Båstads kommun Granskning av IT-säkerhet. Revisionsrapport juni 2015 Genomförd på uppdrag av revisorerna

Storlek: px
Starta visningen från sidan:

Download "Båstads kommun Granskning av IT-säkerhet. Revisionsrapport juni 2015 Genomförd på uppdrag av revisorerna"

Transkript

1

2 Båstads kommun Granskning av IT-säkerhet Revisionsrapport juni 2015 Genomförd på uppdrag av revisorerna

3 Innehåll 1. Sammanfattning Inledning Bakgrund Syfte och avgränsning Revisionsfrågor Revisionskriterier Metod Revisionskriterier Intern kontroll, COSO-modellen Myndigheten för samhällsskydd och beredskaps ramverk för IT-säkerhet, BITS Kommunens interna kontroll avseende IT-säkerhet Kontrollmiljö Riskanalys Kontrollaktiviteter Information och kommunikation Uppföljning och utvärdering Analys avseende intern kontroll...20 Bilagor: Bilaga 1 - Intervjuade funktioner och granskade dokument 2

4 1. Sammanfattning Granskningens övergripande syfte är att bedöma hur effektivt Båstads kommun arbetar med informationssäkerhet i dag. Granskningen utgår från ett intern kontrollperspektiv där granskning sker av hur kommunstyrelsen följer och leder det interna kontrollarbetet inom ITsäkerhetsområdet för att säkerställa att den interna kontrollen är tillräcklig. Inom ramen för granskningen har vi bedömt ett antal olika kontrollpunkter fördelade på olika moment inom intern kontroll. Resultatet av granskningen visar följande fördelning. Sammanfattande tabell, kontrollpunkter Kontrollen finns och fungerar tillfredsställande. Kontrollen finns och fungerar delvis. Kontrollmiljö Riskanalys Kontrollåtgärd Information/kom Uppföljning/utvärd Kontrollen finns ej eller fungerar ej tillfredsställande. I kontrollmiljön ingår moment som kan hänföras till ledningsfrågor, organisation, riktlinjer och styrdokument samt resursfrågor. Kommunens IT-avdelning har under de senaste åren prioriterat arbetet med att förbättra rutiner och processer inom IT-säkerhetsområdet. En del i arbetet har varit att åtgärda utvecklingsområden som påtalades i samband med kommunrevisionens granskning av kommunens IT-verksamhet år Vår bedömning är att kommunen i stort har en stark kontrollmiljö inom IT-säkerhetsområdet. Vi har utifrån granskningen identifierat följande förbättringsområden/rekommendationer: Vakanser/personalombyte på nyckelfunktioner har medfört att Säkerhetsgruppen har haft begränsat med träffar under senare tid. Det är viktigt att kommunstyrelsen säkrar att det råder tillräcklig kontinuitet i uppföljningen av IT-säkerhetsområdet. Vår bedömning är att rutiner för riskanalys finns på plats som omfattar klassificering av ITsystem utifrån konfidentialitet/sekretess, riktighet och tillgänglighet samt spårbarhet. Klassificering utifrån spårbarhetskriteriet har nyligen införts och har hittills inte hunnit genomföras för alla IT-system. Vi rekommenderar att systemägarna prioriterar processen med att klassificera IT-systemen även utifrån spårbarhetskriteriet. Vidare rekommenderas att det i riktlinjer förtydligas hur klassificeringen av IT-system ska tolkas vad gäller om systemet sammantaget anses vara verksamhetskritiskt eller ej. Det kan övervägas om riskanalyser och inventering av IT-system genomförs tillräckligt ofta, för att säkra att analysen utgör ett levande dokument. Kontrollaktiviteter är olika insatser som genomförs för att minska riskerna i verksamheten och bidra till en ökad intern kontroll av processerna. En styrka hos kommunen är att automatisk kontroll utförs över behörigheter i organisationen med hjälp av en metakatalog. Av 36 kontrollpunkter fördelade på olika moment inom kontrollåtgärder bedömdes majoriteten (30) vara tillfredsställande. Avseende 5 kontrollpunkter bedömdes åtgärder finnas, men med visst utvecklingsbehov. 1 kontrollpunkt bedömdes inte fungera tillfredsställande. 3

5 Bland annat saknas rutiner för hur utomstående leverantörers tjänster ska följas upp, varför vi rekommenderar en översyn av området. Vidare rekommenderar vi att det i riktlinjer tydliggörs under vilka förutsättningar som personal får föra ut IT-utrustning från kommunens lokaler. Dokumentation över godkännande kan med fördel förstärkas i samband med driftssättning av förändrade informationssystem. Vi rekommenderar att det i policys/riktlinjer förtydligas vilka begränsningar som gäller för information som skickas utanför organisationen, såsom sekretessbelagd information, kränkande eller uppviglande material. Förslagsvis kan kommunstyrelsen överväga om utfärdande av mer detaljerade tillämpningsföreskrifter kan tjäna som komplement till kommunens informationssäkerhetspolicy. Generellt kan medarbetare själva installera programvaror i IT-utrustning. Följaktligen är det viktigt att det finns anpassade riktlinjer och kontrollåtgärder som säkerställer att kommunens IT-utrustning används ändamålsenligt. Inom området information och kommunikation bedömer vi att kommunen har tillräckliga rutiner. Kontinuiteten i verksamheten tryggas genom användning av två redundanta servrar samt att resurser för reservkraft finns som testas regelbundet. Det finns en dokumenterad avbrottsplan med återstartsrutiner. Enligt vad vi kan bedöma saknas en gemensam kontinuitetsplan för IT samt individuella kontinuitetsplaner kopplade till enskilda system. Vi rekommenderar följaktligen att dokument tas fram som beskriver hur kommunen tryggar en tillräcklig kontinuitetplanering i IT-miljön. Det genomförs årliga s.k. penetrationstester samt vissa internkontroller vad gäller efterlevnad. Uppföljning av informationssäkerhet, som enligt informationssäkerhetspolicyn åvilar såväl Säkerhetsgruppen som verksamhetsansvariga, kan tjäna på att struktureras upp och systematiseras än mer. 4

6 2. Inledning 2.1. Bakgrund Idag bedrivs så gott som all verksamhet i en kommun med någon form av datoriserat stöd. Stödet har med tiden utvecklat sig till att bli en förutsättning för att kunna bedriva verksamhet. Antalet olika programvaror är stort och utvecklas hela tiden. Idag har t.ex. kommunen betydligt fler mobila enheter än för ett par år sedan. För att uppnå målen för kommunens verksamheter krävs att informationen i verksamhetsstödet är tillgänglig, riktig, har korrekt konfidentialitet samt är spårbar Syfte och avgränsning Granskningens övergripande syfte är att bedöma hur effektivt Båstads kommun arbetar med informationssäkerhet i dag. Granskningen utgår från ett intern kontrollperspektiv där granskning sker av hur kommunstyrelsen följer och leder det interna kontrollarbetet inom ITsäkerhetsområdet för att säkerställa att den interna kontrollen är tillräcklig. Avgränsning Granskningen avser kommunstyrelsens arbete med IT-säkerhet och baseras på information från intervjuer och dokumentstudier. Inga tester av IT-säkerheten kommer att göras, såsom generella IT-kontroller eller applikationskontroller Revisionsfrågor I granskningen kommer följande huvudområden att följas upp: o o o o o o o o o o o Kontrollmiljö Säkerhetspolicy Säkerhetsorganisation Riskanalys Vilka riskanalyser av IT-säkerheten genomförs Kontrollåtgärd Klassificering och kontroll av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av åtkomst Styrning och kommunikation av drift Information och kommunikation Incidenthantering Uppföljning och utvärdering Systemutveckling och underhåll Kontinuitetsplanering 5

7 o Efterlevnad 2.4. Revisionskriterier COSO:s ramverk för internkontroll utgör grundkriterier för granskningen. Vidare genomförs granskningen mot så kallad god praxis inom informationssäkerhetsområdet genom utvalda delar av Myndigheten för samhällsskydd och beredskaps ramverk för IT- och informationssäkerhet BITS (Basnivå för IT-säkerhet), som är ett etablerat ramverk i ett stort antal kommuner och inom offentlig förvaltning. Ramverket bygger på den svenska och internationella standarden för informationssäkerhet, ISO/IEC Ansvarig nämnd Granskningen avser kommunstyrelsen Metod Granskningen har grundats på dokumentstudier och intervjuer. I bilaga 1 framgår granskade dokument och intervjuade funktioner. Utifrån insamlat material har en bedömning gjorts av kommunens IT-säkerhetsarbete utifrån de olika komponenterna som ingår i den interna kontrollen. Samtliga intervjuade har beretts tillfälle att faktagranska rapporten. 6

8 3. Revisionskriterier 3.1. Intern kontroll, COSO-modellen Intern kontroll granskas och bedöms utifrån COSO-modellen. Enligt COSO är intern kontroll definierat som en process, utförd av en organisations styrelse, ledning och annan personal, utformad för att ge rimlig försäkran om att målen uppfylls inom: effektivitet och produktivitet i verksamheten; tillförlitlig finansiell rapportering och efterlevnad av tillämpliga lagar, regler, riktlinjer och beslut. För att förbättra den interna styrningen och kontrollen har fem centrala komponenter identifierats. För dessa redogörs kortfattat nedan. Kontrollmiljön anger tonen i en organisation och påverkar kontrollmedvetenheten hos dess medarbetare. Det är grunden för alla andra komponenter inom intern kontroll och erbjuder ordning och struktur. Faktorer som innefattas av kontrollmiljön är integritet, etiska värden, kompetensen hos medarbetarna i organisationen, ledningens filosofi och ledarstil, det sätt på vilket ledningen fördelar ansvar och befogenheter och organiserar och utvecklar dess medarbetare samt den uppmärksamhet och vägledning som ledningen ger. Nästa komponent är riskbedömning, vilket innebär identifieringen, analys och hantering av relevanta risker för att uppnå organisationens mål och krav. Riskvärderingen bör alltid dokumenteras i syfte att förtydliga systematiken i internkontrollarbetet. Kontrollaktiviteter är de riktlinjer och rutiner som bidrar till att säkerställa att brister upptäcks och att direktiv genomförs. De bidrar till att säkerställa att nödvändiga åtgärder vidtas för att hantera risker för att organisationens mål inte uppnås. Information och kommunikation måste identifieras, fångas, och förmedlas i en sådan form och inom en sådan tidsram att de anställda kan utföra sina uppgifter. Informationssystem genererar rapporter som innehåller verksamhetsmässig information och uppgifter om genomförandet som gör det möjligt att driva och styra verksamheten. Interna styr- och kontrollsystem behöver övervakas, följas upp och utvärderas en process som bestämmer kvaliteten på systemets resultat över tiden. Det åstadkoms genom löpande övervakningsåtgärder och uppföljningar, separata utvärderingar eller en kombination av dessa Myndigheten för samhällsskydd och beredskaps ramverk för IT-säkerhet, BITS Med informationssäkerhet avses förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet vid hantering av information. Något som omfattar såväl tekniska som administrativa aspekter. Myndigheten för samhällsskydd och beredskap (MSB) har utarbetat ett ramverk som utgör en basnivå för informationssäkerhet. EY har utifrån detta ramverk och erfarenheter från tidigare granskningar inom området valt ut följande aspekter att fokusera på: säkerhetspolicy, organisation, riskanalyser av IT-säkerheten, klassificering och kontroll av tillgångar, personal och säkerhet, fysisk och miljörelaterad säkerhet, styrning av åtkomst och kommunikation av drift, incidenthantering, systemutveckling och underhåll samt kontinuitetsplanering. 7

9 4. Kommunens interna kontroll avseende IT-säkerhet Rapporten redovisar i vilken grad kommunen uppfyller valda rekommendationer ur BITS. Resultatet är en sammanvägd bedömning, som baseras på information som lämnats vid intervjuerna samt genom erhållen dokumentation. Den sammanvägda bedömningen av svaren på kontrollerna har bedömts enligt följande alternativ: Ja Delvis Nej E/T Kontrollen finns och fungerar tillfredsställande. Kontrollen finns och fungerar delvis. Kontrollen finns ej eller fungerar ej tillfredsställande. Ej tillämplig, kontrollen behövs ej av särskilda skäl Kontrollmiljö I kontrollmiljön ingår moment som kan hänföras till ledningsfrågor, organisation, riktlinjer och styrdokument samt resursfrågor. Kontrollmiljön inbegriper ofta målformuleringar eller andra krav som ställs på verksamheten, därför är bedömning av riktlinjer av särskilt intresse. Även personalens kompetens och de insatser som genomförs som vidareutbildning m.m. ingår i kontrollmiljön. Kontrollmiljön är viktig för att bedöma kommunens förmåga att leda verksamheten i riktning mot säkerhet i och i anslutning till informationssäkerhetssystemen. IK 1 Organisation av säkerheten, policy m.m. 1 a Finns policy och riktlinjer för informationssäkerhet? Ja, se nedan. Kommunens IT-avdelning har under de senaste åren prioriterat arbetet med att förbättra rutiner och processer inom IT-säkerhetsområdet. En del i arbetet har varit att åtgärda utvecklingsområden som påtalades i samband med kommunrevisionens granskning av kommunens ITverksamhet år Åtgärderna omfattar exempelvis områdena incidentrapportering, loggning för förändringar i brandväggen och klassificering av information. Det finns en informationssäkerhetspolicy som är antagen av kommunfullmäktige den 27 juni Av policyn framgår att arbetet med informationssäkerhet ska vara långsiktigt och kontinuerligt, omfatta alla delar av verksamheten och alla de informationstillgångar som kommunen äger och hanterar. Personalen ska fortlöpande få utbildning för att förstå hur informationssäkerhetsarbetet fungerar. Kommunen har valt ett gemensamt och strukturerat sätt att arbeta med informationssäkerhet som bygger på den svenska och internationella standarden LIS (ledningssystem för informationssäkerhet). Med stöd av LIS uppnås rätt nivå på informationssäkerheten samtidigt som anställda får ett stöd i sitt dagliga arbete. Samtliga anställda och berörda politiker ska genomgå Myndigheten för samhällsskydd och beredskaps Datorstödd informationssäkerhetsutbildning för användare (DISA) vart tredje år. Samtliga medarbetare ansvarar för att känna till och följa gällande riktlinjer och instruktioner. Brister eller risker som upptäcks avseende informationssäkerhet och informationstillgångar måste rapporteras till chef eller säkerhetssamordnare/it-chef. Organisationen är till stor del decentraliserad och ansvaret för att fastställda rutiner, policy och standarder efterföljs ligger hos verksamheterna. Inköp ankommer dock på IT-avdelningen. 8

10 1 b Beskriv organisation, kompetens och behov Se nedan. Kommunens IT-avdelning är organiserad inom kommunledningskontoret och leds av ITchefen. IT-chefen har kommunchefen som chef. IT-avdelningen omfattar 8 medarbetare varav 6 stycken är fast anställda. Enligt IT-chefens uppfattning har IT-organisationen behov av 8 fast anställda medarbetare. IT-avdelningen är organiserad i tre olika funktioner; Helpdesk, Drift och IT-support. Helpdesk är lokaliserat till kommunhusets reception och består av tre medarbetare inklusive en ansvarig. Helpdesk ansvarar för att hantera felanmälan, uppföljning och användarstöd. Helpdesk tar även emot inköpsbeställningar av personer med attesträtt som vidarebefordras till ansvarig IT-tekniker. Inom Drift-avdelningen som ansvarar för drift och övervakning är mellan två och tre medarbetare involverade. Inom IT-support som hanterar ITrelaterade inköp och installationer och främst arbetar på plats hos användarna sysselsätts upp till tre personer. För att tydliggöra gränsdragning och ansvarsfördelning inom IT-området finns en dokumenterad sevicenivåöverenskommelse (SLA) för IT-funktioner mellan verksamhetsområdena och ITavdelningen. Det finns även SLA framtagna för enskilda system. Av informationssäkerhetspolicyn framgår att kommunstyrelsen är ytterst ansvarig för informationssäkerheten i Båstads kommun. Kommunens Säkerhetsgrupp har det operativa ansvaret under kommunstyrelsen och planerar och följer upp arbetet med informationssäkerhet. Säkerhetsgruppen består av säkerhetssamordnaren, kommunens PUL-ansvarig, kommunikationsansvarig och IT-chef. För närvarande har ordinarie säkerhetssamordnare gått i pension. En verksamhetschef har därför utsetts för att upprätthålla funktionen. Tjänsten som PUL-ansvarig är för tillfället vakant. Vakanser/personalombyte på nyckelfunktioner har medfört att Säkerhetsgruppen har haft begränsat med träffar under senare tid. Den säkerhetsrevision som årligen ska utföras enligt internkontrollplanen och som bland annat omfattar kontroll av brandväggar har emellertid genomförts enligt plan. IT-avdelningens totala budget ligger på tkr, varav tkr avser avskrivningar. Kommunen har ett Eget Autonomt System, EAS, vilket möjliggör att ha två ingångar till Internet via två olika leverantörer. I dagsläget används bara en ingång och en leverantör. ITavdelningen uppfattar ett visst behov av att det införs två ingångar till Internet. Detta skulle trygga åtkomsten till Internet i de fall huvudleverantörens nätverk ligger nere. Att driftsstörningar sker som aktualiserar behov av en reservförbindelse har dock varit sällsynt. 1 c Finns det en informationssäkerhetssamordnare eller motsvarande? Ja, kommunen har en säkerhetssamordnare. Informationssäkerhetsfrågor hanteras av IT-chef. 1 d Har ledningen/organisationen utsett systemansvariga för samtliga informationssystem? Ja, för respektive system finns utsedda systemägare, informationsägare och systemstödsansvariga (superusers). 1 e Finns det en samordningsfunktion för att länka samman den operativa verksamheten för IT-säkerhet med ledningen? Ja, IT-chefen har denna roll. 9

11 1 f Har ansvaret för informationssäkerheten reglerats i avtal då verksamhet/drift m.m. lagts ut på en utomstående organisation. Ja. Avtal med leverantörer/samarbetspartners finns. Avtalen föregås av riskanalys och riskklassificering av information som utmynnar i ett beslut om att teckna avtal. Rutin anskaffningscykel av ITsystem styr. I informationssäkerhetspolicyn framgår att externt engagerad personal och externa tjänsteleverantörer ska ha tagit del av de regler som är relevanta för deras uppdrag innan de får hantera kommunens informationssystem och informationsresurser. Undertecknande av riktlinjer för IT-användare krävs av varje användare innan access medges till system Riskanalys I riskanalysen ingår att bedöma hur kommunen arbetar med IT-säkerheten utifrån riskanalys och identifiering av olika risker. Riskanalysen bör vara utformad med vedertagna metoder om sannolikhet och konsekvenser. Riskanalysen bör också vara genomförd av medarbetare/personer som besitter med tillräcklig kompetens för att identifiera och bedöma risker. Handlingsplaner bör vara kopplade till risker som har höga riskvärden. IK 2 Riskanalys 2 a Genomförs riskanalyser avseende IT-säkerhet Ja. Riskanalyser genomförs inför att nya system lanseras, vid större förändringar i befintliga system samt inför outsourcing/ utlägg av information i s.k. moln. Riskanalyser genomförs utifrån Datainspektionens riktlinjer. Riskanalyser görs inte inför sedvanliga uppdateringar hos befintliga system. Genom riskanalys undersöks vilka risker som finns och deras storlek värderas för att avgöra vilka skyddsåtgärder som är lönsamma. Den standardmetod som används kallas Miniriskmetoden och bygger på att sannolikhet och konsekvens bedöms för en rad tänkta händelser. Vid bedömningen vägs in den berörda informationens betydelse. Metoden ger en bred översikt av riskläget för ett aktuellt objekt eller process. Riskanalysens resultat är en lista med värderade risker, förslag på åtgärder och rekommendationer. Inga beslut tas under riskanalysen och innan analysgruppens arbete är slut och slutrapporten är skriven. Resultatet tas omhand i det projekt eller av den förvaltning som har beställt analysen. Kommunen tillämpar även regelbunden inventering av IT-system som systemägaren utför genom att uppdatera en blankett. Informationen som är föremål för inventering gäller bland annat vilket verksamhetsområde systemet tillhör, vem som är 10

12 systemägare, informationsägare etc. och systemets klassificering. 2 b Har verksamhetskritiska ITsystem identifierats och bedömts? 2 c Har omständigheter som ska betecknas som kris/katastrof (extraordinära händelser) för verksamheten kartlagts? Klassificering och kontroll av tillgångar Ja. I systemförteckning listas kommunens alla system, för närvarande ca 376 stycken. I systemförteckningen framgår systemens informationsklassificering indelat i parametrarna konfidentialitet, riktighet, tillgänglighet och spårbarhet. För respektive parameter bedöms nivån av känslig karaktär, skada, funktionalitet och behov av spårbarhet i skalan från försumbar, måttlig, betydande till allvarlig. System som i någon parameter klassificeras som allvarligt är att betrakta som verksamhetskritiskt. Det framgår dock inte utskrivet om systemet anses som verksamhetskritiskt. Exempel på system i systemförteckningen där någon parameter klassificeras som allvarlig Bibliotheca Kassasystem, DHCP, Räddingsverkets informations Bank (RIB), Secure login, Identity Assurance Client, Safedoc och Svenska Palliativregistret. Kolumnen Spårbarhet i systemförteckningen är nyligen tillförd och har vid intervjutillfället ännu inte hunnit uppdateras tillfullo. Ja. Kartläggning har dels skett med hjälp av Myndigheten för Samhällsskydd och Beredskap, MSB. En del förbättringsåtgärder noterades då. MSB bidrar med 50 procent av kostnaden för åtgärder. Åtgärderna är vid granskningstillfället i stort färdigställda och ska besiktigas av MSB under våren En förbättring har skett under senare tid när det gäller risken för skada på utrustning eftersom kommunen numera har ändamålsenliga och åtskilda serverhallar med redundanta (speglande) servrar. Förutom kartläggningen via MSB gör verksamheterna egna kartläggningar. Av informationssäkerhetspolicyn framgår att risker och hot mot informationen ska kartläggas inom varje verksamhet. Denna kartläggning ska ligga till grund för ett adekvat informationsskydd. En särskild inventering på området skedde Enligt IT-chef finns inte behov av att göra en ny särskild riskinventering, eftersom nuvarande rutiner tillgodoser en tillräcklig kontroll över området. Av informationssäkerhetspolicyn framgår att all information ska klassas efter sin känslighet och därefter få rätt skydd samt finnas tillgänglig när den behövs. Verksamheterna ansvarar enligt servicenivåöverenskommelsen, SLA för att klassificera information i informationssäkerhetsaspekterna konfidentialitet, riktighet och tillgänglighet samt konse- 11

13 kvensnivåer. I kommunens mall för riskanalys av IT-system inryms i informationsklassning att värdera den information som lagras eller hanteras i systemet eller processen. Inte systemet eller processen själv utan just informationsinnehållet. Informationsinnehållet i objektet eller processen värderas enligt de fyra grundelementen i informationssäkerhet; konfidentialitet, riktighet, tillgänglighet och spårbarhet. Informationsklassificering omfattar all information oavsett medium. Med konfidentialitet avses att informationen inte avsiktligt eller oavsiktligt ska göras åtkomlig för obehöriga eller utnyttjas på otillåtet sätt. Med riktighet avses att informationen inte ska förändras eller förstöras av misstag eller av obehörig person eller process. Med tillgänglighet avses att information ska vara tillgängligför behöriga användare, i förväntad utsträckning och inom önskad tid. En fjärde klass är spårbarhet. Spårbarhet innebär att kunna tillhandahålla funktioner som gör det möjligt att härleda alla utförda operationer till enskilda individer eller program. 3 a Är organisationens information klassad avseende sekretess/riktighet/tillgänglighet (har systemägarna yttrat sig om klassning) 3 b Har samtliga informationssystem identifierats och dokumenterats i en aktuell systemförteckning 3 c Finns det en ansvarsfördelning för organisationens samtliga informationstillgångar? Ja. Inom Båstads kommun finns numera tydliga riktlinjer för klassificering av information. Systemägarna ansvarar för att klassificering sker av information i samband med att riskanalys genomförs. Ja. Samtliga informationssystem finns dokumenterade i systemförteckningen. Kommunen kan därmed sägas ha kontroll över systemtillgångarna. Ja. I systemförteckningen anges ansvarsfördelningen för respektive system. Systemägare är normalt förvaltningschef eller motsvarande. ITavdelningen är systemägare för centrala system. Systemförvaltarskap dvs. systemstödsansvariga (superusers) är i allmänhet delegerat Kontrollaktiviteter Kontrollaktiviteter är olika insatser som genomförs för att minska riskerna i verksamheten och bidra till en ökad intern kontroll av processerna. De moment som vi bedömer under detta avsnitt är: personal och säkerhet, fysisk och miljörelaterad säkerhet, styrning av kommunikation och drift, styrning av åtkomst samt anskaffning, utveckling och underhåll av informationssystem. Kontrollsystemen bidrar till att säkerställa IT-systemen är tillgängliga för rätt person i rätt tid och på ett spårbart sätt. IK 3 Personal och säkerhet 4 a Får inhyrd eller inlånad personal information om vilka säkerhetskrav och instruktioner som gäller? (utbildning/ introduktion/kurs m.m.) 4 b Har systemägaren definierat vilka krav som ställs på användare som får tillgång till informationssystem och in- Ja. Förbindelse om tystnadsplikt tillämpas samt krav på genomgången utbildning i DISA (Datorstödd informationssäkerhetsutbildning för användare). Vidare krävs undertecknande av Riktlinjer för IT-användare inför access medges. Ja. Dels finns generell rutin som regleras i riktlinjer för IT-användare i Båstads kommun, dels kan ytterligare krav finnas inom respektive verksamhet. Exempelvis ska medarbetare inom vård och om- 12

14 formation. (leta information i individuella akter m.m.) 4 c Genomförs regelbundet utbildningsinsatser inom informationssäkerhet? 4 d Dras åtkomsträtten för information och informationsbehandlingsresurser in vid avslutande av anställning eller vid förflyttning? (fungerar rutinen eller måste IT göra andra körningar avseende vem som är anställd) Fysisk och miljörelaterad säkerhet 5 a Finns funktioner för att förhindra obehörig fysisk tillträde till organisationens lokaler och information? 5 b Har IT-utrustning som kräver avbrottsfri kraft identifierats? sorg underteckna Sekretess inom socialtjänstomsorg och kommunal hälso- och sjukvård. Ja. Alla anställda och berörda politiker ska genomgå utbildning DISA (Datorstödd informationssäkerhetsutbildning för användare) vart tredje år. Utbildningen har tagits fram av Myndigheten för samhällskydd och beredskap, MSB. Efter genomgången utbildning ska diplomet skrivas ut och visas närmaste chef. Ja. Kommunen har infört att behörighet regleras automatiskt genom s.k. metakataloger där anställdas IT-behörighet är kopplad till lönesystemet och elevers IT-behörighet är kopplad till skolans verksamhetssystem Pro Capita. Systemet med metakataloger säkerställer att personer per automatik ges korrekt behörighet i IT-system och att behörigheter omgående justeras eller dras in vid förflyttning eller vid anställnings avslut. Den automatiska rutinen innebär att ingen manuell hantering krävs för att kontrollera åtkomsträtt till system. I vissa fall kan systemägare godkänna att tillfälliga och begränsade behörigheter utges, exempelvis till konsulter. Kommunen inför för närvarande elektroniska personliga SIS-kort till varje medarbetare som används för såväl passage till kommunens lokaler som datautskrifter etc. är också automatiskt kopplade till metakataloger, vilket förstärker kontrollen av åtkomst ytterligare. Ja. Det fysiska skalet innebär att redundanta (speglande) servrar finns inlåsta i två åtskilda, ändamålsenligt utformade serverhallar. Bara ITavdelningen och räddningstjänsten har access till serverhallar. I övrigt används passagesystem med kort. Personliga SIS-kort håller på att införas som används av personalen för passage till kommunens lokaler, se punkt 4 d. Användning av korten loggas. För access till vissa register såsom Trafikregistret kommer framöver krävas att användaren sätter in SIS-kortet i en läsare kopplad till datorn. Ja. Genomgång sker i samband med att systemen klassificeras. Reservkraft finns att tillgå genom batteri och dieselkraftverk. Även switchar får vid behov reservkraft. Funktionen av reservkraften testas varje kvartal. 13

15 5 c Finns larm kopplats till larmmottagare för: - Brand, temperatur, fukt - Sker test till larmmottagare 5 d Finns i direkt anslutning till viktig dator- kommunikationsutrustning en kolsyresläckare? 5 e Raderas känslig information på ett säkert sätt från utrustning som tas ur bruk eller återanvänds? (omformatering, raderingsprogram m.m.) 5 f Finns särskilda säkerhetsåtgärder för utrustning utanför ordinarie arbetsplats? 5 g Finns information och regler som anger att IT-utrustning m.m. inte får föras ut från organisationens lokaler utan medgivande från ansvarig chef? Styrning av kommunikation och drift 6 a Finns driftdokumentation för verksamhetskritiska informationssystem? (backup, jourpärm m. kontaktpersoner) Ja. Det finns larm för brand, temperatur, fukt och intrång. Larmen sitter i serverhallarna. Test sker. Ja. Ja. IT-avdelningen ombesörjer att destruktion sker. Hårddiskar sorteras ut från begagnad datautrustning och destrueras i samarbete med ATEA. Ja. Dels finns stöldmärkning på datorer och Ipads. Uppkoppling är bara möjligt via VPN. Genom ett så kallat MDM-system kan spårning ske av utrustning. Vissa verksamhetssystem kan nås utifrån genom en VPN-klient om systemägarna har godkänt detta efter en riskanalys. Kommunens medarbetare kan komma åt sin e-post och vissa kataloger som katalogägaren har godkänt genom Portalen och Filr. Kommunen har inte haft några incidenter som tyder på större säkerhetsbrister. Inom skolan har dock förekommit stölder av Ipads. Som åtgärd har fler larm satts in. Stöld har även förekommit i kommunhuset, där har nu larm satts in i fönstret. Genom riktlinjer för IT-användare som undertecknas av varje användare regleras användning av datautrustning. Ingen specifik begränsning anges dock om att IT-utrustning inte får föras ut från kommunens lokaler. Ja. Driftsdokumentation framgår i systemdokumentationer. Det finns även systemdokumentationer för servrar. Inga jourpärmar används. I driftsdokumentation ingår vem som är ansvarig, leverantör av system, garantier, kontaktpersoner, tjänster och återstartsrutiner. Driftsdokumentationen finns bara digitalt vilket medför att den alltid är uppdaterad. Information finns i systemägarlistan, serverdokument, rutindokument och systemdokument. 14

16 6 b Sker system- /programutveckling samt tester av modifierade system åtskilt från driftsmiljön? 6 c Finns rutiner hur utomstående leverantörers tjänster följs upp och granskas? 6 d Godkänner systemägaren eller annan lämplig personal driftsättningar av förändrade informationssystem 6 e Finns det för både servrar och klienter rutiner för skydd mot skadlig programkod? 6 f Har organisationens nätverk delats upp i mindre enheter så att en (virus) attack enbart drabbar en del av nätverket? 6 g Genomförs säkerhetskopiering regelbundet? 6 h Saknas det alternativa vägar vid sidan av organisationens brandvägg in till det interna nätverket? 6 i Finns det dokumenterade regler avseende vilken information som får skickas utanför organisationen? (ex sekretessbelagd info) 6 j Sparas revisionsloggar för säkerhetsrelevanta händelser? Styrning av åtkomst 7 a Har organisationen satt upp dokumenterade regler för åtkomst/tillträde för tredje parts åtkomst till information? Ja, det gör det när utveckling väl sker (sällan). Uppdateringar sker i driftsmiljön. Det hålls förvaltningsmöten med leverantörerna. Som regel finns ingen detaljerad uppföljning av SLA:er. Ja, med stöd av IT-avdelningen. Godkännande dokumenteras oftast via e-post. Vid muntligt godkännande är det teknikerns ansvar att ärendet registreras. Ja. Uppdatering av skyddet sker per automatik. Ja. Uppdelning av nätverket finns i exempelvis skolnät, administrativt nät och publikt gästnät. Virusattacker är sällsynta. Orsaken kan vara att en dator inte har varit ansluten till nätverket på ett tag och därmed har gått miste om viktiga uppdateringar. Incidentrapporter som även innehåller åtgärdsförslag används vid virusattacker. Ja. Ja Ställning tas i samband med klassificering av information. Det finns även kompletterande regler inom olika verksamheter. Hantering av viss information styrs av sekretesslagstiftning. Skolan har enklare regler anpassat för elever, omsorgen har strängare regler. Vi har inte tagit del av en dokumenterad central vägledning i Informationssäkerhets- eller ITpolicyn, t.ex. om kränkande eller uppviglande material. Ja, såväl i system som vid förändringar av brandväggen. Ja, sekretessavtal finns. Tredjepart har inte konstant tillgång till produktionsmiljön, utan släpps in vid behov. Konsulter och dylikt tilldelas personliga användarkonton med viss behörighet. Alla användare inklusive konsulter måste ta del av och underteckna riktlinjer för IT-användare innan åtkomst beviljas. 15

17 7 b Tilldelas användare en behörighetsprofil som endast medger åtkomst till de system som krävs för arbetsuppgiften? 7 c Begränsas rätten att installera nya program i nätverket samt den egna arbetsstationen till endast utsedd behörig personal? Varje användare har en verksamhetsanpassad behörighet, vilket styrs via en metakatalog. Inom skolan kan inte elever installera program men däremot lärare. Generellt kan personal installera program på sin dator. Installation av vissa program såsom fildelningsprogram är spärrade av ITavdelningen. 7 d Har samtliga administratörer fullständiga systembehörigheter eller endast vad som krävs för att fullgöra arbetsuppgiften? 7 e Genomförs kontinuerligt (minst en gång per år) kontroll av behörigheterna i organisationen? 7 f Öppnas låsta användarkonton endast efter säker identifiering av användaren? 7 g Finns en gemensam lösenordspolicy? 7 h Finns en dokumenterad brandväggspolicy där det beskrivs vilka tjänster brandväggen ska tillhandahålla? 7 i Har organisationen ställt och dokumenterat tekniska säkerhetskrav och krav på praktisk hantering avseende användandet av mobil datorutrustning och distansarbete? 7 j Finns det aktuell dokumentation med regler för distansarbete? Ja. Detta sker per automatik via metakatalogen. Administratörer har som regel endast systembehörighet i den utsträckning som behövs för att utföra sina arbetsuppgifter. Ja. Kontrollen är automatisk då behörigheter är kopplade till lönesystemet via metakatalogen. Även verksamhetssystem omfattas av behörighetskontrollen. Ja. Kontrollen är automatisk då behörigheter är kopplade till lönesystemet via metakatalogen. Ja. Riktlinjer för IT-användare anger att lösenord ska vara minst 8 tecken, minst en siffra och minst en bokstav. Lösenord ska bytas minst var 90 dag. Ja, riktlinjer för brandväggen finns som är indelad i avsnitten grundprinciper, drift, konfiguration och revision. Ja, detta regleras i dokumentet åtkomst till Båstads kommuns IT-resurser samt rutin för brandväggsaccess för användare och konsulter via Portal och VPN. För att använda VPN-klienten måste datorn vara kommunens. För att använda VPN-portalen krävs vissa säkerhetsinställningar enligt en användarmanual. På surfplattor används Mekari MDM för appar samt Hitta min ipad för spårbarhet. Mekari MDM implementeras för närvarande även för mobiltelefoner. Ja, detta regleras i Åtkomst till Båstads kommuns IT-resurser. Användarvillkor finns även i Riktlinjer för IT-användare. IT-policyn anger att bara behöriga personer ska ges åtkomst till information och tjänster. 16

18 Anskaffning, utveckling och underhåll av informationssystem 8 a Har en systemsäkerhetsanalys upprättats och dokumenterats för varje informationssystem som bedöms som viktigt? 8 b Krypteras persondata som förmedlas över öppna nät? 8 c Finns det angiven personal som ansvarar för systemunderhåll (angivna personer per system?) 8 d Finns det regler och rutiner för hur system- och programutveckling ska genomföras? 8 e Finns det en uppdaterad och aktuell systemdokumentation för informationssystemen? Ja, detta görs i samband med riskanalys av ITsystem. Systemsäkerhetsanalys görs även inför upphandlingar och framgår i förfrågningsunderlaget. Ja. Exempelvis när personuppgifter hämtas från Skatteverket. Ja. Anges i systemförteckningen. Ja, framgår delvis i servicenivåöverenskommelse, SLA. Egenutveckling sker i begränsad utsträckning. I de flesta fallen, ja. Kommunen har ett begränsat antal egenutvecklade eller anpassade system. I samarbete med en leverantör har systemet med metakatalog utvecklats. Detta har en omfattande systemdokumentation. Vi har inom ramen för granskningen dock inte kunnat ta del av information som styrker att det finns aktuell systemdokumentation för alla informationssystem Information och kommunikation Det är av stor vikt att medarbetare vet var de ska vända sig eller hur de ska agera vid olika situationer. Hantering av informationssäkerhetsincidenter ingår därför som en del av informations och kommunikationskanalerna genom att medarbetare ska ha just den informationen om störningar m.m. i systemen uppstår. IK 4 Hantering av informationssäkerhetsincidenter 9 a Finns det dokumenterade instruktioner avseende vart användare skall vända sig och hur de ska agera vid funktionsfel, misstanke om intrång eller vid andra störningar? 9 b Har medarbetarna kunskap om vart de ska vända sig? 9 c Hur fungerar servicedesken ut mot avnämarna på kvällar och helger? Ja, i Riktlinjer för IT-användare. Dessutom finns rutiner och mallar för incident- och avvikelserapportering. Ja, till Helpdesk. IT-beredskap har införts från och med Öppettiderna är vardagar innan kontorstid kl. 6-8 och kvällar till kl. 21. Fredagar är det öppet till kl. 23 och helger kl Användare har bara rätt att kontakta IT-beredskapen gällande system som är 17

19 klassade som allvarliga eller betydande inom tillgänglighet. Ca 50 system berörs Uppföljning och utvärdering Som utvärdering bedöms kontinuitetsplanering i verksamheten samt efterlevnaden. IK 5 Kontinuitetsplanering i verksamheten 10 a Finns det en gemensam kontinuitetsplan dokumenterad för organisationen? 10 b Har systemägaren eller motsvarande beslutat om den längsta acceptabla tid som informationssystemet bedöms kunna vara ur funktion innan verksamheten äventyras? 10 c Finns det en dokumenterad avbrottsplan med återstartsoch reservrutiner för datadriften som vidtas inom ramen för den ordinarie driften? Efterlevnad 11 a Används enbart programvaror i enlighet med gällande avtal och licensregler? 11 b Har organisationen förtecknat och anmält personuppgifter till personuppgiftsombud? 11 c Genomförs interna och externa penetrationstester kontinuerligt? Vi har inom ramen för granskningen inte kunnat ta del av en dokumenterad kontinuitetsplan för IT. En checklista användes tidigare för övervakning och instruktion men har sedan några år ersatts av övervakning via HP s IMC-system där alla system övervakas automatiskt och larm går ut till ITberedskapen. I praktiken är kontinuiteten tryggad genom att två redundanta servrar finns i bruk. Om något händer med en server finns allt material på den andra servern. Denna bedömning ingår som en del av klassificeringen av tillgänglighetskriteriet. Vi har inte tagit del av individuella kontinuitetsplaner som kopplas till de enskilda systemen. Ja, dokumentet Windows update används för kontroll av att servrar fungerar efter uppdateringar. Kommunen har tryggat reservkraften genom dels batterikraft, dels dieselverk som kan gå oavbrutet. Reservkraften testkörs regelbundet. Ja, licensinventering pågår kontinuerligt. Det finns en stor medvetenhet för IT-säkerhet bland kommunens personal. Emellertid kan personal installera vissa egna programvaror. IT-avdelningen har spärrat en del program för installation, såsom fildelningsprogram. Ja. Kommunen har en PUL-ansvarig. Tjänsten är för närvarande vakant. Ja. Årligen utförs tester av brandväggsrutiner med hjälp av extern konsult som ett led i internkontrollplanen. Testerna har visat på att skyddet fungerar som avsett. 18

20 11 d Granskar ledningspersoner regelbundet att säkerhetsrutiner, policy och normer efterlevs? Säkerhetssamordnaren gör vissa kontroller. Varje år ska säkerhetsskyddschefen genomföra en intern säkerhetsrevision enligt internkontrollplanen. Enligt Informationssäkerhetspolicyn är det Säkerhetsgruppen som planerar och följer upp arbetet med informationssäkerhet. Respektive verksamhetsområde kan ta fram riktlinjer och rutiner för sitt område till stöd för denna policy med angivande av ansvarsförhållanden för genomförande och uppföljning. Verksamhetsområdeschefer ansvarar för att informationssäkerhetsarbetet följs upp inom verksamhetsområdet. Wi-fi Revisionen har funnit det intressant att belysa användandet av kommunens Wi-fi (trådlöst nätverk) utifrån informationssäkerhetssynpunkt. 1 I vilken omfattning har kommunen trådlöst nätverk? Kommunen har flera typer av trådlösa nätverk, Wi-fi. I ett nätverk använder användaren sitt användarnamn. Ett nätverk finns med tele-wi-fi som har begränsad tillgänglighet. Vidare finns ett gästnät där användare registerar sitt mobiltelefonnummer och får en kod för att logga in. Surfning på Internet kan då ske och spårbarheten är kopplad till gästens angivna mobilnummer. 2 Finns det några särskilda risker med användandet av Wi-fi, t ex luckor i brandväggen som kan forceras? IT-chefen uppfattar inte att det finns några särskilda risker förknippade med Wi-fi eller att Wi-fi innebär en högre risk för att brandväggen forceras. 19

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Revisionsrapport Genomförd på uppdrag av revisorerna augusti 2010. Båstads kommun. Rapport: IT-revision. Göteborg, 2010-08-25

Revisionsrapport Genomförd på uppdrag av revisorerna augusti 2010. Båstads kommun. Rapport: IT-revision. Göteborg, 2010-08-25 Revisionsrapport Genomförd på uppdrag av revisorerna augusti 2010 Båstads kommun Rapport: IT-revision Göteborg, 2010-08-25 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Båstads

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept 2010. Haninge kommun. Rapport: IT-revision, granskning av informationssäkerheten

Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept 2010. Haninge kommun. Rapport: IT-revision, granskning av informationssäkerheten Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept 2010 Haninge kommun Rapport: IT-revision, granskning av informationssäkerheten Sammanfattning Bakgrund På uppdrag av de förtroendevalda

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Ystad kommun. Rapport: IT-revision. Göteborg, 2011-07-07

Ystad kommun. Rapport: IT-revision. Göteborg, 2011-07-07 Ystad kommun Rapport: IT-revision Göteborg, 2011-07-07 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Ystad kommun har Ernst & Young genomfört en IT-revision i kommunen. IT-revisionens

Läs mer

Informationssäkerhet Riktlinje Förvaltning

Informationssäkerhet Riktlinje Förvaltning Informationssäkerhet Riktlinje Förvaltning Fastställd av kommundirektören 2011-06-20 Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar 4 2.1 Informationssäkerhetssamordnare... 4 2.2 IT-chef...

Läs mer

Revisionsrapport 1-2011 Genomförd på uppdrag av revisorerna juni 2011. Lidingö Stad. Rapport: IT-revision. Stockholm, 2011-06-14

Revisionsrapport 1-2011 Genomförd på uppdrag av revisorerna juni 2011. Lidingö Stad. Rapport: IT-revision. Stockholm, 2011-06-14 Revisionsrapport 1-2011 Genomförd på uppdrag av revisorerna juni 2011 Lidingö Stad Rapport: IT-revision Stockholm, 2011-06-14 2 av 17 Sammanfattning Bakgrund På uppdrag av de förtroendevalda kommunrevisorerna

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Plan för informationssäkerhet vid Högskolan Dalarna 2015 Plan för informationssäkerhet vid Högskolan Dalarna 2015 Beslut: 2015-05-04 Reviderad: Dnr: DUC 2015/769/10 Ersätter: Relaterade dokument: Policy för informationssäkerhet Ansvarig: Förvaltningschef Innehållsförteckning

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Vetlanda kommun. Granskning avseende IT- och informationssäkerhet enligt BITS

Vetlanda kommun. Granskning avseende IT- och informationssäkerhet enligt BITS Revisionsrapport 2013 Genomförd på uppdrag av de förtroendevalda revisorerna i Vetlanda kommun Vetlanda kommun Granskning avseende IT- och informationssäkerhet enligt BITS Innehållsförteckning Sammanfattning...

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Informations- och IT-säkerhet i kommunal verksamhet

Informations- och IT-säkerhet i kommunal verksamhet Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Granskning av IT-säkerhet

Granskning av IT-säkerhet TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Kommunens revisorer 2013-04-08 GRANSKNING AV INTERNKONTROLLPLANER I HÄRRYDA KOMMUN Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Rapporten

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...1 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...1 3.1.1 Användning under normala förhållanden

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 8 januari 2010 Myndigheten

Läs mer

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM FÖRFATTNINGSSAMLING (8.1.3) SÄKERHETSFÖRESKRIFTER Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056 Giltig

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN 06-07 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...2 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...2

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

Reglemente för internkontroll

Reglemente för internkontroll Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

RIKTLINJER FÖR IT-SÄKERHET

RIKTLINJER FÖR IT-SÄKERHET FÖRFATTNINGSSAMLING (8.1.3) RIKTLINJER FÖR IT-SÄKERHET Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner - Användare Informationssäkerhetsinstruktion gemensam Mora, Orsa och Älvdalens kommuner Innehållsförteckning 1 Inledning... 1 2 Klassning

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

Södertälje kommun. Rapport: IT- och informationssäkerhet 2012-08-31

Södertälje kommun. Rapport: IT- och informationssäkerhet 2012-08-31 Södertälje kommun Rapport: IT- och informationssäkerhet 2012-08-31 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Södertälje kommun har Ernst & Young genomfört en granskning av

Läs mer

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret GRANSKNINGS Uppföljning IT-granskningar Projektledare: Lotta Onsö Beslutad av revisorskollegiet 2013-06-12 RAPP Uppföljning IT-granskningar Postadress: Stadshuset, 205 80 Malmö Besöksadress: August Palms

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799 2003-01-24 Energibranschens IT-säkerhet 1 (13) Att införa LIS Förberedelser inför anpassning till ISO/IEC 17799 Vad är informationssäkerhet? Information är en tillgång som, liksom andra viktiga tillgångar

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Kravställning på e-arkiv från informationssäkerhetsperspektiv Kravställning på e-arkiv från informationssäkerhetsperspektiv Författare: Delprojektgruppen informationssäkerhet Årtal: 2014 Författare: Delprojektgruppen informationssäkerhet Sammanfattning Inom ramen

Läs mer

Intern styrning och kontroll. Verksamhetsåret 2009

Intern styrning och kontroll. Verksamhetsåret 2009 Intern styrning och kontroll Verksamhetsåret 2009 ISK-projektet: En oberoende övergripande utvärdering av intern styrning och kontroll (ISK) på Riksbanken, utfördes av Ernst & Young i maj 2009. Utgångspunkt

Läs mer

Informationssäkerhetsinstruktion: Användare

Informationssäkerhetsinstruktion: Användare EXEMPEL 1 Informationssäkerhetsinstruktion: Användare (Infosäk A) Innehållsförteckning 1. INSTRUKTIONENS ROLL I INFORMATIONSSÄKERHETSARBETET...2 2. ANVÄNDARENS ANSVAR...2 3. ÅTKOMST TILL INFORMATION...2

Läs mer

Informations- säkerhet

Informations- säkerhet ISec Code of Conduct Internal information Informations- säkerhet Ditt ansvar! ISec Code of Conduct Informationssäkerhet Scanias verksamhet är beroende av att information är tillgänglig och hanteras på

Läs mer

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Rapport avseende granskning av IT-säkerhet. Östersunds kommun Rapport avseende granskning av IT-säkerhet Östersunds kommun November 2014 Innehåll Sammanfattning 1 1. Inledning 2 1.1. Uppdrag och bakgrund 2 1.2. Revisionsfråga 2 1.3. Revisionskriterier 2 1.4. Avgränsning

Läs mer

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium Revisorerna 1 (1) Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden För kännedom: Kommunfullmäktiges presidium Revisionsrapport: Revisorerna har uppdragit till

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

Granskning av Intern kontroll

Granskning av Intern kontroll www.pwc.se Revisionsrapport Lars Wigström Cert. kommunal revisor Granskning av Intern kontroll Vingåkers kommun Innehållsförteckning 1. Sammanfattande bedömning och rekommendationer... 1 2. Inledning...3

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

IT-policy för Hällefors kommun

IT-policy för Hällefors kommun IT-policy för Hällefors kommun 2(9) Innehåll 1 Målsättning... 3 2 Syfte... 3 3 Ansvarsfördelning... 5 4 IT-säkerhet... 7 3(9) 1 Målsättning Denna IT-policy är övergripande för Hällefors kommun. Den ska

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Kommunalförbundet ITSAM Revision: 20130317 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Kommunalförbundet ITSAM Revision: 20130307 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete 2014 En bild av myndigheternas informationssäkerhet 2014 tillämpning av MSB:s föreskrifter Enkätundersökning februari 2014 Utskick

Läs mer

2009-05-04. Informationssäkerhetspolicy

2009-05-04. Informationssäkerhetspolicy 2009-05-04 Informationssäkerhetspolicy 2 1 POLICYNS ROLL I INFORMATIONSSÄKERHETSARBETET... 3 2 ALLMÄNT OM INFORMATIONSSÄKERHET... 3 3 MÅL... 4 4 ORGANISATION, ROLLER OCH ANSVAR... 4 4.1 ÖVERGRIPANDE ANSVAR...5

Läs mer

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor)

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor) Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor) Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Version 2.0 Gäller från och med Revisionshistorik Versionsnummer Datum

Läs mer

Riktlinjer inom ITområdet

Riktlinjer inom ITområdet Riktlinjer inom ITområdet Uppsala universitet Fastställda av universitetsdirektören 2013-06-25 Reviderade 2013-10-30 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering av riktlinjerna

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

IT-säkerhetsinstruktion

IT-säkerhetsinstruktion IT-säkerhetsinstruktion Innehållsförteckning 1. ANVÄNDARENS ANSVAR...2 2. ÅTKOMST TILL INFORMATION...2 2.1 BEHÖRIGHET...2 2.2 INLOGGNING...2 2.3 VAL AV LÖSENORD...2 2.4 BYTE AV LÖSENORD...2 3. DIN ARBETSPLATS...3

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy Dnr: KS 2012/170 Fastställd av KF 2012-10-25 152 1 (20) Informationssäkerhetspolicy Informationssäkerhet är den del i kommunens lednings- och kvalitetsprocess som avser hantering av verksamhetens information.

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde 1 (12) Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde Dokumentnamn Regnr Gäller fr.o.m Informationssäkerhet - riktlinjer för 2013-01-22 SLSO Handläggare Godkänd/signatur

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

IT-riktlinjer Nationell information

IT-riktlinjer Nationell information IT-riktlinjer Nationell information Syftet med denna It-riktlinje: den ska vägleda i användningen av Studiefrämjandets gemensamma datornätverk och dess it-resurser, vilket även innefattar den egna datorarbetsplatsen.

Läs mer

Riktlinjer för internkontroll i Kalix kommun

Riktlinjer för internkontroll i Kalix kommun Riktlinjer för internkontroll i Kalix kommun Antaget av kommunfullmäktige 2012-11-26--27, 182 Innehållsförteckning Riktlinjer för internkontroll i Kalix kommun...1 Inledning...1 Internkontroll...1 Organisation

Läs mer

Säkerhetspolicy för Göteborgs Stad

Säkerhetspolicy för Göteborgs Stad (Styrelsemöte i Förvaltnings AB Framtiden 2014-12-09) Säkerhet & lokaler Gemensamt för staden Säkerhetspolicy för Göteborgs Stad - Policy/riktlinjer/regler Handläggare: Peter Lönn Fastställare: Kommunfullmäktige

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

Policy för internkontroll för Stockholms läns landsting och bolag

Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag 2 (6) Innehållsförteckning Policy för internkontroll... 1 för Stockholms

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

December 2013 Pernilla Lihnell, certifierad kommunal revisor Åsa Vilsson, revisor. Granskning av internkontrollstrukturen Skara Kommun

December 2013 Pernilla Lihnell, certifierad kommunal revisor Åsa Vilsson, revisor. Granskning av internkontrollstrukturen Skara Kommun December 2013 Pernilla Lihnell, certifierad kommunal revisor Åsa Vilsson, revisor Granskning av internkontrollstrukturen Skara Kommun Innehåll 1. Sammanfattning 1 2. Inledning 3 3. COSO-modellen 4 4. Skara

Läs mer

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang. IT-säkerhetspolicy IT-säkerhetspolicy Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.se Innehåll Sammanfattning 1 IT-säkerhetspolicy

Läs mer

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN Köping2000, v3.2, 2011-07-04 1 (8) Drätselkontoret Jan Häggkvist 0221-251 11 jan.haggkvist@koping.se SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN 1. Målsättning Målsättning för säkerhetsarbetet är att ett säkerhetsarbete

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde Högskoledirektör Beslut 2015-03-01 Dnr Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde Härmed fastställs reviderad version av informationssäkerhetspolicyn vid Högskolan i Skövde.

Läs mer

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT Revisionsrapport 3/2012 Genomförd på uppdrag av revisorerna Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT Nicklas Samuelsson Magnus Nilsson

Läs mer

IT-Policy. Tritech Technology AB

IT-Policy. Tritech Technology AB IT-Policy Tritech Technology AB 1 av 6 Innehåll 1 Dokumentinformation...3 1.1 Syfte och målgrupp 3 1.2 Ansvar 3 1.3 Nyttjande 3 1.4 Distribution 3 1.5 Versionshistorik 3 1.6 Godkännande 3 2 IT-Policy...4

Läs mer

Fastställd av kommundirektören 2011-06-20. Informationssäkerhet Riktlinje Kontinuitet och drift

Fastställd av kommundirektören 2011-06-20. Informationssäkerhet Riktlinje Kontinuitet och drift Fastställd av kommundirektören 2011-06-20 Informationssäkerhet Riktlinje Kontinuitet och drift Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar för säkerhetsarbetet 4 2.1 IT-Support... 4 3 Hantering

Läs mer

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Ledningssystem för informationssäkerhet () Informationssäkerhet Informationssäkerhet Administrativ säkerhet IT-säkerhet ADB-säkerhet Kommunikationssäkerhet

Läs mer

Allmänna villkor för infrastrukturen Mina meddelanden

Allmänna villkor för infrastrukturen Mina meddelanden Allmänna villkor för infrastrukturen Mina meddelanden Bilaga 1 Krav på säkerhet för brevlådeoperatörer version 1.2 (Gäller fr.o.m. 2015-11-11) 2 Bakgrund och syfte Skatteverket tillhandahåller en myndighetsgemensam

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer