Söderhamns kommun. Granskning av IT-säkerhet. Revisionsrapport. KPMG Bohlins AB 11 oktober 2006 Antal sidor: 9

Storlek: px
Starta visningen från sidan:

Download "Söderhamns kommun. Granskning av IT-säkerhet. Revisionsrapport. KPMG Bohlins AB 11 oktober 2006 Antal sidor: 9"

Transkript

1 KPMG Bohlins AB 11 oktober 2006 Antal sidor: KPMG Bohlins AB, the Swedish member firm of KPMG International, a Swiss cooperative. All rights reserved.

2 Innehåll 1. Sammanfattning 1 2. Bakgrund Allmänt Risk och väsentlighet Förtydligande av begreppet IT Förutsättningar 3 3. Syfte och avgränsning Syfte Avgränsning 4 4. Metod 4 5. Resultatet av granskningen Vad är IT-strategens roll och vad är omfattningen på dennes ITsansvar 2006? Finns det numera en av kommunfullmäktige fastställd IT-spolicy för kommunen? På respektive ansvarsnivå, vilka åtgärder har man planerat att utföra och vad har genomförts det senaste året med anledning av srapporten? Hur styr, utreder, inför, upprätthåller och kontrollerar förvaltningscheferna IT-en i sin verksamhet? I eventuell brist på IT-sinstruktioner från kommunens systemägare vilka IT-shänsyn tar Söderhamn Teknikpark AB vid drift av kommunens system och infrastruktur? 8

3 1. Sammanfattning Det finns delvis en medvetenhet i kommunen om vad IT- är och vad det innebär för verksamhetens bedrivande. Vem som innehar ansvaret framgår av ett beslut med sitt ursprung från början av 2000-talet. Det är förvaltningscheferna som har ansvaret enligt IT-strategin. Vår granskning visar att kunskapen om var ansvaret ligger är oklar, framför allt hos medarbetare med lokalt IT-ansvar. De flesta tror att det är IT-strategen vilken inte har något formellt ansvar. Det finns en formellt antagen policy för IT-en. En av flera till policyn hörande riktlinjer och planer, konkretiserande dokument, finns ute på en remissrunda hos kommunens förvaltningar. Övriga dokument saknas i dagsläget men några är under framtagande. Det är oklart när de kommer att vara klara och beslutade. Vi bedömer att kännedomen om dokumenten som styr ITen är svag inom kommunorganisationen. Kommunfullmäktige kan sägas ha varit aktivt i IT-sarbete i så motto att en ITspolicy har beslutats. IT-strategen har inget formellt ansvar för IT-en men har tagit fram förslaget till IT-spolicyn och arbetar med att ta fram därtill hörande riktlinjer. Vi bedömer med ledning av intervjusvaren att förvaltningschefsnivån inte aktivt agerat för ITen vare sig enskilt eller som del av ledningsgruppen för kommunen. Det finns formellt sett inte längre ett IT-råd till vilket det bl.a. hänvisas i IT-spolicyn. IT-ansvariga utför en viss form av IT-sarbete och vi anser att det till största delen har sitt ursprung i egna initiativ. IT-sarbetet bedrivs inte efter några dokumenterade planer, resurstilldelningen (personal och tid) är oklar. Arbetet vilar inte heller på någon form av dokumenterad riskanalys vilket kan vara orsaken till att kontroller av efterlevnad görs i ringa eller ingen omfattning. Det finns ingen systemsplan (enligt IT-spolicyn) för något av kommunens högst väsentliga verksamhetssystem. Söderhamn Teknikpark (STP) utför inte enligt den överenskommelse om IT-drift mm som de har med kommunen någon som helst kontroll av IT-en. Tjänsteutbudet innehåller inte sådana tjänster alternativt ingen tilläggsbeställning och specificering av sådana har gjorts av kommunen som köpare. Vi uppfattar det som att STP följer IT-policyn generellt som professionella utövare av sitt uppdrag däremot torde de lida av brist på riktlinjer (konkretisering av policyn) enär dessa ännu inte är framställda och beslutade. Det föreligger omfattande brister i de rutiner som skall säkerställa en god IT- i kommunen Ansvariga bör snarast sätta in åtgärder för att först och främst säkerställa en ändamålsenlig nivå på IT-en för sin IT-plattform och sina verksamhetskritiska system. Ansvaret är tydligt definierat nu återstår att skyndsamt planera, prioritera och lyfta arbetet till den nivå som krävs för att inte verksamhetsstörningar skall bli kostsamma. 1

4 2. Bakgrund 2.1 Allmänt KPMG har av s revisorer erhållit i uppdrag att granska kommunens rutiner för hur den styr, utreder, inför, upprätthåller och kontrollerar IT-en i sin verksamhet. 2.2 Risk och väsentlighet Revisionen bedömer att det finns risk för att det föreligger brister i de rutiner som skall säkerställa en god IT- och att det därför är väsentligt att klarlägga på vilket sätt och i vilken form kommunfullmäktige, -styrelse och -ledning samt operativt ansvariga styr IT-sarbetet. Det är även väsentligt att veta vilka riskbedömningar IT-sarbetet vilar på, hur regler, anvisningar etc. rörande sarbetet implementeras, kommuniceras, underhålls samt hur efterlevnaden av beslutad IT- kontrolleras. 2.3 Förtydligande av begreppet IT- För att klarlägga vad som menas med IT- lämnas nedan en kortare förklaring med tillhörande illustration. Vi vill därmed tydliggöra begreppet så att avgränsningen av och syftet med granskningen skall bli så klar som möjligt. Person Fysisk Säkerhet Informations Administrativ Administrativ IT- ADB Kommunikations Fysisk Logisk Fysisk Logisk Informations är en vid hantering av information för önskad tillgänglighet, riktighet, sekretess och spårbarhet, den delas upp i administrativ och IT-. Administrativ uppnås huvudsakligen med hjälp av administrativa regler och rutiner. IT innebär i IT-systemen och delas upp i ADB- (eller ännu hellre uttryckt data), innebärande skydd av data och system mot obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling och kommunikations. Det senare innebär i samband med överföring av information och styrsignaler. Syftet med den är att 2

5 förhindra att information inte kommer obehöriga till del, att informationen inte förvanskas eller inte når mottagaren men också att felaktig information inte introduceras i kommunikation och system. Med fysisk i samband med data- och kommunikations menas skyddet av själva utrustningen och kommunikationsvägarna. Med logisk menas skyddet av innehållet i systemen. 2.4 Förutsättningar I KPMG: s revisionsrapport Granskning av kommunens sarbete framgår det att inom IT-sområdet finns: Väsentliga brister i styrning, organisation och ansvar, dokumentering av teknisk infrastruktur och enskilda IT-system. Flera krav i IT-spolicyn som inte är åtgärdade. Upprättade sinstruktioner som vare sig är kompletta eller anpassade till moderna krav. Otydligheter i ansvarsfördelningen mellan kommun och Söderhamn Teknikpark AB/IT Hälsingland. 3. Syfte och avgränsning 3.1 Syfte Det har gått över ett år sedan rapporten om sarbetet i kommunen presenterades och vår granskning har haft som syfte att ge svar med kommentarer på följande frågor: Vad är IT-strategens roll och vad är omfattningen på dennes IT-sansvar 2006? Finns det numera en av kommunfullmäktige fastställd IT-spolicy för kommunen? Har policyn även fått genomslag i de kommunala bolagen? Om inte, vad är orsak till detta? På respektive ansvarsnivå, vilka åtgärder har man planerat att utföra och vad har genomförts det senaste året med anledning av srapporten? Oavsett förändringar det senaste året, hur styr, utreder, inför, upprätthåller och kontrollerar förvaltningscheferna, med ansvar för de, för kommunen, väsentligaste datorstödda verksamhetsstöden, IT-en i sin verksamhet? I eventuell brist på IT-sinstruktioner från kommunens systemägare vilken ITshänsyn tar Söderhamn Teknikpark AB/IT Hälsingland vid drift av kommunens system och infrastruktur? 3

6 3.2 Avgränsning Granskningen skall omfatta kommunen samt i tillämpliga delar Söderhamn Teknikpark AB/IT Hälsingland. 4. Metod Som metoder har dokumentstudier och intervjuer att använts. Granskningen från KPMG har utförts av Lars Anteskog. Magnus Larsson har deltagit i granskningen genom sin roll som KPMG: s kundansvarig för biträdet till kommunrevisorerna. en har saklighetskontrollerats av kommunens IT-strateg 5. Resultatet av granskningen Nedan följer noteringar och kommentarer från granskningen uppdelat på de punkter som redovisas under syfte ovan. Granskningen baseras sig på tillhandahållen dokumentation samt intervjuer av IT-strateg, driftansvarig på Söderhamn Teknikpark (hädanefter STP), IT-ansvariga/systemadministratörer för Procapita-systemet (Barn- och utbildningsförvaltningen samt Socialförvaltningen för respektive del) och PA-systemet IFS. Förvaltningschefen för Socialförvaltning har även intervjuats. 5.1 Vad är IT-strategens roll och vad är omfattningen på dennes ITsansvar 2006? Rollen som IT-strateg har funnits i kommunen sedan november Det finns idag fortfarande ingen dokumenterad och formellt beslutad omfattning av tjänsten. I platsannonsen under rekryteringsskedet beskrevs tjänsten så att IT-strategen skulle leda, samordna och driva kommunens strategiska IT-utveckling vilket också skulle innebära ett antal operativa ansvar. Med kommunen skulle förstås hela koncernen. Som stöd skulle IT-strategen ha ett särskilt IT-råd. Säkerhet i allmänhet eller IT- i synnerhet nämns inte annonsen. I IT-strategens egen beskrivning av de uppgifter och ansvar han anser sig uppbära för dagen förekommer ansvar för kommunövergripande IT-sfrågor I den eget definierade målsättningen med tjänsten nämns bl a att ta fram IT-spolicy samt att följa upp och revidera IT-strategi. Det är i dokumentet IT-startegi för daterad januari 2000 (Dnr KS/1999/0268) som det står att läsa vem som ansvarar för IT-en i kommunen/kommunkoncernen. Det framgår tydligt att ansvaret för IT generellt ligger i linjen. IT-rådets sammansättning och uppgifter framgår även den av strategin, inget nämns dock om i allmänhet eller IT- i synnerhet. IT-ansvarigs roll beskrivs i strategin men återigen inget om IT-. På sjunde och sista sidan av dokumentet under rubriken Säkerhet och sårbarhet sägs Överstyrelsen för civil beredskap ÖCB föreskrifter FA22 utgör underlag för kommunen. Säkerhet och sårbarhet omfattar: Behörighet, datakommunikation, drift, avbrottsplanering 4

7 och driftgodkännande. Detaljerade riktlinjer upprättas och antas av IT-rådet. Detta är allt som sägs. Vad som framgår av intervjuerna så existerar inte IT-rådet längre och det sedan länge. Den enda dokumentation som kommer från IT-rådet som vi finner i vår dokumentinventering är en odaterad broschyr benämnd Riktlinjer för IT-användning. Som framgår nedan så är IT-strategin inte det dokument som är känt av de intervjuade, förutom IT-strategen, för att ange och definiera ansvaret för IT-en i kommunen. Kommentar Det är uppenbart så att från IT-strategins antagande till dags dato så har IT-en tappats bort. Det må vara så att IT-strategin fortfarande gäller men när det kommer till den IT-srelaterade textmassan får den anses otydlig, ofullständig och till myndighets- och föreskriftshänvisning felaktig. Operativt ansvariga för IT-en är idag förvaltningscheferna utan formellt stöd från IT-strategen eller en sammanslutning jämförbar med det avvecklade IT-rådet. IT-strategen har på eget initiativ tagit på sig uppgiften att sammanställa och få en fastställd ITspolicy. Sakta men säkert publiceras nu också de riktlinjer som medarbetare i kommun skall leva efter. En av tre riktlinjer finns som utkast på remissrunda. Några systemsplaner är ännu inte framtagna. Om kommunledningen anser att IT-strategen till någon del skall ansvara för IT-en så skall det tydligt definieras, dokumenteras i beslut och kommuniceras. Är det så att dessa beslut påverkar vad som framgår av nu gällande dokument så skall de i erforderlig omfattning revideras och det nya innehållet formellt beslutas och tydligt meddelas de som nu har hela ansvaret och eventuellt andra som kommer att få det. Med andra ord, IT-strategen har idag inget formellt uppdrag, eller ansvar, för IT-en. Ett självpåtaget ansvar kan iakttas och det arbetet som lagts ned får anses som ändamålsmässigt om än inte på långa vägar fullständigt. Arbetet uppfattas ha utförts med knappa resurser och med ett intresse från formellt ansvariga som inte står proportion till ämnets betydelse för verksamhetens bedrivande. 5.2 Finns det numera en av kommunfullmäktige fastställd ITspolicy för kommunen? Ja det finns numera en av kommunfullmäktige fastställd IT-spolicy. Policyn togs i kommunfullmäktige (Dnr KS/2003/0382). Policyn är till skillnad från IT-strategins del om IT- modern och i all väsentlighet ändamålsenlig. Vi noterar att verksamhetsansvariga fortfarande är operativt ansvariga för IT-en. Som nämnts ovan om ITstrategens ansvar för IT- så noterar vi att IT-strategen enligt policyn inte har någon roll i eller ansvar för IT-sarbetet. Som också nämnts ovan så saknas fortfarande två av tre riktlinjer, IT-sinstruktion för förvaltning och den för drift. Vi har heller inte i vår granskning sett några bevis för att det bedrivs något formellt ordnat arbete i enlighet med policyn. Här tänker vi närmast på att IT-sarbete skall bedrivas så att det blir en del av 5

8 kommunens normala verksamhet. Årliga mål för arbetet skall därför beslutas och framgå av kommunens verksamhetsplanering. De årliga målen som beslutats skall förtydligas av ITberedningsgruppen vars existens och sammansättning är okänd för de intervjuade, förutom ITstrategen. Det är möjligen effekten av att IT-spolicyn med ledning av intervjusvaren inte kan anses vara väl känd i kommunen. Kommentar Det är positivt att se att IT-sarbetet utan formell styrning ändå tar sig framåt. Det är negativt att kunna konstatera att kunskapen om att den policy som styr är så illa bekant och därmed inte efterlevs. Kommunledningen måste bringas att förstå att utan en formalisering och ett tydliggörande av ITsarbetet är det bara en tidsfråga innan en incident inträffar vars direkta och/eller indirekta konsekvenser kan medföra kostsam skada för kommunen och/eller för dess medborgare. ITsarbete är inte enbart en uppgift för enskilda medarbetare att utföras på allt för begränsad tid, renons på kollegor och utan tydlig styrning och därtill hörande utbildning. Utan väl fungerande datoriserade verksamhetsstöd fungerar inte kommunen effektivt och ändamålsenligt, vi finner det därför svårt att förstå hur ansvariga kan motivera att verksamheten skall bedrivas under bristande sarrangemang. Det pågår vad vi förstår ett arbete inom kommun för att stärka den interna kontrollen samt även ett s.k. kompetensutvecklingsprojekt. Vi finner det vara en naturlig åtgärd att i dessa kommunövergripande åtgärder aktivt och tydligt inkorporera IT-sarbete. De allra flesta verksamhetskritiska processer i en kommun involverar ett datoriserat verksamhetsstöd vilket torde göra det naturligt att även ta hänsyn till IT-risker när kontrollbehov identifieras och kontroller utformas. För att säkerställa att kontrollerna förstås och utförs ändamålsenligt ställer det rimligtvis krav på inte enbart ren verksamhetskännedom hos individen utan också på en utökad förståelse för hur IT påverkar processerna samt vilka riskerna är och hur de åtgärdas eller hanteras med kompletterande och/eller kompenserande kontroller. 5.3 På respektive ansvarsnivå, vilka åtgärder har man planerat att utföra och vad har genomförts det senaste året med anledning av srapporten? Vi har förvisso endast intervjuat en förvaltningschef, men det i kombination med information från IT-strategen ger vid handen att det på kommunledningsnivå i närtid inte tagits några initiativ. Initiativ på förvaltningschefsnivån lyser med sin frånvaro. Vi kan skönja en viss aktivitet bland första linjens chefer och bland dem som är IT-ansvariga. Att den senare aktiviteten skulle ha sitt ursprung från vad som uppmärksammats i srapporten finner vi inga bevis på. Vi ser det snarare som en effekt av att professionella medarbetare som baserat på handgriplig kunskap och riskmedvetenhet efter bästa förmåga och tillgängliga resurser infört metoder och procedurer för att lokalt säkerställa IT-en. 6

9 Kommentar Kommunen har tillgång till intresserade medarbetare som tar IT-en inom sitt ansvarsområde på allvar. Det blir inte alltid ett fullständigt arbete grundat på en fullständig förståelse till det saknas ofta någon som helst utbildning, både grundläggande och vidareutvecklande. I detta sammanhang är det tråkigt att konstatera kännedomen om de styrande dokumenten för IT är svag och att engagemanget och styrning från ansvariga inte syns vare sig dokumenterat eller uppföljt i utfört arbete. Konsekvensen av detta blir att IT-sarbetet utförs utan en adekvat riskanalys. En intresserad och grundläggande kunnig personal som är ändamålsenligt styrd, utbildad och kontrollerad har alla de möjligheter att effektivt bidra till att IT-relaterade incidenter kan undvikas eller att negativa effekter av uppkomna fel minimeras. 5.4 Hur styr, utreder, inför, upprätthåller och kontrollerar förvaltningscheferna IT-en i sin verksamhet? Av det som framkommer vid granskningen så indikerar det att förvaltningscheferna inte aktivt, riktat och planlagt utför något IT-sarbete. Det är som redan nämnts ovan, initiativ tagna på strategnivå i kombination med IT-ansvariga, som styr det arbete som planeras och utförs. Någon ordnad och systematiserad kontroll av att IT-sföreskrifter efterlevs utförs inte. Ett konkret bevis på detta är att inga systemsplaner upprättats och man har inte tagit till vara det allmänna och kostnadsfria material som finns att tillgå hos Krisberedskapsmyndigheten. Det finns på myndigheten gott om nyttig och arbetsbesparande, dessutom i många fall kostnadsfri, information ända ner på mallnivå. Något som kan liknas vid ett underlag eller embryo till en generell kommunövergripande systemsplan har under utbildningsformer tagits fram av kommuns förvaltningar och STP. Underlaget benämns från förvaltningarna Tjänstebeskrivning och hos STP Tjänstekatalogen. Tjänstebeskrivningen var inte känd av alla intervjuade trots att den är förutsättningen för IT-drift och supporttjänster för kommunen och är specifikationen av de tjänster som köps av STP. Tjänstebeskrivningen omfattar inte alla i kommunen i drift tagna system. Förvaltningarna köper ur sperspektivet en standardiserad tjänst utan anpassning till enskilt system och verksamhetens behov. Beskrivningen av tjänsterna är allmänt hållen och ospecificerad när det gäller IT-. Vi kan i Tjänstebeskrivning inte notera några hänvisningar till de dokument som styr IT-en. Det som nämns om saknar förtydligande om hur, när och varför kontroller utförs och dokumenteras och på vilket sätt och omfattning resultatet av dessa rapporteras till köparen av tjänsten. Det är uppenbart så att IT-en inte har beaktats när dokumentet upprättats. Intervjuerna visar också att förvaltningarna inte på något sätt kontrollerar om något av det srelaterade utförs. Det framkommer vid granskningen att IT-ansvariga upptäckt att information som man förutsatt blev skopierad inte blev det. Det är utanför avgränsningen för denna granskning men vi kan konstatera att köpet av STP: s tjänster inte på något sätt formaliserats. Ur IT-sperspektivet innebär det att kommunen köper tjänster som inte följer några IT-sföreskrifter. Detta innebär risk för att förvaltningarna, fortfarande ur IT-sperspektivet, köper tjänster som per egen brist på kunskap 7

10 och initiativ är undermåliga. Det kan även vara så att man köper tjänster som är dyrare än de behöver vara i förhållande systemets betydelse. Kommentar Förvaltningar bör gemensamt skapa resurser för att snarast färdigställa, kommunicera och utbilda ansvariga och medarbetare i användandet av beslutade styrande dokument för IT-en. Tydliggör ansvarsrollerna på förvaltningarna samt IT-strategens roll och ansvar i IT-sarbetet. Budgetera och planera arbetet på ett sätt som erbjuder möjlighet att följa hur arbetet utvecklar sig. Som köpare av tjänster från STP bör förvaltningarna specificera och formalisera beställningen på ett sådant sätt att det lämnar möjlighet att kontrollera att det som köps även utförs. Köp tjänster och stöd av STP om kunskapsbrist finns för att göra riskanalyser och välja kontrollåtgärder. Det slutgiltiga beslutet om tjänsteinnehållet måste dock alltid vara förvaltningens. För att exemplifiera vad som nämnts ovan beakta följande: Hur säkerställer socialtjänsten och andra förvaltningar som hanterar integritetskänslig information att skopior av sådan information förvaras och hanteras på sådant sätt att externa (lagar, regler, rekommendationer etc.) och interna föreskrifter efterlevs? Har berörda förvaltningar specificerat sina krav till STP? Om kraven inte specificerats vilka kontroller utför man för att säkerställa att STP: s hanteringen ändå över tid är att betrakta som ändamålsenlig? Om den anses ändamålsenlig vem har då tagit det beslutet och hur har det dokumenterats? För att konkretisera det ytterligare: Magnetmedia som används för skopiering är förbrukningsmaterial. Vilka krav har förvaltningarna som hanterar integritetskänslig information ställt på STP när det gäller hur utrangerad magnetmedia skall hanteras? Får den återvinnas eller skall den destrueras? Säkerhetskopierad information övergår inte sällan till att vara arkiverad information. Vilka krav ställs på att skopior och arkivkopior skall vara läsbara under den tid de behöver existera? 5.5 I eventuell brist på IT-sinstruktioner från kommunens systemägare vilka IT-shänsyn tar Söderhamn Teknikpark AB vid drift av kommunens system och infrastruktur? Av intervju framgår att STP inte besöks av personal från någon förvaltning med uppdraget att säkerställa att köpta tjänster ur IT-sperspektivet utförs ändamålsenligt. STP utför inga särskilda IT-skontroller med mindre än att de är specificerade och beställda av kunden (förvaltningen). Enligt STP: s Tjänstekatalog så finns det inga definierade IT-srelaterade tjänster att köpa. Så som vi tolkar vad som sägs i Tjänstekatalogen så är det möjligt att för en förvaltning att enskilt köpa tjänster av STP. STP erbjuder så kallade Servicenivåkontrakt (SNK) att tecknas med ansvarig beställare hos kunden. Så som vi uppfattar det har STP idag endast ett SNK med och det är baserat på Tjänstebeskrivningen och gäller för kommunens ITplattform, för all personal och skolans elever samt sju namngivna verksamhetssystem. Med andra ord uppfattar vi att STP inte har något ansvar för IT-en annat än att de rimligtvis följer kommuns IT-spolicy. Konkretiseringen av IT-spolicyn, IT-sinstruktionerna för drift respektive förvaltning, som skall ge STP vägledning i deras verksamhet fanns vid granskningstillfället inte upprättade och driftsatta. Vi uppfattar det som att STP är väl medvetna 8

11 om innebörden och betydelsen av IT-. Vi bedömer med ledning av intervjun att STP, om krav/önskemål framställs, kan tillgodose de IT-skrav som beställs av kommunen/förvaltningen/systemägaren. Kommentar Det är olyckligt att kunna konstatera att IT-en inte finns med på ett konkret och tydligt sätt när beställaren överenskommer med leverantören om leverans av IT-drift. Detta innebär rimligtvis att medarbetare på STP inte utnyttjas aktivt i IT-sarbetet annat än att de efter eget skön och baserat på professionell kunskap påtalar brister när de upptäcks. Vi ser ingen anledning till att inte använda STP: s kunnande i kommunen när det gäller att informera, bygg upp samt kontrollera att en ändamålsenlig och formellt beställd IT- efterlevs. Överväg, för relationen mellan kommunen centralt och STP, att som första steg påskynda framtagande och godkännande av återstående IT-sinstruktioner. Att de är på plats är väsentligt när systemsplanerna för i första hand de verksamhetskritiska systemen i kommunen finns framme som underlag till IT-såtgärder. Falun dag som ovan KPMG Bohlins AB Magnus Larsson Kundansvarig Lars Anteskog Projektansvarig 9

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll Revisionsrapport KPMG AB Antal sidor: 9 Innehåll 1. Sammanfattning och kommentarer/rekommendationer 1 2. Uppdrag 2

Läs mer

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete s revisorer Kommunstyrelsen För kännedom: Kommunfullmäktiges presidium Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete Revisionen har via KPMG genomfört en granskning

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

IT-strategi-Danderyds kommun 2010-2014

IT-strategi-Danderyds kommun 2010-2014 IT-strategi-Danderyds kommun 2010-2014 Beslutsinstans: Kommunfullmäktige Beslutsdatum: 2010-09-27 Giltighetstid: 2010-09-27 t o m 2014-12-31 Ansvarig nämnd: Kommunstyrelsen Diarienummer: KS 2010/0095 IT-strategi

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium Revisorerna 1 (1) Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden För kännedom: Kommunfullmäktiges presidium Revisionsrapport: Revisorerna har uppdragit till

Läs mer

Reglemente för internkontroll

Reglemente för internkontroll Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll

Läs mer

ATTESTREGLEMENTE FÖR SJÖBO KOMMUN

ATTESTREGLEMENTE FÖR SJÖBO KOMMUN 1(5) ATTESTREGLEMENTE FÖR SJÖBO KOMMUN 1 Omfattning För att upprätthålla en god intern kontroll krävs bl.a. ändamålsenliga regelverk och rutiner för kontroll av verifikationer. Kontroller i enlighet med

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

Riktlinjer för internkontroll i Kalix kommun

Riktlinjer för internkontroll i Kalix kommun Riktlinjer för internkontroll i Kalix kommun Antaget av kommunfullmäktige 2012-11-26--27, 182 Innehållsförteckning Riktlinjer för internkontroll i Kalix kommun...1 Inledning...1 Internkontroll...1 Organisation

Läs mer

Granskning av Intern kontroll

Granskning av Intern kontroll www.pwc.se Revisionsrapport Lars Wigström Cert. kommunal revisor Granskning av Intern kontroll Vingåkers kommun Innehållsförteckning 1. Sammanfattande bedömning och rekommendationer... 1 2. Inledning...3

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet.

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet. 2012-08-27 Sidan 1 av 6 IT-säkerhetspolicy Dokumentnamn Dokumenttyp Fastställd/upprättad Diarie nummer Fastställd av IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige Dokumentansvarig/ processägare

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

RIKTLINJER FÖR IT-SÄKERHET

RIKTLINJER FÖR IT-SÄKERHET FÖRFATTNINGSSAMLING (8.1.3) RIKTLINJER FÖR IT-SÄKERHET Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN Syfte med reglementet 1 Syfte Detta reglemente syftar till att säkerställa att kommunstyrelsen, nämnder och bolagsstyrelser upprätthåller en tillfredsställande

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Arvika kommun. Styrning, ledning och organisation inom IT i kommunen samt dess aktiebolag. Revisionsrapport

Arvika kommun. Styrning, ledning och organisation inom IT i kommunen samt dess aktiebolag. Revisionsrapport ABCD Arvika kommun Styrning, ledning och organisation inom IT i kommunen samt dess aktiebolag Revisionsrapport KPMG AB Karlstad Offentlig sektor 2012-06-26 Antal sidor: 14 2012 KPMG AB, a Swedish limited

Läs mer

Riktlinjer för intern kontroll i Örebro kommun

Riktlinjer för intern kontroll i Örebro kommun PROGRAM POLICY STRATEGI HANDLINGSPLAN RIKTLINJER Riktlinjer för intern kontroll i Örebro kommun Örebro kommun 2014-09-12 KS114/2012 orebro.se 2 RIKLTLINJER FÖR INTERN KONTROLL I ÖREBRO KOMMUN PROGRAM Uttrycker

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Ovanåkers kommun. Uppföljning av genomförda granskningar. Revisionsrapport. KPMG AB 8 februari 2011 Antal sidor: 7

Ovanåkers kommun. Uppföljning av genomförda granskningar. Revisionsrapport. KPMG AB 8 februari 2011 Antal sidor: 7 Uppföljning av genomförda granskningar KPMG AB 8 februari 2011 Antal sidor: 7 Innehåll 1. Sammanfattning 1 1.1 Bedömning 1 1.1.1 Bisysslor 1 1.1.2 Driftkostnader och investeringar 1 1.1.3 Moms 1 2. Uppdrag

Läs mer

Reglemente för intern kontroll

Reglemente för intern kontroll Reglemente för intern kontroll Strategi Plan/program Riktlinje Regler och instruktioner Fastställt av: Kommunfullmäktige Datum: 2014-06-17 För revidering av reglementet ansvarar: Kommunfullmäktige För

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Avesta kommun. Bisysslor Uppföljning av revisionsgranskning

Avesta kommun. Bisysslor Uppföljning av revisionsgranskning Uppföljning av revisionsgranskning Offentlig sektor KPMG AB Antal sidor: 6 Antal bilagor: X Innehåll 1. Sammanfattning 1 2. Bakgrund 1 3. Syfte 1 4. Avgränsning 2 5. Ansvarig styrelse 2 6. Metod 2 7. Projektorganisation

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Kramfors kommun. BAS-förvaltningens hyresavtal Revisionsrapport. Offentlig sektor - kommuner och landsting KPMG AB 13 november 2013 Antal sidor: 9

Kramfors kommun. BAS-förvaltningens hyresavtal Revisionsrapport. Offentlig sektor - kommuner och landsting KPMG AB 13 november 2013 Antal sidor: 9 ABCD Kramfors kommun BAS-förvaltningens hyresavtal Revisionsrapport Offentlig sektor - kommuner och landsting KPMG AB 13 november 2013 Antal sidor: 9 Rapport BAS-förvaltningens hyresavtal 20131113.docx

Läs mer

SÖDERTÄLJE KOMMUNALA FÖRFATTNINGSSAMLING

SÖDERTÄLJE KOMMUNALA FÖRFATTNINGSSAMLING SÖDERTÄLJE KOMMUNALA FÖRFATTNINGSSAMLING Utgåva februari 2006 6:1 REGLEMENTE FÖR INTERN KONTROLL Inledning 1 Syftet Detta reglemente syftar till att säkerställa att såväl den politiska som den professionella

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Riktlinje för Riskanalys och Intern kontroll

Riktlinje för Riskanalys och Intern kontroll Diarienummer: 2015/560-KS-004 Riktlinje för Riskanalys och Intern kontroll Beslutad av kommunstyrelsen 2015 XX - XX program policy handlingsplan riktlinje 1 Riktlinje för Riskanalys och Intern kontroll

Läs mer

För ytterligare information angående granskningen hänvisas till rapporten.

För ytterligare information angående granskningen hänvisas till rapporten. MARIESTAD KOMMUN 2011-12-13 Revisorerna Till Kommunstyrelsen Barn- och utbildningsnämnden Socialnämnden Miljö- och byggnadsnämnden Teknisk nämnd Kulturnämnd För kännedom Kommunfullmäktige Kommunrevisorerna

Läs mer

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Beslut: Rektor 2012-01-16 Revidering: - Dnr: DUC 2012/63/10 Gäller fr o m: 2012-01-16 Ersätter: - Relaterade dokument: - Ansvarig

Läs mer

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning Uppföljning av revisionsgranskning Offentlig sektor KPMG AB 2012-10-02 Antal sidor: 6 Antal bilagor: X Innehåll 1. Sammanfattning 1 2. Bakgrund 1 3. Syfte 2 4. Avgränsning 2 5. Ansvarig styrelse 2 6. Metod

Läs mer

Reglemente för intern kontroll. Krokoms kommun

Reglemente för intern kontroll. Krokoms kommun Reglemente för intern kontroll Krokoms kommun Fastställd av: Kommunfullmäktige, dnr Ks 14/344. Datum: 9 dec -14 Författare: Sara Anselmby Innehåll 1 Syfte... 7 2 Organisation av intern kontroll... 8

Läs mer

REGLEMENTE INTERN KONTROLL

REGLEMENTE INTERN KONTROLL REGLEMENTE INTERN KONTROLL Dokumentbeskrivningar Policy En policy ska ange viljeinriktningen för ett specifikt område. Den ska vara vägledande för beslut och styrning. En policy som är av principiell beskaffenhet

Läs mer

Söderhamns kommun. Granskning av förutsättningarna för ledarskap i kommunens verksamheter. Revisionsrapport. KPMG 9 mars 2005 Antal sidor 10

Söderhamns kommun. Granskning av förutsättningarna för ledarskap i kommunens verksamheter. Revisionsrapport. KPMG 9 mars 2005 Antal sidor 10 Granskning av förutsättningarna för ledarskap i KPMG 9 mars 2005 Antal sidor 10 Innehåll 1. Sammanfattning 1 2. Inledning 3 2.1 Bakgrund 3 2.2 Projektets syfte 3 2.3 Metod och genomförande 3 2.4 Bemanning

Läs mer

Kommunstyrelsen. För kännedom: Samtliga nämnder Kommunfullmäktiges presidium. Revisionsrapport: Informationssäkerhet

Kommunstyrelsen. För kännedom: Samtliga nämnder Kommunfullmäktiges presidium. Revisionsrapport: Informationssäkerhet Revisorerna 1 (1) Kommunstyrelsen För kännedom: Samtliga nämnder Kommunfullmäktiges presidium : Revisorerna har uppdragit till KPMG att granska kommunens rutiner för informationssäkerhet. Revisionen önskar

Läs mer

2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM

2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM Uddevalla kommun Granskning av IT-säkerheten 2013-09-25 cutting through complexity TM Innehållsförteckning Kontaktperson vid KPMG: Henrik Leffler Manager, KPMG Göteborg Sammanfattning Tel: 031 614826 Mobil:

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

Ramavtalsupphandlingar inom IT-området

Ramavtalsupphandlingar inom IT-området Revisionsrapport Kammarkollegiet Box 2218 103 15 Stockholm Datum Dnr 2010-01-27 32-2009-0520 Ramavtalsupphandlingar inom IT-området Riksrevisionen har som ett led i den årliga revisionen av Kammarkollegiet

Läs mer

Varför IT-strategi. Mål och värderingar. IT-STRATEGI FÖR TIMRÅ KOMMUN. FÖRFATTNINGSSAMLING Nr KF 10 1 (7)

Varför IT-strategi. Mål och värderingar. IT-STRATEGI FÖR TIMRÅ KOMMUN. FÖRFATTNINGSSAMLING Nr KF 10 1 (7) FÖRFATTNINGSSAMLING Nr KF 10 1 (7) IT-STRATEGI FÖR TIMRÅ KOMMUN Fastställd av kommunfullmäktige 2005-09-26, 55 Varför IT-strategi. Syftet med denna IT-strategi är att åstadkomma en förflyttning av fokus

Läs mer

Riktlinjer. Informationssäkerhet och systemförvaltning

Riktlinjer. Informationssäkerhet och systemförvaltning Riktlinjer Informationssäkerhet och systemförvaltning LULEÅ KOMMUN RIKTLINJER Dnr 1 (5) 2012-11-29 Riktlinjer för roller och ansvar inom informationssäkerhet och systemförvaltning En god systemförvaltning

Läs mer

Revisionsrapport Ledningssystemet Stratsys

Revisionsrapport Ledningssystemet Stratsys www.pwc.se Revisionsrapport Ledningssystemet Stratsys Håkan Olsson Cerifierad Kommunal Yrkesrevisor Anna Laurell Lysekils kommun Kommunens arbete med ledning och styrning samt användandet av Stratsys Innehållsförteckning

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Granskning av IT-hanteringen

Granskning av IT-hanteringen Revisionsrapport Granskning av IT-hanteringen Katrineholms kommun Göran Persson Lingman Thomas Lidgren Januari 2013 Innehållsförteckning Sammanfattning och revisionell bedömning 3 1 Bakgrund och resultat

Läs mer

Granskning av intern kontroll. Söderhamns kommun. Revisionsrapport. Februari 2011. Micaela Hedin Certifierad kommunal revisor

Granskning av intern kontroll. Söderhamns kommun. Revisionsrapport. Februari 2011. Micaela Hedin Certifierad kommunal revisor Granskning av intern kontroll Söderhamns kommun Revisionsrapport Februari 2011 Micaela Hedin Certifierad kommunal revisor Robert Heed Revisionskonsult Innehållsförteckning Sammanfattning... 3 1. Inledning...

Läs mer

Uppföljning av tidigare granskningar

Uppföljning av tidigare granskningar Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2

Läs mer

Riktlinjer för intern styrning och kontroll

Riktlinjer för intern styrning och kontroll 1(10) Riktlinjer för intern styrning och kontroll 2(10) 1. Syfte Dessa riktlinjer syftar till att övergripande beskriva hur AP7 arbetar med frågor som rör intern styrning och kontroll. Riktlinjerna avser

Läs mer

Reglemente. Administrativa kontoret Ekonomiavdelning. 2005-12-15 Dnr KS 2005/156 Hid 2006.16

Reglemente. Administrativa kontoret Ekonomiavdelning. 2005-12-15 Dnr KS 2005/156 Hid 2006.16 Administrativa kontoret Ekonomiavdelning 2005-12-15 Dnr KS 2005/156 Hid 2006.16 Reglemente Intern kontroll Kommunstyrelsens arbetsutskott 2006-01-23 Kommunstyrelsen 2006-02-06 Kommunfullmäktige 2006-02-27

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

Riktlinjer för styrdokument Örebro kommun

Riktlinjer för styrdokument Örebro kommun 2014-03-11 Ks 182/2013 Riktlinjer för styrdokument Örebro kommun Beslutad av: Kommunstyrelsen, den 18 mars 2014 Dokumentansvarig på politisk nivå; Kommunstyrelsens ordförande Dokumentansvarig på tjänstemannanivå;

Läs mer

Grästorps kommun Offentlighet och arkivering. Granskningsrapport. KPMG 2002-11-06 Antal sidor: 6

Grästorps kommun Offentlighet och arkivering. Granskningsrapport. KPMG 2002-11-06 Antal sidor: 6 ering KPMG Antal sidor: 6 Innehåll 1. Inledning 1 1.1 Revisionsmål 1 2. Genomförande 1 3. Resultat 2 3.1 Kommunstyrelsen som arkivmyndighet 2 3.1.1 Kommunens arkivstruktur 2 3.1.2 Arkivrutiner 2 3.1.3

Läs mer

Granskning av styrsystemet MORA PLUS IT

Granskning av styrsystemet MORA PLUS IT Revisionsrapport Granskning av styrsystemet MORA PLUS IT Mora kommun November 2009 Författare Robert Heed Hans Gåsste Innehållsförteckning 1 Inledning... 3 1.1 Bakgrund och revisionsfråga... 3 1.2 Metod...

Läs mer

Säters kommun. IT-verksamheten Revisionsrapport. KPMG AB 11 november 2014 Antal sidor: 9 Bilaga IT-bokslut 2013

Säters kommun. IT-verksamheten Revisionsrapport. KPMG AB 11 november 2014 Antal sidor: 9 Bilaga IT-bokslut 2013 Revisionsrapport KPMG AB 11 november 2014 Antal sidor: 9 Bilaga IT-bokslut 2013 Innehåll 1. Sammanfattning 1 2. Bakgrund 3 3. Syfte 3 4. Avgränsning 3 5. Ansvarig styrelse 3 6. Metod 4 7. Granskningsnoteringar

Läs mer

Riktlinjer för intern kontroll i Karlskrona kommun

Riktlinjer för intern kontroll i Karlskrona kommun Riktlinjer för intern kontroll i Karlskrona kommun Bilden på omslaget är en vy över Trossö och Borgmästarkajen. Foto: Matz Arnström Innehållsförteckning 1. Riktlinjer för intern kontroll i Karlskrona kommun

Läs mer

Granskning av IT-säkerhet

Granskning av IT-säkerhet TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet

Läs mer

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM FÖRFATTNINGSSAMLING (8.1.3) SÄKERHETSFÖRESKRIFTER Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056 Giltig

Läs mer

Landstinget Dalarna. Förtroendekänsliga poster. Revisionsrapport. KPMG AB 20 januari 2012 Antal sidor: 6

Landstinget Dalarna. Förtroendekänsliga poster. Revisionsrapport. KPMG AB 20 januari 2012 Antal sidor: 6 Revisionsrapport KPMG AB 20 januari 2012 Antal sidor: 6 Innehåll 1. Sammanfattning 1 2. Bakgrund 2 3. Syfte 2 4. Avgränsning/underlag 2 5. Metod 3 6. Projektorganisation 3 7. Utbetalningar via PA-system

Läs mer

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning 2008. 1. Sammanfattning

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning 2008. 1. Sammanfattning Revisionsrapport Sveriges Lantbruksuniversitet Box 7070 750 07 Uppsala Datum Dnr 2009-03-30 32-2008-0760 Sveriges Lantbruksuniversitets årsredovisning 2008 Riksrevisionen har granskat Sveriges Lantbruksuniversitets

Läs mer

14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse. Bilaga 112.15

14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse. Bilaga 112.15 Beslutande organ Dokumenttyp Sida Kommunstyrelsen Kallelse/dagordning 25 (38) Sammanträdesdatum 2015-06-10 Dnr KS 2015/102 14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse.

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

ATT FASTSTÄLLA ARKIVANSVAR & ARKIVORGANISATION

ATT FASTSTÄLLA ARKIVANSVAR & ARKIVORGANISATION ATT FASTSTÄLLA ARKIVANSVAR & ARKIVORGANISATION en handledning för myndigheter i Göteborgs Stad & Västra Götalandsregionen Version 2, 2013-02-26 INNEHÅLL INLEDNING... 3 1 MYNDIGHETENS ARKIVORGANISATION...

Läs mer

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Rapport avseende granskning av IT-säkerhet. Östersunds kommun Rapport avseende granskning av IT-säkerhet Östersunds kommun November 2014 Innehåll Sammanfattning 1 1. Inledning 2 1.1. Uppdrag och bakgrund 2 1.2. Revisionsfråga 2 1.3. Revisionskriterier 2 1.4. Avgränsning

Läs mer

Landstingsstyrelsen och den interna kontrollen en inledande belysning

Landstingsstyrelsen och den interna kontrollen en inledande belysning Revisorerna Anders Marmon 2005-02-24 Rev/04078 Landstingsstyrelsen och den interna kontrollen en inledande belysning Rapport 2-05 Sammanfattning Landstingets revisorer har att genomföra årlig granskning

Läs mer

Reglemente för intern kontroll av ekonomi och verksamhet

Reglemente för intern kontroll av ekonomi och verksamhet Reglemente för intern kontroll av ekonomi och verksamhet Fastställd av: Kommunfullmäktige Datum: 2004-11-25 (Formalia reviderad 2014-06-02) Ansvarig för revidering: Kommunstyrelsen Ansvarig tjänsteman:

Läs mer

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN Köping2000, v3.2, 2011-07-04 1 (8) Drätselkontoret Jan Häggkvist 0221-251 11 jan.haggkvist@koping.se SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN 1. Målsättning Målsättning för säkerhetsarbetet är att ett säkerhetsarbete

Läs mer

Kommunens ITorganisation

Kommunens ITorganisation Revisionsrapport Kommunens ITorganisation Strömsunds kommun Maj-Britt Åkerström Cert. kommunal revisor Innehållsförteckning 1 Sammanfattning, revisionell bedömning, förslag till utveckling 2 Inledning

Läs mer

Hallstahammars kommun

Hallstahammars kommun Revisorerna REVISIONSRAPPORT Granskning av Intern kontroll Hallstahammars kommun Utarbetad av Komrev inom Öhrlings PricewaterhouseCoopers på uppdrag av kommunens revisorer och antagen vid revisorernas

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Mjölby kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

Granskning av intern styrning och kontroll vid Statens servicecenter

Granskning av intern styrning och kontroll vid Statens servicecenter 1 Granskning av intern styrning och kontroll vid Statens servicecenter Riksrevisionen har som ett led i den årliga revisionen av Statens Servicecenter granskat den interna styrning och kontroll i myndighetens

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Löpande granskning av rutin för upphandling

Löpande granskning av rutin för upphandling Revisionsrapport Länsstyrelsen i Uppsala län Hamnesplanaden 3 751 86 Uppsala Datum Dnr 2008-03-19 32-2007-0588 Löpande granskning av rutin för upphandling Som ett led i den årliga revisionen av Länsstyrelsen

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Askersunds kommun. Förändringsarbete och projekt inom socialförvaltningen. Revisionsrapport. KPMG AB 28 september Antal sidor: 8

Askersunds kommun. Förändringsarbete och projekt inom socialförvaltningen. Revisionsrapport. KPMG AB 28 september Antal sidor: 8 ABCD Askersunds kommun Förändringsarbete och projekt inom socialförvaltningen Revisionsrapport KPMG AB 28 september Antal sidor: 8 2010 KPMG AB, a Swedish limited liability partnership and a member firm

Läs mer

Intern kontroll 2011 Kommunstyrelsen och nämnderna

Intern kontroll 2011 Kommunstyrelsen och nämnderna Intern kontroll 2011 Kommunstyrelsen och nämnderna Vänersborgs kommun Revisionsrapport Mars 2012 Henrik Bergh Uppdrag och genomförande... 3 Sammanfattning... 3 GRANSKNINGSIAKTTAGELSER... 4 Synpunkter i

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Motala kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

Granskning av kommunens hantering av styrdokument

Granskning av kommunens hantering av styrdokument Granskning av kommunens hantering av styrdokument Smedjebackens kommun Revisionsrapport Februari 2011 Hans Gåsste Innehållsförteckning Sammanfattning och revisionell bedömning...... 3 1 Bakgrund och syfte......

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Reglemente för intern kontroll med tillämpningsanvisningar

Reglemente för intern kontroll med tillämpningsanvisningar Reglemente för intern kontroll med tillämpningsanvisningar Antagen av kommunfullmäktige 2005-04-25 53 VIMMERBY KOMMUN REGLEMENTE FÖR INTERN KONTROLL Antaget av kommunfullmäktige 2005-04-25, 53. Syfte

Läs mer

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Kommunens revisorer 2013-04-08 GRANSKNING AV INTERNKONTROLLPLANER I HÄRRYDA KOMMUN Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Rapporten

Läs mer

Ekonomgruppen i Kungälvs kommun oktober 1999 Antagen av kommunfullmäktige 2001-01-31, x.

Ekonomgruppen i Kungälvs kommun oktober 1999 Antagen av kommunfullmäktige 2001-01-31, x. KUNGÄLVS KOMMUN eller hur vi klarlägger att uttalade och outtalade regler efterlevs, dvs att den interna kontrollen fungerar som det var tänkt. Ekonomgruppen i Kungälvs kommun oktober 1999 Antagen av kommunfullmäktige

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...1 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...1 3.1.1 Användning under normala förhållanden

Läs mer

Inga krav utöver ISO 14001

Inga krav utöver ISO 14001 Förordning (2009:907) om miljöledning i statliga myndigheter Relaterat till motsvarande krav i ISO 14001 och EMAS De krav som ställs på miljöledningssystem enligt EMAS utgår från kraven i ISO 14001. Dessutom

Läs mer

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll KIRUNA KOMMUN Bilaga 1 Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll Innehåll sida 1. Intern styrning och kontroll 2 2. Riskanalys 3 - Övergripande

Läs mer

Reglemente Fastställd i Kommunfullmäktige 13-06-17

Reglemente Fastställd i Kommunfullmäktige 13-06-17 1 Reglemente Fastställd i Kommunfullmäktige 13-06-17 Innehållsförteckning - Syfte med reglemente. 1 Syfte... Sid 3 - Organisation av intern kontroll 2 Kommunstyrelsen... Sid 3 3 Nämnderna... Sid 3 4 Förvaltningschef...

Läs mer

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011 Revisionsrapport Förstudie av personalsystemet Kalmar kommun Caroline Liljebjörn Förstudie av personalsystemet 2011-10-10 Caroline Liljebjörn Stefan Wik Kalmar kommun Förstudie av personalsystemet Innehållsförteckning

Läs mer

Internrevisionsförordning (2006:1228)

Internrevisionsförordning (2006:1228) Internrevisionsförordning (2006:1228) Ekonomistyrningsverkets föreskrifter och allmänna råd1 Tillämpningsområde 1 Denna förordning gäller för förvaltningsmyndigheter under regeringen i den omfattning som

Läs mer

System- och objektförvaltning - roller

System- och objektförvaltning - roller System- och objektförvaltning - roller Landstingsdirektörens stab Version A 2010-01-25 Innehållsförteckning A. Objektförvaltning - roller enligt pm3... 3 Budgetnivå... 4 Beslutsnivå... 5 Roller på operativ

Läs mer