förtroendevald revisors uppgifter i regionens stiftelser Några särskilda arbetsuppgifter för den förtroendevalde revisorn vid granskningen av stiftelser är

Läs mer

Kursplanering för kurs: Datasäkerhet (DS - LUKaug08)

Kursplanering för kurs: Datasäkerhet (DS - LUKaug08) Kursplanering för kurs: Datasäkerhet (DS - LUKaug08) Kurslängd: 6 veckor Lärare: Jostein Chr. Andersen jostein@vait.se Klass: LUKaug07 Kursperiod: 4 januari 2010 19 februari 2010 Kurstillfällen i klassrum:

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet UFV 2012/715 Riktlinjer för informationssäkerhet Anvisningar för genomförande av risk- och hotbildsanalyser Fastställd av: Säkerhetschef 2012-04-02 Innehållsförteckning 1 Riskanalyser av systemförvaltningsobjekt

Läs mer

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2015.Q1

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2015.Q1 Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2015.Q1 För att 3L Pro skall fungera krävs att nedanstående hårdvarukrav och mjukvarukrav är uppfyllda. Viktigt är att tänka på att

Läs mer

Att planera tekniken. Stöddokument för. Version: 20130211 Ersätter : Tidigare dokument på orientering.se.

Att planera tekniken. Stöddokument för. Version: 20130211 Ersätter : Tidigare dokument på orientering.se. Stöddokument för Att planera tekniken Version: 20130211 Ersätter : Tidigare dokument på orientering.se. Här följer några frågor att fundera igenom på tekniksidan: Hur ser det ut med hårdvaruresurser och

Läs mer

Pensionsfondens förvaltning intern kontroll Rapport 9-10

Pensionsfondens förvaltning intern kontroll Rapport 9-10 LANDSTINGET I VÄRMLAND Revisorerna AM/VHL 2011-02-16 Rev/10032 Pensionsfondens förvaltning intern kontroll Rapport 9-10 LANDSTINGET I VÄRMLAND 2011-02-16 2 Pensionsfondens förvaltning intern kontroll Bakgrund

Läs mer

Systemkrav WinServ II Edition Release 2 (R2)

Systemkrav WinServ II Edition Release 2 (R2) Systemkrav WinServ II Edition Release 2 (R2) Observera: Alla rekommendationer är aktuella vid den tid då dokumentet publicerades och visar den senaste informationen för nödvändig mjukvara. Systemkrav för

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer