Revisionsrapport Genomförd på uppdrag av revisorerna juni Lidingö Stad. Rapport: IT-revision. Stockholm,

Storlek: px
Starta visningen från sidan:

Download "Revisionsrapport 1-2011 Genomförd på uppdrag av revisorerna juni 2011. Lidingö Stad. Rapport: IT-revision. Stockholm, 2011-06-14"

Transkript

1 Revisionsrapport Genomförd på uppdrag av revisorerna juni 2011 Lidingö Stad Rapport: IT-revision Stockholm,

2 2 av 17

3 Sammanfattning Bakgrund På uppdrag av de förtroendevalda kommunrevisorerna har Ernst & Young genomfört en ITrevision hos Lidingö Stad. IT-revisionens syfte har varit att granska och bedöma informationssäkerheten på en övergripande nivå i verksamheten. Granskningen har gjorts mot Myndigheten för samhällsskydd och beredskaps ramverk för informationssäkerhet, BITS. Övergripande slutsatser Av samtliga granskningspunkter är fördelningen av bedömningarna följande: Kontrollen finns ej eller fungerar ej tillfredsställande: 8 % Kontrollen finns och fungerar delvis: 25 % Kontrollen finns och fungerar tillfredsställande: 67 % Ej tillämplig, kontrollen behövs ej av särskilda skäl: 0 % Jämfört med andra verksamheter, främst kommuner, som Ernst & Young gjort liknande granskningar för ligger Lidingö Stads måluppfyllnad över verksamhetsgenomsnittet. Iakttagelser Fullständiga iakttagelser med riskbedömningar och rekommendationer finns i kapitel 4. # Iakttagelse Prioritet 1. Avsaknad av rutin för periodisk genomgång av behörigheter Medel 2. Avsaknad av rutiner för fullständig återläsning av säkerhetskopior Medel 3. Avsaknad av dokumenterad brandväggspolicy Medel 4. Avsaknad av revisionsloggar för säkerhetsrelevanta händelser Medel 5. Avsaknad av tekniska säkerhetskrav för mobil datorutrustning Medel 6. Bristande utbildning i informationssäkerhet Medel 7. Tester av programutveckling sker i vissa fall i driftmiljö Låg iii

4 Innehållsförteckning SAMMANFATTNING... III Bakgrund...iii Övergripande slutsatser...iii Iakttagelser...iii INNEHÅLLSFÖRTECKNING... IV 1 BAKGRUND Syfte Metod Avgränsningar IAKTTAGELSER IT-organisation IT-system Aktuella förändringar Granskningsprotokoll JÄMFÖRELSE MOT ANDRA VERKSAMHETER SLUTSATSER OCH REKOMMENDATIONER Generella slutsatser Rekommendationer iv

5 1 Bakgrund 1.1 Syfte Idag bedrivs så gott som all verksamhet med någon form av datoriserat stöd. Stödet har med tiden utvecklat sig till att bli en förutsättning för att kunna bedriva verksamhet. För att uppnå målen för tillfredsställande informationssäkerhet krävs att informationen i verksamhetsstödet är tillgängligt, riktigt och har korrekt konfidentialitet, samt är spårbart. På uppdrag av de förtroendevalda kommunrevisorerna har Ernst & Young genomfört en ITrevision hos Lidingö Stad. IT-revisionens syfte har varit att granska och bedöma informationssäkerheten på en övergripande nivå i verksamheten. Syftet har också varit att jämföra verksamhetens nuvarande informationssäkerhet mot BITS, Myndigheten för samhällsskydd och beredskaps (tidigare Krisberedskapsmyndigheten) ramverk för informationssäkerhet. BITS står för Basnivå för informationssäkerhet och har sitt ursprung i den internationella informationssäkerhetsstandarden ISO/IEC Metod Baserat på erfarenheter från tidigare kommunrevisioner har Ernst & Young valt ut ett antal relevanta kontroller som presenteras i BITS, fördelat på elva huvudområden: 1. Säkerhetspolicy 2. Organisation av säkerheten 3. Hantering av tillgångar 4. Personalresurser och säkerhet 5. Fysisk och miljörelaterad säkerhet 6. Styrning av kommunikation och drift 7. Styrning av åtkomst 8. Anskaffning, utveckling och underhåll av informationssystem 9. Hantering av informationssäkerhetsincidenter 10. Kontinuitetsplanering i verksamheten 11. Efterlevnad 1 av 15

6 Rapporten redovisar i vilken grad verksamheten uppfyller valda rekommendationer ur BITS. Resultatet är en sammanvägd bedömning, som baseras på information som lämnats vid intervjuerna samt genom erhållen dokumentation. Den sammanvägda bedömningen av svaren på kontrollerna har bedömts enligt följande alternativ: Nej Kontrollen finns ej eller fungerar ej tillfredsställande. Kontrollen finns och fungerar delvis. E/T Kontrollen finns och fungerar tillfredsställande. Ej tillämplig, kontrollen behövs ej av särskilda skäl. Analysen baseras på erhållen dokumentation samt på intervju med Björn Söderlund (IT-strateg), Birgitta Berglund (IT-chef), Fredrik Wassberg (IT-ansvarig, utbildningsförvaltningen), Lars Håkansson (IT- arkitekt) och Mikaela Schmidt (IT-ansvarig, äldre- och handikappsförvaltningen) Arbetet har genomförts av Pernilla Borg och Aleksandar Jovanovic under maj och juni 2011 och kvalitetssäkrats av Marcus Hansson. De intervjuade har fått möjlighet att faktagranska rapporten. 1.3 Avgränsningar Iakttagelser och analyser baseras enbart på information som har inhämtats vid intervjuer och förelagd dokumentation. Inga tester har genomförts. Det kan finnas brister i verksamhetens hantering av IT som vi inte har identifierat. Arbetet har inte omfattat test av generella ITkontroller och applikationskontroller. 2 av 15

7 2 Iakttagelser 2.1 IT-organisation IT organisationen är uppbyggd kring en beställar-/utförarmodell, där IT-enheten är utförare och ITansvarig och IT-strateg är beställare av tjänster. Målsättningen är att köpa in system och tjänster i så hög grad som möjligt. I dagsläget driftas ungefär hälften av systemen av externa leverantörer och hälften internt. Lidingö Stad har en handfull leverantörer där Logica och IST räknas till de största. Figur 1: Lidingö Stads IT- organisation, Källa: Lidingö Stad 3 av 15

8 2.2 IT-system Lidingö Stad använder sig av ca 700 olika system och applikationer i sina olika verksamhetsområden. Nedan listas de system som har av staden identifierats och klassats som de mest verksamhetskritiska: Lidingö Stad använder sig även av ett IT-management verktyg som heter DEVS. I DEVS hanteras avtal, inventarier, debitering, kvalitetsuppföljning, support och uppdragshantering, systemdokumentation m.m. 4 av 15

9 2.3 Aktuella förändringar Lidingö Stad har genomfört och håller på att genomföra en rad förändringar i sin IT miljö. Nedan följer exempel på de största aktuella förändringarna: Byte av leverantör för vård och omsorgssystem från Logica till Pulsen AB. Systemet bygger på en molntjänst med säker inloggning (e-legitimationsinloggning). Kortinloggning kommer att gälla för all personal. Projektet är i uppstartsfasen och beräknas vara i full drift 2012/2013. Skolsystemet ska gå över till molntjänst på två till tre års sikt dvs. man ska hyra tillgång till mjukvaran som en IT-tjänst från en extern leverantör. Ett nytt system för skriftliga omdömen testades förra året och ska rullas ut till hösten. Användning av virtuell serverhosting (möjliggör användning av flera operativsystem på samma server) är på planeringsstadiet och staden söker för närvarande en lämplig leverantör för denna tjänst. E-arkiv är på diskussionsstadiet och samarbete med andra kommuner och aktörer på regional nivå är påbörjat. Staden uppgraderar sin plattform till Windows 7 och Office 2010 och befinner sig just nu i utrullningsfasen. 5 av 15

10 2.5 Granskningsprotokoll Granskningspunkt Kommentar Utvärdering 1 Säkerhetspolicy 1.1 Har kommunen en informations-/itsäkerhetspolicy? 2 Organisation av säkerheten 2.1 Finns det en informationssäkerhetssamordnare/- funktion för informationssäkerhet? 2.2 Har ledningen utsett systemägare för samtliga informationssystem? 2.3 Har organisationen utsett systemansvariga? 2.4 Finns det en samordningsfunktion för att länka samman den operativa verksamheten för informationssäkerhet och ledningen? 2.5 Har ansvaret för informationssäkerheten reglerats i avtal för informationsbehandling som lagts ut på en utomstående organisation? 3 Hantering av tillgångar 3.1 Är organisationens information klassad avseende sekretess/riktighet/tillgänglighet? 3.2 Har samtliga informationssystem identifierats och dokumenterats i en aktuell systemförteckning? 3.3 Finns det en ansvarsfördelning för organisationens samtliga informationstillgångar? 3.4 Finns det upprättat dokument för hur informationsbehandlingsresurser får användas? 4 Personalresurser och säkerhet 4.1 Får inhyrd/inlånad personal information om vilka säkerhetskrav och instruktioner som gäller? 4.2 Har systemägaren definierat vilka krav som ställs på användare som får tillgång till informationssystem och information? 4.3 Finns det framtagna dokumenterade säkerhetsinstruktioner för användare? 4.4 Genomförs utbildningsinsatser inom informationssäkerhet regelbundet? 4.5 Finns det användarhandledning för ett informationssystem att tillgå? IT-policy finns och är tre år gammal. Till denna finns tillhörande regler och riktlinjer som komplement och som revideras årligen. Informationssäkerhetspolicy har tagit fram och ska godkännas i juni. Övergripande ansvarig för informationssäkerhetsarbete är sedan april IT-strategen på stadsledningskontoret. Sekretariatet ska rekrytera en operativ informationssäkerhetssamordnare under våren/hösten. Systemägare är beställare av systemen och har övergripande ansvar. Systemförvaltare finns på alla verksamhetskritiska system och de system som är så anses behöva en systemförvaltare. Sekretariatet ska rekrytera en operativ informationssäkerhetssamordnare under våren/hösten. Denne ska tillsammans med IT-strategen fungera som länk mellan verksamhet, sekretariatet och IT i informationssäkerhetsarbete. Ingår i tjänsteavtalen för de verksamhetskritiska systemen. Det finns även reglerat i Lidingö Stads IT-plattform vad dessa ska innehålla. Ett tiotal system har klassats enligt BITS+. Arbete är pågående för övriga verksamhetskritiska system. Beräknas vara slutfört efter sommaren Finns för de informationsbehandlingsresurser som bedöms vara verksamhetskritiska. Åligger respektive systemägare/systemförvaltare. IT ansvariga är osäker på hur det sköts i de fall det är aktuellt. Instruktioner finns att tillgå på intranätet. Det finns inte dokumenterat men alla får introduktionskurs. Rollbaserade behörigheter begränsar användning i systemet. Generella instruktioner för användare och hantering av information återfinns i Regler och riktlinjer för IT. Nej. Manualer och lathundar finns för majoriteten av systemen. Nej Nej 6 av 15

11 Granskningspunkt Kommentar Utvärdering 4.6 Dras åtkomsträtten till information och informationsbehandlingsresurser in vid avslutande av anställning eller vid förflyttning? 5 Fysisk och miljörelaterad säkerhet 5.1 Finns funktioner för att förhindra obehörig fysisk tillträde till organisationens lokaler och information? 5.2 Har IT-utrustning som kräver avbrottsfri kraft identifierats? 5.3 Finns larm kopplat till larmmottagare för: - brand, temperatur, fukt - sker test till larmmottagare 5.4 Finns i direkt anslutning till viktig datorkommunikationsutrustning kolsyresläckare? 5.5 Regleras tillträde till utrymmen med känslig information eller informationssystem utifrån informationens skyddsbehov? Tillträdesrättigheter, rutiner för upprättande? Avslutning av användarkonto till stadens IT miljö (AD konto) sker efter avbeställning från ansvarig chef via tjänsten Self Service i samband med att medarbetare slutar. Rensning i specifika system finns det inga tydliga rutiner för. Vid förändring av tjänst inom staden fungerar rutinen mindre bra, enligt IT enheten., kortlås finns för tillträde till lokaler.., testas varje månad (temperaturlarm går via e-post till systemtekniker samt dagsjour). IT-chefen beslutar om tillträde till datahallarna. Inpassering sker med kort och kod. Access är begränsad till ett fåtal individer (systemtekniker, 5-6 st.) vilket lett till en bedömning av Lidingö Stad att ytterligare rutinbeskrivningar inte anses motiverat. 5.6 Är korskopplingsskåp låsta?, generellt sett, men undantag finns på vissa skolor. 5.7 Raderas känslig information på ett säkert sätt från utrustning som tas ur bruk eller återanvänds? 5.8 Finns särskilda säkerhetsåtgärder för utrustning utanför ordinarie arbetsplats? 5.9 Finns information och regler som förklarar att informationsbehandlingsresurser inte får föras ut från organisationens lokaler utan medgivande från ansvarig chef? 6 Styrning av kommunikation och drift 6.1 Finns det driftdokumentation för verksamhetskritiska informationssystem? 6.2 Är klockorna i informationssystemen synkroniserade med godkänd exakt tidsangivelse? 6.3 Sker system-/programutveckling samt tester av modifierade system åtskilt från driftmiljön? 6.4 Finns rutiner för hur utomstående leverantörers tjänster följs upp och granskas? 6.5 Godkänner lämplig personal (systemägaren) driftsättningar av förändrade informationssystem? 6.6 Finns det för både servrar och klienter rutiner för skydd mot skadlig programkod Rutiner finns för radering och görs av externa experter. VPN används för åtkomst till det lokala nätverket. Möjlighet finns att rensa telefoner på distans vid förlust., mest kritiskt för socialförvaltningen som hanterar känsliga uppgifter där det finns uppsatta regler och direktiv. Sekretesshandlingar täcks av Regler och Riktlinjer för IT (4.3), en checklista baserad på BITS finns för utformning av driftsdokumentation.. Det finns testmiljöer för vissa system men majoriteten av utvecklingen sker hos externa leverantörer. Tester för skolsystem görs i driftmiljön när det handlar om nya funktioner som inte har påverkan på redan driftsatta funktioner. Inga generella rutiner finns för uppföljning. Servicenivåavtal finns med leverantörer. Verksamheten återkopplar om tjänster inte levereras i rätt utsträckning, då genomförs uppföljning och möten. Systemförvaltaren godkänner driftsättning.. 7 av 15

12 Granskningspunkt Kommentar Utvärdering 6.7 Har organisations nätverk delats upp i mindre enheter (segmentering), så att en (virus) attack enbart drabbar en del av nätverket? 6.8 Genomförs säkerhetskopiering regelbundet? 6.9 Genomförs regelbundna tester för att säkerställa att informationssystem kan återstartas från säkerhetskopior? 6.10 Finns det en aktuell förteckning över samtliga externa anslutningar? 6.11 Saknas alternativa vägar vid sidan av organisationens brandvägg in till det interna nätverket? 6.12 Är det möjligt att logga säkerhetsrelevanta händelser? 6.13 Finns det riktlinjer avseende förvaringstid för datamedia? 6.14 Finns det dokumenterade regler avseende vilken information som får skickas utanför organisationen? 6.15 Gäller det för e-postsystem och andra viktiga system att de är isolerade från externa nät? (DMZ) t.ex. genom någon form av brandväggsfunktion Sparas revisionsloggar för säkerhetsrelevanta händelser? 7 Styrning av åtkomst 7.1 Har organisationen satt upp dokumenterade regler för åtkomst/tillträde för tredjeparts åtkomst till information eller informationssystem? 7.2 Tilldelas användare en behörighetsprofil som endast medger åtkomst till informationssystem som krävs för att lösa arbetsuppgifterna? 7.3 Begränsas rätten att installera nya program i nätverket samt den egna arbetsstationen till endast utsedd behörig personal? 7.4 Har samtliga administratörer systembehörigheter endast i den utsträckning som krävs för arbetsuppgifterna? 7.5 Har organisationen en dokumenterad rutin för tilldelning, borttagning eller förändring av behörighet? Är de kommunicerade till ansvarig för behörigheter? 7.6 Får nya användare ett initialt lösenord som de måste byta, till ett eget valt lösenord vid första användning? Uppdelat i tre delar (admin, skolnät och öppet). Brandväggsrutiner för detta håller på att ses över., filsystemet två gånger per dag, full backup en gång per vecka och inkrementell varje natt. Testning görs inte regelbundet. Mindre återläsningar görs regelbundet för fil och e-post som har försvunnit., i DEVS VPN-servern ligger parallellt med ordinarie brandväggen men kommer att flyttas under VPN servern är försedd med egen brandvägg. Möjligheten finns men ett aktivt val har gjorts att bara logga vissa system. Bedömning av vad som ska loggas i systemen åligger systemägare och förvaltare och val görs utifrån krav eller beställningar från IT eller stadsledningen., ingår i respektive verksamhets dokumenthanteringsplaner. Säkerhetskopior sparas i 180 dagar. Fakturor sparas i tio år via scanningsleverantör., i regler och riktlinjer för IT (4.3.1). Vissa säkerhetsrelevanta händelser loggas, ex på internetanvändning (via en övervakningsplattform), byte av lösenord, och numera också på tillgänglighet på vissa system. Finns reglerat i IT-plattformen (kapitel 12 och 16). Leverantörer ges åtkomst vid speciella servicefönster eller behov och har ingen löpande åtkomst., behörigheter är rollbaserade. Olika beroende på vilken verksamhet man arbetar med. Generellt är alla Elev PC och Pool PC helt öppna för installation. För installation på nätverket krävs administratörsrättigheter. Generellt har administratörer endast de behörigheter som krävs för deras arbete. Chefer och kontoadministratörer lägger beställning i Self service desk. Se 4.6. Kontroll görs mot kunddatabasen att beställaren är behörig. Inaktivering av konton sker automatiskt vid sex månaders inaktivitet., för nätverket och vissa av de verksamhetskritiska systemen. Alla system har dock inte stöd för att tvinga fram lösenordsbyten. Nej 8 av 15

13 Granskningspunkt Kommentar Utvärdering 7.7 Genomförs regelbundet (minst en gång per år) kontroll av organisationens behörigheter? 7.8 Har systemadministratörer/- tekniker/-användare individuella unika användaridentiteter? 7.9 Öppnas låsta användarkonton först efter säker identifiering av användaren? 7.10 Finns en gemensam lösenordspolicy? 7.11 Sker automatisk aktivering av skärmsläckare och automatisk låsning av obevakade arbetsstationer efter visst givet tidsintervall? Upplåsning kan endast ske med lösenord Är brandväggsfunktionen den enda kanalen för IP-baserad datakommunikation till och från organisationen? 7.13 Finns en dokumenterad brandväggspolicy där det beskrivs vilka tjänster brandväggen skall tillhandahålla? 7.14 Används trådlösa lokala nät? I så fall, finns det åtgärder mot obehörig avlyssning och obehörigt utnyttjande av resurser? 7.15 Finns det en karta över nuvarande säkerhetsarkitektur (tekniska anvisningar) för interna och externa nät och kommunikationssystem? 7.16 Har organisationen upprättat dokumenterade riktlinjer avseende lagring? 7.17 Har verksamheten ställt och dokumenterat tekniska säkerhetskrav och krav på praktisk hantering avseende användandet av mobil datorutrustning och distansarbete? 7.18 Har systemägaren eller motsvarande beslutat om att ett informationssystems information ska få bearbetas på distans med stationär eller mobil utrustning? 7.19 Finns det aktuell dokumentation med regler för distansarbete? Endast inom vård och omsorg görs regelbundna kontroller. Nätverkskonton inaktiveras efter sex månaders inaktivitet.., görs av kontoansvarig eller ansvarig chef. Oftast räcker det med telefonsamtal till ansvarig chef.. Se Lidingö stads IT-plattform (15.3). Byte ska ske var 90:e dag. Lösenord bör vara minst 8 tecken, varav krav på små och stora tecken samt kombination med siffror är att föredra., vid 15 minuters inaktivitet. Inställningen kan inte stängas av lokala admins. VPN-servern ligger parallellt med ordinarie brandväggen men kommer att flyttas under VPN servern är försedd med egen brandvägg. Nej. 8 Anskaffning, utveckling och underhåll av informationssystem 8.1 Har en systemsäkerhetsanalys upprättats och dokumenterats för varje informationssystem som bedöms som viktigt? 8.2 Krypteras persondata som förmedlas över öppna nät? 8.3 Finns det angiven personal som ansvarar för systemunderhåll?, WPA2 (kryptering) och autentisering mot nätverkskontot. Nej, finns bara karta över nätverket.. Se Lidingö stads IT-plattform (17) Beskrivningar finns till viss del i styrande dokument. Ingen kryptering av hårddiskar och mobiltelefoner, men däremot finns en rensningsfunktion för att rensa smartphones och mobiler som synkar mail på distans och direktiv att ingen känslig eller kritisk information får sparas lokalt på datorerna. Generellt gäller att Lidingö stads dator med VPN förbindelse ska användas för distansarbete. För övriga system varierar detta från fall till fall.. Se Lidingö stads IT-plattform (15.4) Arbete pågår som en del av informationssäkerhetsarbetet. Lidingö Stad utgår från BITS+ som bland annat omfattar vissa delar av systemsäkerhet. Fem sådana analyser har avslutats. Krypteras för klienter via VPN tunnel eller https (tillägg till http för behörighetskontroll och kryptering av data mellan en webbserver och webbläsare).. Anges i DEVS. Nej 9 av 15

14 Granskningspunkt Kommentar Utvärdering 8.4 Finns det regler för hur system- och programutveckling ska genomföras? 8.5 Finns det regler och riktlinjer avseende beslut om programändringar? 8.6 Finns det dokumenterade rutiner för hur utbildning ska genomföras för köpta system? Omfattar rutinen även kompletterande utbildning vid program- och funktionsändringar? 8.7 Finns det en uppdaterad och aktuell systemdokumentation för informationssystemen? 9 Hantering av informationssäkerhetsincidenter 9.1 Finns det dokumenterade instruktioner avseende vart användare skall vända sig och hur de skall agera vid funktionsfel, misstanke om intrång eller vid andra störningar? 10 Kontinuitetsplanering i verksamheten 10.1 Finns det en gemensam kontinuitetsplan dokumenterad för organisationen? 10.2 Har systemägaren eller motsvarande beslutat om den längsta acceptabla tid som informationssystemet bedöms kunna vara ur funktion innan verksamheten äventyras? 10.3 Finns det en dokumenterad avbrottsplan med återstarts- och reservrutiner för datadriften som vidtas inom ramen för ordinarie driften? 10.4 Har omständigheter som ska betecknas som kris/katastrof (extraordinära händelser) för verksamheten kartlagts? 11 Efterlevnad 11.1 Användas endast programvaror i enlighet med gällande avtal och licensregler? 11.2 Har organisationen förtecknat och anmält personuppgifter till personuppgiftsombud? 11.3 Genomförs interna och externa penetrationstester regelbundet? 11.4 Granskar ledningspersoner regelbundet att säkerhetsrutiner, - policy och -normer efterlevs?. Anges i Lidingö stads IT-plattform.. Finns i IT-enhetens Change Management process. Nej, Inga generella rutiner finns., i DEVS., användare ska vända sig till IT-enhetens helpdesk. Dokumenterat i Lidingö Stads IT-policy. Reservrutiner finns dokumenterade för vissa verksamhetskritiska system. För verksamheten i övrigt finns ingen generell kontinuitetsplan dokumenterad., finns dokumenterat i DEVS men revision pågår. Varierar från system till system. Finns dokumenterat i DEVS (se även 10.1). Krishanteringsarbetet i kommunen drivs från ett risk- och sårbarhetsperspektiv. En sådan analys med identifiering utifrån 12 scenarios är genomförd. Beslut om fortsatt arbete ska tas i kommunstyrelsen i höst.. Staden har ett system för övervakning av licensefterlevnad., via Maria Bring som är personuppgiftsombud. Detta finns beskrivet på Lidingö Stads Ö-nät. Nej. Penetrationstest via extern leverantör planerat till hösten 2011 för webben. IT-enheten gör löpande uppföljning på fillagring, licenser, surfning, användning av telefoni och inköp. Vi avvikelser från regler kontaktas ansvarig person. Nej Nej 10 av 15

15 3 Jämförelse mot andra verksamheter Ernst & Young har gjort ett flertal gapanalyser mot BITS, främst hos Sveriges kommuner. Utifrån dessa kan vi mäta Lidingö Stads mognadsgrad rörande informationssäkerhet mot ett genomsnitt av de verksamheter vi tidigare granskat. I diagrammet nedan representerar ytterkanten 100 % måluppfyllnad, medan mittpunkten anger 0 % måluppfyllnad. Siffrorna anger respektive område i BITS enligt: 1. Säkerhetspolicy 2. Organisation av säkerheten 3. Hantering av tillgångar 4. Personalresurser och säkerhet 5. Fysisk och miljörelaterad säkerhet 6. Styrning av kommunikation och drift 7. Styrning av åtkomst 8. Anskaffning, utveckling och underhåll av informationssystem 9. Hantering av informationssäkerhetsincidenter 10. Kontinuitetsplanering i verksamheten 11. Efterlevnad Mognadsgrad av informationssäkerhet Jämförelse mot verksamhetsgenomsnitt Verksamhetssnitt Lidingö Stad Bild 3.1. Verksamhetsjämförelse, mognadsgrad 11 av 15

16 4 Slutsatser och rekommendationer 4.1 Generella slutsatser Av samtliga granskningspunkter är fördelningen av bedömningarna följande: Nej Kontrollen finns ej eller fungerar ej tillfredsställande: 8 % Kontrollen finns och fungerar delvis: 25 % Kontrollen finns och fungerar tillfredsställande: 67 % E/T Ej tillämplig, kontrollen behövs ej av särskilda skäl: 0 % Verksamhetens starkaste områden är: Fysisk och miljörelaterad säkerhet Organisation av säkerhet Styrning av kommunikation och drift Verksamhetens svagaste område är: Personalresurser och säkerhet 12 av 15

17 4.2 Rekommendationer Nedan följer våra rekommendationer samt ett förslag på prioritering. Rekommendationerna är prioriterade enligt följande: Hög Medel Låg Nyckelkontroll ej på plats/ej effektiv. Bristen bör åtgärdas snarast för att säkerställa god intern kontroll på kort sikt. Nyckelkontroll delvis på plats/delvis effektiv. Bristen bör åtgärdas för att säkerställa god intern kontroll på lång sikt. Nyckelkontroll på plats men effektivitet kan förbättras. Bristen bör åtgärdas på lång sikt. # Iakttagelse och rekommendation Prioritet 1 Iakttagelse: Avsaknad av rutin för periodisk genomgång av behörigheter Det görs inga regelbundna genomgångar av behörigheter i systemen. Risk Avsaknad av rutin för genomgång av behörigheter i systemen ökar risken för att personer som slutat eller bytt tjänst fortfarande har tillgång till system och information. Rekommendation Vi rekommenderar Lidingö Stad att dokumentera och implementera en rutin för att regelbundet granska rättigheter i sina system. Följande kontroller och aktiviteter bör finnas med: IT (eller service desk) bör förse linjechefer med listor över behörigheter minst två gånger per år. Linjechefer bör gå igenom listorna, markera felaktigheter, signera samt sända tillbaka listorna till IT (eller service desk). IT (eller service desk) tar bort eller förändrar rättigheter enligt underlag. 2 Iakttagelse: Avsaknad av rutiner för fullständig återläsning av säkerhetskopior Det saknas rutiner för att säkerställa att informationssystem kan återstartas från säkerhetskopior. Risk: Test av återläsning av säkerhetskopior görs för att garantera att rätt information har kopierats, att rutinerna fungerar samt att datamediet fungerar. Avsaknad av regelbundna tester kan innebära att information ej kan läsas tillbaka i en nödsituation. Rekommendation: Vi rekommenderar Lidingö Stad att upprätta rutiner för att regelbundna tester återläsning av säkerhetskopior. Sådana tester bör göras årligen. Medel Medel 13 av 15

18 # Iakttagelse och rekommendation Prioritet 3 Iakttagelse: Avsaknad av dokumenterad brandväggspolicy Det finns inte någon dokumenterad brandväggspolicy där det beskrivs vilka tjänster brandväggen skall tillhandahålla. Risk: Felaktiga öppningar i brandväggen kan ge obehörig åtkomst till nätverkstjänster. Rekommendation: Lidingö Stad bör upprätthålla en förteckning över de beslutade öppningarna i brandväggen. Det ska finnas dokumenterade regler för anslutning av utrustning till interna och externa nätverk samt anslutning av externa nätverk till organisationens eget nät med ingående säkerhetsfunktioner, autentisering etc. 4 Iakttagelse: Avsaknad av revisionsloggar för säkerhetsrelevanta händelser Vi har noterat att Lidingö Stad endast sparar revisionsloggar för vissa säkerhetsrelevanta händelser. Risk: Vid avsaknad av revisionsloggar ökar risken för felaktigt användande av organisationens system och att bedrägeri inte upptäcks. Avsaknad av revisionsloggar ökar risken för att bedrägeriförsök genomförs samt gör det svårare att i efterhand reda ut vad som har hänt då felaktigheter har uppstått i system. Rekommendation: Vi rekommenderar Lidingö Stad att se över vilka typer av loggar man sparar och besluta ifall dessa är tillräckliga och relevanta för verksamheten. Möjligheter till spårbarhet ska sättas i relation till informationens skyddsvärde. Loggar för säkerhetsrelevanta händelser bör följas upp regelbundet och minst registrera: användaridentitet datum och tidpunkt för in- och utloggning lyckade och misslyckade försök till åtkomst 5 Iakttagelse: Avsaknad av tekniska säkerhetskrav för mobil datorutrustning Vi har noterat att det saknas vissa tekniska säkerhetskrav och krav på praktisk hantering avseende användandet av mobil datorutrustning. Bl.a. har det framkommit att hårddiskar och mobiltelefoner är okrypterade. Risk: Vid användning av okrypterad mobil datorutrustning ökar risken för obehörig avlyssning, insyn eller förändring av information. Rekommendation: Vi rekommenderar att Lidingö Stad ser över och identifiera var risken är störst att känslig information röjs eller av misstag offentliggörs. Hårddiskkryptering bör användas för mobil datorutrustning som används i dessa sammanhang. Medel Medel Medel 14 av 15

19 # Iakttagelse och rekommendation Prioritet 6 Iakttagelse: Bristande utbildning i informationssäkerhet Ingen systematisk utbildning genomförs för anställda eller inhyrd personal avseende informationssäkerhet. Risk: Det finns risk att anställda och inhyrd personal ovetande bryter mot kommunens informationssäkerhetsregler. Rekommendation: Genomför utbildningar kontinuerligt, både för att kunskapen om informationssäkerhet ska vara tillräcklig, men även för att bibehålla säkerhetsmedvetandet och motivationen för att upprätthålla säkerheten. För den personal det berör bör speciell information ges om vad som följer de olika ansvarsrollerna som definieras i informationssäkerhetspolicyn. 7 Iakttagelse: Tester av programutveckling sker i driftmiljö Vi har noterat att tester av vissa system sker direkt i driftmiljö Risk: Vid tester av programförändringar direkt i driftmiljön ökar risken för negativ påverkan på övrig funktionalitet i systemet. Rekommendation: Vi rekommenderar Lidingö Stad att se över sina system och utvärdera risken för att tester i produktionsmiljö skulle kunna ha negativ påverkan på övrig funktionalitet. Om tillräckligt höga risker föreligger bör inga tester utföras i skarp miljö. Medel Låg 15 av 15

20 Pernilla Borg Aleksandar Jovanovic

Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept 2010. Haninge kommun. Rapport: IT-revision, granskning av informationssäkerheten

Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept 2010. Haninge kommun. Rapport: IT-revision, granskning av informationssäkerheten Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept 2010 Haninge kommun Rapport: IT-revision, granskning av informationssäkerheten Sammanfattning Bakgrund På uppdrag av de förtroendevalda

Läs mer

Ystad kommun. Rapport: IT-revision. Göteborg, 2011-07-07

Ystad kommun. Rapport: IT-revision. Göteborg, 2011-07-07 Ystad kommun Rapport: IT-revision Göteborg, 2011-07-07 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Ystad kommun har Ernst & Young genomfört en IT-revision i kommunen. IT-revisionens

Läs mer

Revisionsrapport Genomförd på uppdrag av revisorerna augusti 2010. Båstads kommun. Rapport: IT-revision. Göteborg, 2010-08-25

Revisionsrapport Genomförd på uppdrag av revisorerna augusti 2010. Båstads kommun. Rapport: IT-revision. Göteborg, 2010-08-25 Revisionsrapport Genomförd på uppdrag av revisorerna augusti 2010 Båstads kommun Rapport: IT-revision Göteborg, 2010-08-25 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Båstads

Läs mer

Södertälje kommun. Rapport: IT- och informationssäkerhet 2012-08-31

Södertälje kommun. Rapport: IT- och informationssäkerhet 2012-08-31 Södertälje kommun Rapport: IT- och informationssäkerhet 2012-08-31 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Södertälje kommun har Ernst & Young genomfört en granskning av

Läs mer

Vetlanda kommun. Granskning avseende IT- och informationssäkerhet enligt BITS

Vetlanda kommun. Granskning avseende IT- och informationssäkerhet enligt BITS Revisionsrapport 2013 Genomförd på uppdrag av de förtroendevalda revisorerna i Vetlanda kommun Vetlanda kommun Granskning avseende IT- och informationssäkerhet enligt BITS Innehållsförteckning Sammanfattning...

Läs mer

Kommunrevisorerna granskar. UMEÅ KOMMUN Granskning av IT- och informationssäkerhet.

Kommunrevisorerna granskar. UMEÅ KOMMUN Granskning av IT- och informationssäkerhet. Kommunrevisorerna granskar UMEÅ KOMMUN Granskning av IT- och informationssäkerhet. Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Umeå har EY genomfört en granskning av IT- och

Läs mer

Svar till kommunrevisionen avseende genomförd IT-revision

Svar till kommunrevisionen avseende genomförd IT-revision Kommunkansliet TJÄNSTESKRIVELSE Datum: Sida: 2011-11-11 1 (6) Handläggare: Dokumentnamn: DokumentID Version: Victoria Galbe, Magnus Lindén och Per Nordén Svar till kommunrevisionen beträffande Genomförd

Läs mer

Informationssäkerhet Riktlinje Förvaltning

Informationssäkerhet Riktlinje Förvaltning Informationssäkerhet Riktlinje Förvaltning Fastställd av kommundirektören 2011-06-20 Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar 4 2.1 Informationssäkerhetssamordnare... 4 2.2 IT-chef...

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhetsanvisningar Förvaltning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Förvaltning i enlighet med rektors beslut fattat den 16 februari 2010 (dnr 020-09-101). Gäller från och med den

Läs mer

Upplands Väsby kommun

Upplands Väsby kommun Revisionsrapport nr 5/ Upplands Väsby kommun Innehållsförteckning 1. Bakgrund... 3 1.1 Syfte... 3 1.2 Metod... 3 1.3 Avgränsningar... 4 2. Iakttagelser... 5 2.1 IT-organisation... 5 2.2 IT-system... 5

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

IT-Säkerhetsinstruktion: Förvaltning

IT-Säkerhetsinstruktion: Förvaltning n av 7 för Munkfors, Forshaga, Kils och Grums kommun april 2006 av IT-samverkansgruppen n 2 av 7 IT SÄKERHETSINSTRUKTION: FÖRVALTNING Innehållsförteckning IT-säkerhetsinstruktion Förvaltnings roll i IT-säkerhetsarbetet...3

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Granskning av IT-säkerhet

Granskning av IT-säkerhet TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet

Läs mer

Handledning i informationssäkerhet Version 2.0

Handledning i informationssäkerhet Version 2.0 Handledning i informationssäkerhet Version 2.0 2013-10-01 Dnr 1-516/2013 (ersätter Dnr 6255/12-060) Informationssäkerhet 6 saker att tänka på! 1. Skydda dina inloggningsuppgifter och lämna aldrig ut dem

Läs mer

Bilaga 1 - Handledning i informationssäkerhet

Bilaga 1 - Handledning i informationssäkerhet Bilaga 1 - Handledning i informationssäkerhet Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Bilagor Bilaga 1. Handledning i informationssäkerhet

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS

AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS AppGate ch Krisberedskapsmyndighetens basnivå för infrmatinssäkerhet, BITS En intrduktin i säkerhet. AppGate AppGate är ett svenskt säkerhetsföretag med sina rötter inm försvarsindustrin. AppGates teknik

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Revisionsrapport 2014 Genomförd på uppdrag av revisorerna juni 2014. Hylte kommun. Granskning av den interna kontrollen avseende

Revisionsrapport 2014 Genomförd på uppdrag av revisorerna juni 2014. Hylte kommun. Granskning av den interna kontrollen avseende Revisionsrapport 2014 Genomförd på uppdrag av revisorerna juni 2014 Hylte kommun Granskning av den interna kontrollen avseende IT verksamheten Innehåll 1. Sammanfattning... 2 2. Inledning... 3 2.1. Bakgrund...

Läs mer

Rapport: IT-Revision 2014 Genomförd på uppdrag av revisorerna Mars 2014. Kungsbacka Kommun. Rapport: IT-revision 2014-03-17

Rapport: IT-Revision 2014 Genomförd på uppdrag av revisorerna Mars 2014. Kungsbacka Kommun. Rapport: IT-revision 2014-03-17 Rapport: IT-Revision 2014 Genomförd på uppdrag av revisorerna Mars 2014 Kungsbacka Kommun Rapport: IT-revision 2014-03-17 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Kungsbacka

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...1 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...1 3.1.1 Användning under normala förhållanden

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad

Läs mer

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket 171 94 Solna. Datum Dnr 2012-02-03 32-2011-0544

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket 171 94 Solna. Datum Dnr 2012-02-03 32-2011-0544 Revisionsrapport Skatteverket 171 94 Solna Datum Dnr 2012-02-03 32-2011-0544 Revision av uppbördsprocessen Moms 1 Inledning Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat

Läs mer

Bilaga till rektorsbeslut RÖ28, (5)

Bilaga till rektorsbeslut RÖ28, (5) Bilaga till rektorsbeslut RÖ28, 2011 1(5) Informationssäkerhetspolicy vid Konstfack 1 Inledning Information är en tillgång som tillsammans med personal, studenter och egendom är avgörande för Konstfack

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN 06-07 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...2 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...2

Läs mer

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Kommunalförbundet ITSAM Revision: 20130317 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010. Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen

Läs mer

Uppföljning av tidigare granskningar

Uppföljning av tidigare granskningar Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr:0036/13 Kommunalförbundet ITSAM, Storgatan 36A, 590 36

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy EDA KOMMUN nformationssäkerhet - Informationssäkerhetspolicy Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål... 2 3 Organisation, roller

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Lösenordsregelverk för Karolinska Institutet

Lösenordsregelverk för Karolinska Institutet Lösenordsregelverk för Karolinska Institutet Dnr 1-213/2015 Version 2.0 Gäller från och med 2015-05-18 Sida 2 av 7 Lösenordsregelverk för Karolinska Institutet - Sammanfattning Syfte Det övergripande syftet

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy Styrdokument, policy Kommunledningskontoret 2011-05-03 Per-Ola Lindahl 08-590 970 35 Dnr Fax 08-590 733 40 KS/2015:315 per-ola.lindahl@upplandsvasby.se Informationssäkerhetspolicy Nivå: Kommungemensamt

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

POLICY INFORMATIONSSÄKERHET

POLICY INFORMATIONSSÄKERHET POLICY INFORMATIONSSÄKERHET Fastställd av Kommunfullmäktige 2016-03-21 56 Bo Jensen Säkerhetsstrateg Policy - Informationssäkerhet Denna policy innehåller Haninge kommuns viljeinriktning och övergripande

Läs mer

Revisionsrapport. IT-revision Solna Stad ecompanion

Revisionsrapport. IT-revision Solna Stad ecompanion Revisionsrapport IT-revision 2013 Solna Stad ecompanion Fredrik Dreimanis November 2013 Innehållsförteckning Inledning... 3 Avgränsning.3 Granskningens omfattning... 4 Sammanfattning... 5 Observationer

Läs mer

Båstads kommun Granskning av IT-säkerhet. Revisionsrapport juni 2015 Genomförd på uppdrag av revisorerna

Båstads kommun Granskning av IT-säkerhet. Revisionsrapport juni 2015 Genomförd på uppdrag av revisorerna Båstads kommun Granskning av IT-säkerhet Revisionsrapport juni 2015 Genomförd på uppdrag av revisorerna Innehåll 1. Sammanfattning... 3 2. Inledning... 5 2.1. Bakgrund... 5 2.2. Syfte och avgränsning...

Läs mer

IT-Policy Vuxenutbildningen

IT-Policy Vuxenutbildningen IT-Policy Vuxenutbildningen För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till kommunkoncernens förhållningssätt och regelverk angående hur du får

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

Informationssäkerhetsinstruktion: Användare

Informationssäkerhetsinstruktion: Användare EXEMPEL 1 Informationssäkerhetsinstruktion: Användare (Infosäk A) Innehållsförteckning 1. INSTRUKTIONENS ROLL I INFORMATIONSSÄKERHETSARBETET...2 2. ANVÄNDARENS ANSVAR...2 3. ÅTKOMST TILL INFORMATION...2

Läs mer

Bengt Sebring OKTOBER 2000 Ordförande GRANSKNINGSRAPPORT 3 Sida: 1

Bengt Sebring OKTOBER 2000 Ordförande GRANSKNINGSRAPPORT 3 Sida: 1 ÅSTORPS KOMMUN GRANSKNING AV IT-SÄKERHET 2000 Bengt Sebring Ordförande GRANSKNINGSRAPPORT 3 Sida: 1 Innehållsförteckning Sammanfattning....... 3 1. Inledning....... 4 1.1 Syfte med revisionen...... 4 1.2

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner - Användare Informationssäkerhetsinstruktion gemensam Mora, Orsa och Älvdalens kommuner Innehållsförteckning 1 Inledning... 1 2 Klassning

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016 www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016 Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4

Läs mer

Fastställd av kommundirektören 2011-06-20. Informationssäkerhet Riktlinje Kontinuitet och drift

Fastställd av kommundirektören 2011-06-20. Informationssäkerhet Riktlinje Kontinuitet och drift Fastställd av kommundirektören 2011-06-20 Informationssäkerhet Riktlinje Kontinuitet och drift Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar för säkerhetsarbetet 4 2.1 IT-Support... 4 3 Hantering

Läs mer

Revision av den interna kontrollen kring uppbördssystemet REX

Revision av den interna kontrollen kring uppbördssystemet REX 1 Revision av den interna kontrollen kring uppbördssystemet REX 1 Inledning Riksrevisionen har som ett led i den årliga revisionen 2012 av Kronofogdemyndigheten (KFM) granskat den interna kontrollen kring

Läs mer

IT-säkerhetsinstruktion

IT-säkerhetsinstruktion IT-säkerhetsinstruktion Innehållsförteckning 1. ANVÄNDARENS ANSVAR...2 2. ÅTKOMST TILL INFORMATION...2 2.1 BEHÖRIGHET...2 2.2 INLOGGNING...2 2.3 VAL AV LÖSENORD...2 2.4 BYTE AV LÖSENORD...2 3. DIN ARBETSPLATS...3

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM FÖRFATTNINGSSAMLING (8.1.3) SÄKERHETSFÖRESKRIFTER Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056 Giltig

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare Lösenord lösenordet ska vara minst 8 tecken långt. lösenordet

Läs mer

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun Datum Dnr Dpl 2009-09-10 2009/KS0203-1 005 Riktlinjer för IT i Lilla Edets kommun 1. Introduktion Det politiskt styrande dokumentet för IT-användning i Lilla Edets kommun är denna riktlinje, som fastställs

Läs mer

Informationssäkerhet - Instruktion för förvaltning

Informationssäkerhet - Instruktion för förvaltning Informationssäkerhet - Instruktion för förvaltning Innehållsförteckning 1. INFORMATIONSSÄKERHET...3 2. ORGANISATION OCH ANSVAR INFORMATIONSSÄKERHET...4 2.1 KOMMUNSTYRELSEN... 4 2.2 NÄMND OCH BOLAG... 4

Läs mer

EXEMPEL. Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD)

EXEMPEL. Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD) EXEMPEL Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD) Innehållsförteckning 1 Instruktionens roll i informationssäkerhetsarbetet 4 2 Organisation och ansvar för säkerhetsarbetet 5

Läs mer

EBITS 2003-10-14 Energibranschens IT-säkerhetsforum

EBITS 2003-10-14 Energibranschens IT-säkerhetsforum EBITS 2003-10-14 Energibranschens IT-säkerhetsforum Bruksanvisning till malldokument för REGLER OCH RIKTLINJER FÖR INFORMATIONSSÄKERHET Version 0.1 1. Dokumentet skall anpassas specifikt för företaget.

Läs mer

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad:

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: I N T E R N T Säkerhetskrav på extern part För enskild individs direktåtkomst till Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: Dokumentnamn: Säkerhetskrav på extern part

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

ANVÄNDARHANDBOK. Advance Online

ANVÄNDARHANDBOK. Advance Online ANVÄNDARHANDBOK Advance Online INNEHÅLL Innehåll... 2 Välkommen!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt... 4 Citrix-klienten... 4 Inloggning...

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet samt transmission -C 2 (7) Innehåll 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 6 3 (7) 1 Allmänt Borderlight har styrdokument

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

IT-riktlinjer Nationell information

IT-riktlinjer Nationell information IT-riktlinjer Nationell information Syftet med denna It-riktlinje: den ska vägleda i användningen av Studiefrämjandets gemensamma datornätverk och dess it-resurser, vilket även innefattar den egna datorarbetsplatsen.

Läs mer

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM Version 2002-11-20 INNEHÅLLSFÖRTECKNING BAKGRUND...3 INLOGGNING...3 HANTERING AV INFORMATION...4 INTERNET...5 E-POST...6 INCIDENTER...6 BÄRBAR PC...6 ARBETSPLATSEN...7

Läs mer

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Kommunalförbundet ITSAM Revision: 20130307 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Uppföljningsrapport IT-revision 2013

Uppföljningsrapport IT-revision 2013 Revisionsrapport Uppföljningsrapport IT-revision 2013 Solna Stad Raindance Fredrik Dreimanis November 2013 1 av 10 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning... 5

Läs mer

Tekniskt driftdokumentation & krishantering v.1.0

Tekniskt driftdokumentation & krishantering v.1.0 Tekniskt driftdokumentation & krishantering v.1.0 Denna driftdokumentation avser driftmiljön hos Camero AB:s webbhotell, både delade och dedikerade lösningar. Teknisk dokumentation Cameros webbhotell har

Läs mer

Riktlinje för mobil användning av IT - remissvar

Riktlinje för mobil användning av IT - remissvar SOCIAL- OCH ÄLDREOMSORGSFÖRVALTNINGEN TJÄNSTEUTLÅTANDE 2014-02-12 SN-2013/4961.156 KS-2013/1036.156 1 (3) HANDLÄGGARE Christina Ring 08-535 378 15 christina.ring@huddinge.se Socialnämnden Riktlinje för

Läs mer

Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet

Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet Utbildningsnämnden Ordförandeförslag Diarienummer Göran Nilsson (M) 2014-02-08 UN-2013/279 Utbildningsnämnden Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet UN-2013/279 Förslag

Läs mer

Drift. IT säkerhetsinstruktion: Upprättad av: Johan Israelsson

Drift. IT säkerhetsinstruktion: Upprättad av: Johan Israelsson IT säkerhetsinstruktion: Drift Upprättad av: Johan Israelsson Godkänd av: Lennart Käll Godkänd av: Daniel Hellstrand Godkänd av: Henrik Jakobsson Datum: 2006-04-12 Datum: 2006-04-12 Datum: 2006-04-12 Datum:

Läs mer

Svar på revisionsrapport Behörighetsgranskning Cosmic och Aplus, samt Granskning avseende IT- och informationssäkerhet

Svar på revisionsrapport Behörighetsgranskning Cosmic och Aplus, samt Granskning avseende IT- och informationssäkerhet Missiv beslutsunderlag Diarienr: 14LTK1283 Handläggare: n Cserpes, Kansliavdelningen Datum: 2015-03-02 Regionstyrelsen Svar på revisionsrapport Behörighetsgranskning Cosmic och Aplus, samt Granskning avseende

Läs mer

Granskning av IT-säkerheten inom Lunds kommun

Granskning av IT-säkerheten inom Lunds kommun Revisionsrapport 2015 Genomförd på uppdrag av revisorerna Juni 2015 Granskning av IT-säkerheten inom Lunds kommun Innehållsförteckning 1 Sammanfattning... 4 1.1 Bakgrund...4 1.2 Övergripande slutsatser...4

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (5) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av IT-stöd för barn- och elevregister inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress Hantverkargatan 2

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

Svar på revisionsskrivelse informationssäkerhet

Svar på revisionsskrivelse informationssäkerhet TJÄNSTEUTLÅTANDE Personalavdelningen Dnr KS/2014:280-007 2015-03-03 1/3 KS 10:1 Handläggare Annica Strandberg Tel. 0152-291 63 Kommunrevisionen Svar på revisionsskrivelse informationssäkerhet Förslag till

Läs mer

Riktlinjer. Informationssäkerhet och systemförvaltning

Riktlinjer. Informationssäkerhet och systemförvaltning Riktlinjer Informationssäkerhet och systemförvaltning LULEÅ KOMMUN RIKTLINJER Dnr 1 (5) 2012-11-29 Riktlinjer för roller och ansvar inom informationssäkerhet och systemförvaltning En god systemförvaltning

Läs mer

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009 Om trådlösa nät 2 Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009 Om trådlösa nät Trådlösa nät för uppkoppling mot Internet är vanliga både

Läs mer

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER... 2000-08-11 Sida 1 1 BAKGRUND... 2 2 INLOGGNING... 2 3 HANTERING AV INFORMATION... 3 4 INTERNET... 4 5 E-POST... 5 6 INCIDENTER... 5 7 BÄRBAR PC... 5 8 ARBETSPLATSEN... 6 2000-08-11 Sida 2 1 BAKGRUND Information

Läs mer