Söderhamns kommun. Granskning av IT-säkerhet. Revisionsrapport. KPMG Bohlins AB 11 oktober 2006 Antal sidor: 9

Storlek: px
Starta visningen från sidan:

Download "Söderhamns kommun. Granskning av IT-säkerhet. Revisionsrapport. KPMG Bohlins AB 11 oktober 2006 Antal sidor: 9"

Transkript

1 KPMG Bohlins AB 11 oktober 2006 Antal sidor: KPMG Bohlins AB, the Swedish member firm of KPMG International, a Swiss cooperative. All rights reserved.

2 Innehåll 1. Sammanfattning 1 2. Bakgrund Allmänt Risk och väsentlighet Förtydligande av begreppet IT Förutsättningar 3 3. Syfte och avgränsning Syfte Avgränsning 4 4. Metod 4 5. Resultatet av granskningen Vad är IT-strategens roll och vad är omfattningen på dennes ITsansvar 2006? Finns det numera en av kommunfullmäktige fastställd IT-spolicy för kommunen? På respektive ansvarsnivå, vilka åtgärder har man planerat att utföra och vad har genomförts det senaste året med anledning av srapporten? Hur styr, utreder, inför, upprätthåller och kontrollerar förvaltningscheferna IT-en i sin verksamhet? I eventuell brist på IT-sinstruktioner från kommunens systemägare vilka IT-shänsyn tar Söderhamn Teknikpark AB vid drift av kommunens system och infrastruktur? 8

3 1. Sammanfattning Det finns delvis en medvetenhet i kommunen om vad IT- är och vad det innebär för verksamhetens bedrivande. Vem som innehar ansvaret framgår av ett beslut med sitt ursprung från början av 2000-talet. Det är förvaltningscheferna som har ansvaret enligt IT-strategin. Vår granskning visar att kunskapen om var ansvaret ligger är oklar, framför allt hos medarbetare med lokalt IT-ansvar. De flesta tror att det är IT-strategen vilken inte har något formellt ansvar. Det finns en formellt antagen policy för IT-en. En av flera till policyn hörande riktlinjer och planer, konkretiserande dokument, finns ute på en remissrunda hos kommunens förvaltningar. Övriga dokument saknas i dagsläget men några är under framtagande. Det är oklart när de kommer att vara klara och beslutade. Vi bedömer att kännedomen om dokumenten som styr ITen är svag inom kommunorganisationen. Kommunfullmäktige kan sägas ha varit aktivt i IT-sarbete i så motto att en ITspolicy har beslutats. IT-strategen har inget formellt ansvar för IT-en men har tagit fram förslaget till IT-spolicyn och arbetar med att ta fram därtill hörande riktlinjer. Vi bedömer med ledning av intervjusvaren att förvaltningschefsnivån inte aktivt agerat för ITen vare sig enskilt eller som del av ledningsgruppen för kommunen. Det finns formellt sett inte längre ett IT-råd till vilket det bl.a. hänvisas i IT-spolicyn. IT-ansvariga utför en viss form av IT-sarbete och vi anser att det till största delen har sitt ursprung i egna initiativ. IT-sarbetet bedrivs inte efter några dokumenterade planer, resurstilldelningen (personal och tid) är oklar. Arbetet vilar inte heller på någon form av dokumenterad riskanalys vilket kan vara orsaken till att kontroller av efterlevnad görs i ringa eller ingen omfattning. Det finns ingen systemsplan (enligt IT-spolicyn) för något av kommunens högst väsentliga verksamhetssystem. Söderhamn Teknikpark (STP) utför inte enligt den överenskommelse om IT-drift mm som de har med kommunen någon som helst kontroll av IT-en. Tjänsteutbudet innehåller inte sådana tjänster alternativt ingen tilläggsbeställning och specificering av sådana har gjorts av kommunen som köpare. Vi uppfattar det som att STP följer IT-policyn generellt som professionella utövare av sitt uppdrag däremot torde de lida av brist på riktlinjer (konkretisering av policyn) enär dessa ännu inte är framställda och beslutade. Det föreligger omfattande brister i de rutiner som skall säkerställa en god IT- i kommunen Ansvariga bör snarast sätta in åtgärder för att först och främst säkerställa en ändamålsenlig nivå på IT-en för sin IT-plattform och sina verksamhetskritiska system. Ansvaret är tydligt definierat nu återstår att skyndsamt planera, prioritera och lyfta arbetet till den nivå som krävs för att inte verksamhetsstörningar skall bli kostsamma. 1

4 2. Bakgrund 2.1 Allmänt KPMG har av s revisorer erhållit i uppdrag att granska kommunens rutiner för hur den styr, utreder, inför, upprätthåller och kontrollerar IT-en i sin verksamhet. 2.2 Risk och väsentlighet Revisionen bedömer att det finns risk för att det föreligger brister i de rutiner som skall säkerställa en god IT- och att det därför är väsentligt att klarlägga på vilket sätt och i vilken form kommunfullmäktige, -styrelse och -ledning samt operativt ansvariga styr IT-sarbetet. Det är även väsentligt att veta vilka riskbedömningar IT-sarbetet vilar på, hur regler, anvisningar etc. rörande sarbetet implementeras, kommuniceras, underhålls samt hur efterlevnaden av beslutad IT- kontrolleras. 2.3 Förtydligande av begreppet IT- För att klarlägga vad som menas med IT- lämnas nedan en kortare förklaring med tillhörande illustration. Vi vill därmed tydliggöra begreppet så att avgränsningen av och syftet med granskningen skall bli så klar som möjligt. Person Fysisk Säkerhet Informations Administrativ Administrativ IT- ADB Kommunikations Fysisk Logisk Fysisk Logisk Informations är en vid hantering av information för önskad tillgänglighet, riktighet, sekretess och spårbarhet, den delas upp i administrativ och IT-. Administrativ uppnås huvudsakligen med hjälp av administrativa regler och rutiner. IT innebär i IT-systemen och delas upp i ADB- (eller ännu hellre uttryckt data), innebärande skydd av data och system mot obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling och kommunikations. Det senare innebär i samband med överföring av information och styrsignaler. Syftet med den är att 2

5 förhindra att information inte kommer obehöriga till del, att informationen inte förvanskas eller inte når mottagaren men också att felaktig information inte introduceras i kommunikation och system. Med fysisk i samband med data- och kommunikations menas skyddet av själva utrustningen och kommunikationsvägarna. Med logisk menas skyddet av innehållet i systemen. 2.4 Förutsättningar I KPMG: s revisionsrapport Granskning av kommunens sarbete framgår det att inom IT-sområdet finns: Väsentliga brister i styrning, organisation och ansvar, dokumentering av teknisk infrastruktur och enskilda IT-system. Flera krav i IT-spolicyn som inte är åtgärdade. Upprättade sinstruktioner som vare sig är kompletta eller anpassade till moderna krav. Otydligheter i ansvarsfördelningen mellan kommun och Söderhamn Teknikpark AB/IT Hälsingland. 3. Syfte och avgränsning 3.1 Syfte Det har gått över ett år sedan rapporten om sarbetet i kommunen presenterades och vår granskning har haft som syfte att ge svar med kommentarer på följande frågor: Vad är IT-strategens roll och vad är omfattningen på dennes IT-sansvar 2006? Finns det numera en av kommunfullmäktige fastställd IT-spolicy för kommunen? Har policyn även fått genomslag i de kommunala bolagen? Om inte, vad är orsak till detta? På respektive ansvarsnivå, vilka åtgärder har man planerat att utföra och vad har genomförts det senaste året med anledning av srapporten? Oavsett förändringar det senaste året, hur styr, utreder, inför, upprätthåller och kontrollerar förvaltningscheferna, med ansvar för de, för kommunen, väsentligaste datorstödda verksamhetsstöden, IT-en i sin verksamhet? I eventuell brist på IT-sinstruktioner från kommunens systemägare vilken ITshänsyn tar Söderhamn Teknikpark AB/IT Hälsingland vid drift av kommunens system och infrastruktur? 3

6 3.2 Avgränsning Granskningen skall omfatta kommunen samt i tillämpliga delar Söderhamn Teknikpark AB/IT Hälsingland. 4. Metod Som metoder har dokumentstudier och intervjuer att använts. Granskningen från KPMG har utförts av Lars Anteskog. Magnus Larsson har deltagit i granskningen genom sin roll som KPMG: s kundansvarig för biträdet till kommunrevisorerna. en har saklighetskontrollerats av kommunens IT-strateg 5. Resultatet av granskningen Nedan följer noteringar och kommentarer från granskningen uppdelat på de punkter som redovisas under syfte ovan. Granskningen baseras sig på tillhandahållen dokumentation samt intervjuer av IT-strateg, driftansvarig på Söderhamn Teknikpark (hädanefter STP), IT-ansvariga/systemadministratörer för Procapita-systemet (Barn- och utbildningsförvaltningen samt Socialförvaltningen för respektive del) och PA-systemet IFS. Förvaltningschefen för Socialförvaltning har även intervjuats. 5.1 Vad är IT-strategens roll och vad är omfattningen på dennes ITsansvar 2006? Rollen som IT-strateg har funnits i kommunen sedan november Det finns idag fortfarande ingen dokumenterad och formellt beslutad omfattning av tjänsten. I platsannonsen under rekryteringsskedet beskrevs tjänsten så att IT-strategen skulle leda, samordna och driva kommunens strategiska IT-utveckling vilket också skulle innebära ett antal operativa ansvar. Med kommunen skulle förstås hela koncernen. Som stöd skulle IT-strategen ha ett särskilt IT-råd. Säkerhet i allmänhet eller IT- i synnerhet nämns inte annonsen. I IT-strategens egen beskrivning av de uppgifter och ansvar han anser sig uppbära för dagen förekommer ansvar för kommunövergripande IT-sfrågor I den eget definierade målsättningen med tjänsten nämns bl a att ta fram IT-spolicy samt att följa upp och revidera IT-strategi. Det är i dokumentet IT-startegi för daterad januari 2000 (Dnr KS/1999/0268) som det står att läsa vem som ansvarar för IT-en i kommunen/kommunkoncernen. Det framgår tydligt att ansvaret för IT generellt ligger i linjen. IT-rådets sammansättning och uppgifter framgår även den av strategin, inget nämns dock om i allmänhet eller IT- i synnerhet. IT-ansvarigs roll beskrivs i strategin men återigen inget om IT-. På sjunde och sista sidan av dokumentet under rubriken Säkerhet och sårbarhet sägs Överstyrelsen för civil beredskap ÖCB föreskrifter FA22 utgör underlag för kommunen. Säkerhet och sårbarhet omfattar: Behörighet, datakommunikation, drift, avbrottsplanering 4

7 och driftgodkännande. Detaljerade riktlinjer upprättas och antas av IT-rådet. Detta är allt som sägs. Vad som framgår av intervjuerna så existerar inte IT-rådet längre och det sedan länge. Den enda dokumentation som kommer från IT-rådet som vi finner i vår dokumentinventering är en odaterad broschyr benämnd Riktlinjer för IT-användning. Som framgår nedan så är IT-strategin inte det dokument som är känt av de intervjuade, förutom IT-strategen, för att ange och definiera ansvaret för IT-en i kommunen. Kommentar Det är uppenbart så att från IT-strategins antagande till dags dato så har IT-en tappats bort. Det må vara så att IT-strategin fortfarande gäller men när det kommer till den IT-srelaterade textmassan får den anses otydlig, ofullständig och till myndighets- och föreskriftshänvisning felaktig. Operativt ansvariga för IT-en är idag förvaltningscheferna utan formellt stöd från IT-strategen eller en sammanslutning jämförbar med det avvecklade IT-rådet. IT-strategen har på eget initiativ tagit på sig uppgiften att sammanställa och få en fastställd ITspolicy. Sakta men säkert publiceras nu också de riktlinjer som medarbetare i kommun skall leva efter. En av tre riktlinjer finns som utkast på remissrunda. Några systemsplaner är ännu inte framtagna. Om kommunledningen anser att IT-strategen till någon del skall ansvara för IT-en så skall det tydligt definieras, dokumenteras i beslut och kommuniceras. Är det så att dessa beslut påverkar vad som framgår av nu gällande dokument så skall de i erforderlig omfattning revideras och det nya innehållet formellt beslutas och tydligt meddelas de som nu har hela ansvaret och eventuellt andra som kommer att få det. Med andra ord, IT-strategen har idag inget formellt uppdrag, eller ansvar, för IT-en. Ett självpåtaget ansvar kan iakttas och det arbetet som lagts ned får anses som ändamålsmässigt om än inte på långa vägar fullständigt. Arbetet uppfattas ha utförts med knappa resurser och med ett intresse från formellt ansvariga som inte står proportion till ämnets betydelse för verksamhetens bedrivande. 5.2 Finns det numera en av kommunfullmäktige fastställd ITspolicy för kommunen? Ja det finns numera en av kommunfullmäktige fastställd IT-spolicy. Policyn togs i kommunfullmäktige (Dnr KS/2003/0382). Policyn är till skillnad från IT-strategins del om IT- modern och i all väsentlighet ändamålsenlig. Vi noterar att verksamhetsansvariga fortfarande är operativt ansvariga för IT-en. Som nämnts ovan om ITstrategens ansvar för IT- så noterar vi att IT-strategen enligt policyn inte har någon roll i eller ansvar för IT-sarbetet. Som också nämnts ovan så saknas fortfarande två av tre riktlinjer, IT-sinstruktion för förvaltning och den för drift. Vi har heller inte i vår granskning sett några bevis för att det bedrivs något formellt ordnat arbete i enlighet med policyn. Här tänker vi närmast på att IT-sarbete skall bedrivas så att det blir en del av 5

8 kommunens normala verksamhet. Årliga mål för arbetet skall därför beslutas och framgå av kommunens verksamhetsplanering. De årliga målen som beslutats skall förtydligas av ITberedningsgruppen vars existens och sammansättning är okänd för de intervjuade, förutom ITstrategen. Det är möjligen effekten av att IT-spolicyn med ledning av intervjusvaren inte kan anses vara väl känd i kommunen. Kommentar Det är positivt att se att IT-sarbetet utan formell styrning ändå tar sig framåt. Det är negativt att kunna konstatera att kunskapen om att den policy som styr är så illa bekant och därmed inte efterlevs. Kommunledningen måste bringas att förstå att utan en formalisering och ett tydliggörande av ITsarbetet är det bara en tidsfråga innan en incident inträffar vars direkta och/eller indirekta konsekvenser kan medföra kostsam skada för kommunen och/eller för dess medborgare. ITsarbete är inte enbart en uppgift för enskilda medarbetare att utföras på allt för begränsad tid, renons på kollegor och utan tydlig styrning och därtill hörande utbildning. Utan väl fungerande datoriserade verksamhetsstöd fungerar inte kommunen effektivt och ändamålsenligt, vi finner det därför svårt att förstå hur ansvariga kan motivera att verksamheten skall bedrivas under bristande sarrangemang. Det pågår vad vi förstår ett arbete inom kommun för att stärka den interna kontrollen samt även ett s.k. kompetensutvecklingsprojekt. Vi finner det vara en naturlig åtgärd att i dessa kommunövergripande åtgärder aktivt och tydligt inkorporera IT-sarbete. De allra flesta verksamhetskritiska processer i en kommun involverar ett datoriserat verksamhetsstöd vilket torde göra det naturligt att även ta hänsyn till IT-risker när kontrollbehov identifieras och kontroller utformas. För att säkerställa att kontrollerna förstås och utförs ändamålsenligt ställer det rimligtvis krav på inte enbart ren verksamhetskännedom hos individen utan också på en utökad förståelse för hur IT påverkar processerna samt vilka riskerna är och hur de åtgärdas eller hanteras med kompletterande och/eller kompenserande kontroller. 5.3 På respektive ansvarsnivå, vilka åtgärder har man planerat att utföra och vad har genomförts det senaste året med anledning av srapporten? Vi har förvisso endast intervjuat en förvaltningschef, men det i kombination med information från IT-strategen ger vid handen att det på kommunledningsnivå i närtid inte tagits några initiativ. Initiativ på förvaltningschefsnivån lyser med sin frånvaro. Vi kan skönja en viss aktivitet bland första linjens chefer och bland dem som är IT-ansvariga. Att den senare aktiviteten skulle ha sitt ursprung från vad som uppmärksammats i srapporten finner vi inga bevis på. Vi ser det snarare som en effekt av att professionella medarbetare som baserat på handgriplig kunskap och riskmedvetenhet efter bästa förmåga och tillgängliga resurser infört metoder och procedurer för att lokalt säkerställa IT-en. 6

9 Kommentar Kommunen har tillgång till intresserade medarbetare som tar IT-en inom sitt ansvarsområde på allvar. Det blir inte alltid ett fullständigt arbete grundat på en fullständig förståelse till det saknas ofta någon som helst utbildning, både grundläggande och vidareutvecklande. I detta sammanhang är det tråkigt att konstatera kännedomen om de styrande dokumenten för IT är svag och att engagemanget och styrning från ansvariga inte syns vare sig dokumenterat eller uppföljt i utfört arbete. Konsekvensen av detta blir att IT-sarbetet utförs utan en adekvat riskanalys. En intresserad och grundläggande kunnig personal som är ändamålsenligt styrd, utbildad och kontrollerad har alla de möjligheter att effektivt bidra till att IT-relaterade incidenter kan undvikas eller att negativa effekter av uppkomna fel minimeras. 5.4 Hur styr, utreder, inför, upprätthåller och kontrollerar förvaltningscheferna IT-en i sin verksamhet? Av det som framkommer vid granskningen så indikerar det att förvaltningscheferna inte aktivt, riktat och planlagt utför något IT-sarbete. Det är som redan nämnts ovan, initiativ tagna på strategnivå i kombination med IT-ansvariga, som styr det arbete som planeras och utförs. Någon ordnad och systematiserad kontroll av att IT-sföreskrifter efterlevs utförs inte. Ett konkret bevis på detta är att inga systemsplaner upprättats och man har inte tagit till vara det allmänna och kostnadsfria material som finns att tillgå hos Krisberedskapsmyndigheten. Det finns på myndigheten gott om nyttig och arbetsbesparande, dessutom i många fall kostnadsfri, information ända ner på mallnivå. Något som kan liknas vid ett underlag eller embryo till en generell kommunövergripande systemsplan har under utbildningsformer tagits fram av kommuns förvaltningar och STP. Underlaget benämns från förvaltningarna Tjänstebeskrivning och hos STP Tjänstekatalogen. Tjänstebeskrivningen var inte känd av alla intervjuade trots att den är förutsättningen för IT-drift och supporttjänster för kommunen och är specifikationen av de tjänster som köps av STP. Tjänstebeskrivningen omfattar inte alla i kommunen i drift tagna system. Förvaltningarna köper ur sperspektivet en standardiserad tjänst utan anpassning till enskilt system och verksamhetens behov. Beskrivningen av tjänsterna är allmänt hållen och ospecificerad när det gäller IT-. Vi kan i Tjänstebeskrivning inte notera några hänvisningar till de dokument som styr IT-en. Det som nämns om saknar förtydligande om hur, när och varför kontroller utförs och dokumenteras och på vilket sätt och omfattning resultatet av dessa rapporteras till köparen av tjänsten. Det är uppenbart så att IT-en inte har beaktats när dokumentet upprättats. Intervjuerna visar också att förvaltningarna inte på något sätt kontrollerar om något av det srelaterade utförs. Det framkommer vid granskningen att IT-ansvariga upptäckt att information som man förutsatt blev skopierad inte blev det. Det är utanför avgränsningen för denna granskning men vi kan konstatera att köpet av STP: s tjänster inte på något sätt formaliserats. Ur IT-sperspektivet innebär det att kommunen köper tjänster som inte följer några IT-sföreskrifter. Detta innebär risk för att förvaltningarna, fortfarande ur IT-sperspektivet, köper tjänster som per egen brist på kunskap 7

10 och initiativ är undermåliga. Det kan även vara så att man köper tjänster som är dyrare än de behöver vara i förhållande systemets betydelse. Kommentar Förvaltningar bör gemensamt skapa resurser för att snarast färdigställa, kommunicera och utbilda ansvariga och medarbetare i användandet av beslutade styrande dokument för IT-en. Tydliggör ansvarsrollerna på förvaltningarna samt IT-strategens roll och ansvar i IT-sarbetet. Budgetera och planera arbetet på ett sätt som erbjuder möjlighet att följa hur arbetet utvecklar sig. Som köpare av tjänster från STP bör förvaltningarna specificera och formalisera beställningen på ett sådant sätt att det lämnar möjlighet att kontrollera att det som köps även utförs. Köp tjänster och stöd av STP om kunskapsbrist finns för att göra riskanalyser och välja kontrollåtgärder. Det slutgiltiga beslutet om tjänsteinnehållet måste dock alltid vara förvaltningens. För att exemplifiera vad som nämnts ovan beakta följande: Hur säkerställer socialtjänsten och andra förvaltningar som hanterar integritetskänslig information att skopior av sådan information förvaras och hanteras på sådant sätt att externa (lagar, regler, rekommendationer etc.) och interna föreskrifter efterlevs? Har berörda förvaltningar specificerat sina krav till STP? Om kraven inte specificerats vilka kontroller utför man för att säkerställa att STP: s hanteringen ändå över tid är att betrakta som ändamålsenlig? Om den anses ändamålsenlig vem har då tagit det beslutet och hur har det dokumenterats? För att konkretisera det ytterligare: Magnetmedia som används för skopiering är förbrukningsmaterial. Vilka krav har förvaltningarna som hanterar integritetskänslig information ställt på STP när det gäller hur utrangerad magnetmedia skall hanteras? Får den återvinnas eller skall den destrueras? Säkerhetskopierad information övergår inte sällan till att vara arkiverad information. Vilka krav ställs på att skopior och arkivkopior skall vara läsbara under den tid de behöver existera? 5.5 I eventuell brist på IT-sinstruktioner från kommunens systemägare vilka IT-shänsyn tar Söderhamn Teknikpark AB vid drift av kommunens system och infrastruktur? Av intervju framgår att STP inte besöks av personal från någon förvaltning med uppdraget att säkerställa att köpta tjänster ur IT-sperspektivet utförs ändamålsenligt. STP utför inga särskilda IT-skontroller med mindre än att de är specificerade och beställda av kunden (förvaltningen). Enligt STP: s Tjänstekatalog så finns det inga definierade IT-srelaterade tjänster att köpa. Så som vi tolkar vad som sägs i Tjänstekatalogen så är det möjligt att för en förvaltning att enskilt köpa tjänster av STP. STP erbjuder så kallade Servicenivåkontrakt (SNK) att tecknas med ansvarig beställare hos kunden. Så som vi uppfattar det har STP idag endast ett SNK med och det är baserat på Tjänstebeskrivningen och gäller för kommunens ITplattform, för all personal och skolans elever samt sju namngivna verksamhetssystem. Med andra ord uppfattar vi att STP inte har något ansvar för IT-en annat än att de rimligtvis följer kommuns IT-spolicy. Konkretiseringen av IT-spolicyn, IT-sinstruktionerna för drift respektive förvaltning, som skall ge STP vägledning i deras verksamhet fanns vid granskningstillfället inte upprättade och driftsatta. Vi uppfattar det som att STP är väl medvetna 8

11 om innebörden och betydelsen av IT-. Vi bedömer med ledning av intervjun att STP, om krav/önskemål framställs, kan tillgodose de IT-skrav som beställs av kommunen/förvaltningen/systemägaren. Kommentar Det är olyckligt att kunna konstatera att IT-en inte finns med på ett konkret och tydligt sätt när beställaren överenskommer med leverantören om leverans av IT-drift. Detta innebär rimligtvis att medarbetare på STP inte utnyttjas aktivt i IT-sarbetet annat än att de efter eget skön och baserat på professionell kunskap påtalar brister när de upptäcks. Vi ser ingen anledning till att inte använda STP: s kunnande i kommunen när det gäller att informera, bygg upp samt kontrollera att en ändamålsenlig och formellt beställd IT- efterlevs. Överväg, för relationen mellan kommunen centralt och STP, att som första steg påskynda framtagande och godkännande av återstående IT-sinstruktioner. Att de är på plats är väsentligt när systemsplanerna för i första hand de verksamhetskritiska systemen i kommunen finns framme som underlag till IT-såtgärder. Falun dag som ovan KPMG Bohlins AB Magnus Larsson Kundansvarig Lars Anteskog Projektansvarig 9

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Svar på revisionsskrivelse informationssäkerhet

Svar på revisionsskrivelse informationssäkerhet TJÄNSTEUTLÅTANDE Personalavdelningen Dnr KS/2014:280-007 2015-03-03 1/3 KS 10:1 Handläggare Annica Strandberg Tel. 0152-291 63 Kommunrevisionen Svar på revisionsskrivelse informationssäkerhet Förslag till

Läs mer

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll Revisionsrapport KPMG AB Antal sidor: 9 Innehåll 1. Sammanfattning och kommentarer/rekommendationer 1 2. Uppdrag 2

Läs mer

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete s revisorer Kommunstyrelsen För kännedom: Kommunfullmäktiges presidium Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete Revisionen har via KPMG genomfört en granskning

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion.

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion. SKRIVELSE 2016-06-07 Kommunrevisionen Till Kommunstyrelsen Till Kommunfullmäktige, för kännedom Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion. Vi har genomfört en

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet.

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet. 2012-08-27 Sidan 1 av 6 IT-säkerhetspolicy Dokumentnamn Dokumenttyp Fastställd/upprättad Diarie nummer Fastställd av IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige Dokumentansvarig/ processägare

Läs mer

Reglemente för internkontroll

Reglemente för internkontroll Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll

Läs mer

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10 Revisionsrapport KPMG AB Antal sidor: 10 Innehåll 1. Sammanfattning 1 2. Bakgrund 3 3. Syfte 3 4. Avgränsning 3 5. Revisionskriterier 4 6. Ansvarig styrelse/nämnd 4 7. Metod 4 8. Projektorganisation 4

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

ATTESTREGLEMENTE FÖR SJÖBO KOMMUN

ATTESTREGLEMENTE FÖR SJÖBO KOMMUN 1(5) ATTESTREGLEMENTE FÖR SJÖBO KOMMUN 1 Omfattning För att upprätthålla en god intern kontroll krävs bl.a. ändamålsenliga regelverk och rutiner för kontroll av verifikationer. Kontroller i enlighet med

Läs mer

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun n av 5 för Munkfors, Forshaga, Kils och Grums kommun April 2005 av IT-samverkansgruppen n 2 av 5. IT-säkerhetspolicyns roll i IT-säkerhetsarbetet. Inledning IT-säkerhet är en del i organisationens lednings-

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

RIKTLINJER FÖR IT-SÄKERHET

RIKTLINJER FÖR IT-SÄKERHET FÖRFATTNINGSSAMLING (8.1.3) RIKTLINJER FÖR IT-SÄKERHET Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

POLICY INFORMATIONSSÄKERHET

POLICY INFORMATIONSSÄKERHET POLICY INFORMATIONSSÄKERHET Fastställd av Kommunfullmäktige 2016-03-21 56 Bo Jensen Säkerhetsstrateg Policy - Informationssäkerhet Denna policy innehåller Haninge kommuns viljeinriktning och övergripande

Läs mer

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016 www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016 Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4

Läs mer

Granskning intern kontroll

Granskning intern kontroll Revisionsrapport Granskning intern kontroll Kinda kommun Karin Jäderbrink Cert. kommunal revisor Innehållsförteckning 1 Sammanfattande bedömning 1 2 Bakgrund 2 2.1 Uppdrag och revisionsfråga 2 2.2 Avgränsning

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

Riktlinjer för internkontroll i Kalix kommun

Riktlinjer för internkontroll i Kalix kommun Riktlinjer för internkontroll i Kalix kommun Antaget av kommunfullmäktige 2012-11-26--27, 182 Innehållsförteckning Riktlinjer för internkontroll i Kalix kommun...1 Inledning...1 Internkontroll...1 Organisation

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr:0036/13 Kommunalförbundet ITSAM, Storgatan 36A, 590 36

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Reglemente för intern kontroll

Reglemente för intern kontroll Reglemente för intern kontroll Strategi Plan/program Riktlinje Regler och instruktioner Fastställt av: Kommunfullmäktige Datum: 2014-06-17 För revidering av reglementet ansvarar: Kommunfullmäktige För

Läs mer

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN Syfte med reglementet 1 Syfte Detta reglemente syftar till att säkerställa att kommunstyrelsen, nämnder och bolagsstyrelser upprätthåller en tillfredsställande

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

IT-strategi-Danderyds kommun 2010-2014

IT-strategi-Danderyds kommun 2010-2014 IT-strategi-Danderyds kommun 2010-2014 Beslutsinstans: Kommunfullmäktige Beslutsdatum: 2010-09-27 Giltighetstid: 2010-09-27 t o m 2014-12-31 Ansvarig nämnd: Kommunstyrelsen Diarienummer: KS 2010/0095 IT-strategi

Läs mer

I policyn fastställs ansvaret för den interna kontrollen samt på vilket sätt uppföljningen av den interna kontrollen ska ske.

I policyn fastställs ansvaret för den interna kontrollen samt på vilket sätt uppföljningen av den interna kontrollen ska ske. KOMMUNKONTORET 2004-01-20 1 Sundbybergs stads policy för intern kontroll Inledning Denna policy avser inte att reglera vad som är god intern kontroll. Varje nämnd ska utforma och utföra den egna kontrollen

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

IT-Säkerhetsinstruktion: Förvaltning

IT-Säkerhetsinstruktion: Förvaltning n av 7 för Munkfors, Forshaga, Kils och Grums kommun april 2006 av IT-samverkansgruppen n 2 av 7 IT SÄKERHETSINSTRUKTION: FÖRVALTNING Innehållsförteckning IT-säkerhetsinstruktion Förvaltnings roll i IT-säkerhetsarbetet...3

Läs mer

REGLEMENTE INTERN KONTROLL

REGLEMENTE INTERN KONTROLL REGLEMENTE INTERN KONTROLL Dokumentbeskrivningar Policy En policy ska ange viljeinriktningen för ett specifikt område. Den ska vara vägledande för beslut och styrning. En policy som är av principiell beskaffenhet

Läs mer

Riktlinjer för intern kontroll i Örebro kommun

Riktlinjer för intern kontroll i Örebro kommun PROGRAM POLICY STRATEGI HANDLINGSPLAN RIKTLINJER Riktlinjer för intern kontroll i Örebro kommun Örebro kommun 2014-09-12 KS114/2012 orebro.se 2 RIKLTLINJER FÖR INTERN KONTROLL I ÖREBRO KOMMUN PROGRAM Uttrycker

Läs mer

ATT FASTSTÄLLA ARKIVANSVAR OCH ARKIVORGANISATION. en handledning för myndigheter i Västra Götalandsregionen och Göteborgs Stad

ATT FASTSTÄLLA ARKIVANSVAR OCH ARKIVORGANISATION. en handledning för myndigheter i Västra Götalandsregionen och Göteborgs Stad ATT FASTSTÄLLA ARKIVANSVAR OCH ARKIVORGANISATION en handledning för myndigheter i Västra Götalandsregionen och Göteborgs Stad I denna serie har även utkommit Att planera, utföra och drifta arkivlokaler

Läs mer

Riktlinje för Riskanalys och Intern kontroll

Riktlinje för Riskanalys och Intern kontroll Diarienummer: 2015/560-KS-004 Riktlinje för Riskanalys och Intern kontroll Beslutad av kommunstyrelsen 2015 XX - XX program policy handlingsplan riktlinje 1 Riktlinje för Riskanalys och Intern kontroll

Läs mer

Vetenskapsrådets informationssäkerhetspolicy

Vetenskapsrådets informationssäkerhetspolicy Vetenskapsrådets informationssäkerhetspolicy 1 (6) Ändringshistorik Datum Version Beskrivning av ändring Vem 2014-01-07 PA1 Initial version Torulf Lind 2014-01-07 PA2 Uppdatering roller Torulf Lind 2014-01-17

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 11 mars 2016 Myndigheten

Läs mer

Granskning av Intern kontroll

Granskning av Intern kontroll www.pwc.se Revisionsrapport Lars Wigström Cert. kommunal revisor Granskning av Intern kontroll Vingåkers kommun Innehållsförteckning 1. Sammanfattande bedömning och rekommendationer... 1 2. Inledning...3

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhetspolicy för Vetlanda kommun 1 (10) Informationssäkerhetspolicy för Vetlanda kommun Dokumenttyp: Policy Beslutad av: Kommunfullmäktige (2015-12-16 202) Gäller för: Alla kommunens verksamheter Giltig fr.o.m.: 2015-12-16 Dokumentansvarig:

Läs mer

SÖDERTÄLJE KOMMUNALA FÖRFATTNINGSSAMLING

SÖDERTÄLJE KOMMUNALA FÖRFATTNINGSSAMLING SÖDERTÄLJE KOMMUNALA FÖRFATTNINGSSAMLING Utgåva februari 2006 6:1 REGLEMENTE FÖR INTERN KONTROLL Inledning 1 Syftet Detta reglemente syftar till att säkerställa att såväl den politiska som den professionella

Läs mer

Avesta kommun. Bisysslor Uppföljning av revisionsgranskning

Avesta kommun. Bisysslor Uppföljning av revisionsgranskning Uppföljning av revisionsgranskning Offentlig sektor KPMG AB Antal sidor: 6 Antal bilagor: X Innehåll 1. Sammanfattning 1 2. Bakgrund 1 3. Syfte 1 4. Avgränsning 2 5. Ansvarig styrelse 2 6. Metod 2 7. Projektorganisation

Läs mer

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Beslut: Rektor 2012-01-16 Revidering: - Dnr: DUC 2012/63/10 Gäller fr o m: 2012-01-16 Ersätter: - Relaterade dokument: - Ansvarig

Läs mer

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök Göteborgs universitet 2007-06-26 Intern miljörevision Exempel på frågor vid platsbesök Nedan finns exempel på frågor som kan ställas vid platsbesök inom den interna miljörevisionen. Ytterligare följdfrågor

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Revisionsrapport: Förebyggande arbete mot mutor och jäv

Revisionsrapport: Förebyggande arbete mot mutor och jäv Revisorerna 2014-11-19 1 (1) Styrelsen i Ånge Fastighets- & Industri AB Kommunstyrelsen För kännedom: Kommunfullmäktiges presidium Revisionsrapport: Förebyggande arbete mot mutor och jäv KPMG har på uppdrag

Läs mer

IT-verksamheten, organisation och styrning

IT-verksamheten, organisation och styrning IT-verksamheten, organisation och styrning KPMG Örebro 27 februari 2007 Antal sidor 12 Innehåll 1. Inledning 1 2. Syfte 1 3. Metod 1 4. Sammanfattning 2 5. IT-verksamhet, organisation och ansvar 3 5.1.1

Läs mer

Reglemente för intern kontroll. Krokoms kommun

Reglemente för intern kontroll. Krokoms kommun Reglemente för intern kontroll Krokoms kommun Fastställd av: Kommunfullmäktige, dnr Ks 14/344. Datum: 9 dec -14 Författare: Sara Anselmby Innehåll 1 Syfte... 7 2 Organisation av intern kontroll... 8

Läs mer

Riktlinjer för styrdokument Örebro kommun

Riktlinjer för styrdokument Örebro kommun 2014-03-11 Ks 182/2013 Riktlinjer för styrdokument Örebro kommun Beslutad av: Kommunstyrelsen, den 18 mars 2014 Dokumentansvarig på politisk nivå; Kommunstyrelsens ordförande Dokumentansvarig på tjänstemannanivå;

Läs mer

Revisionsrapport: Granskning av bokslut och årsredovisning per 2013-12-31

Revisionsrapport: Granskning av bokslut och årsredovisning per 2013-12-31 Revisorerna Direktionen Revisionsrapport: Revisionen har genom KPMG genomfört en granskning av bokslut och årsredovisning, se bifogad rapport. Revisionen önskar att direktionen lämnar synpunkter på de

Läs mer

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium Revisorerna 1 (1) Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden För kännedom: Kommunfullmäktiges presidium Revisionsrapport: Revisorerna har uppdragit till

Läs mer

Reglemente för intern kontroll för Älmhults kommun Antaget av kommunfullmäktige , 119.

Reglemente för intern kontroll för Älmhults kommun Antaget av kommunfullmäktige , 119. Reglemente för intern kontroll för Älmhults kommun Antaget av kommunfullmäktige 2015-06-22, 119. Detta reglemente fastställer ansvaret för den interna kontrollen, med utgångspunkt i kommunallagen och den

Läs mer

Timrå kommun. Informationssäkerhet Revisionsrapport. KPMG AB 7 november 2013 Antal sidor: 11 Bilagor: 3

Timrå kommun. Informationssäkerhet Revisionsrapport. KPMG AB 7 november 2013 Antal sidor: 11 Bilagor: 3 ABCD Timrå kommun Informationssäkerhet Revisionsrapport KPMG AB 7 november 2013 Antal sidor: 11 Bilagor: 3 2013 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent

Läs mer

Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006

Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006 1(6) Styrelsen för konsult- och service Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006 1. Syftet med den interna kontrollen Intern kontroll

Läs mer

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket 171 94 Solna. Datum Dnr 2012-02-03 32-2011-0544

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket 171 94 Solna. Datum Dnr 2012-02-03 32-2011-0544 Revisionsrapport Skatteverket 171 94 Solna Datum Dnr 2012-02-03 32-2011-0544 Revision av uppbördsprocessen Moms 1 Inledning Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

ATT FASTSTÄLLA ARKIVANSVAR & ARKIVORGANISATION

ATT FASTSTÄLLA ARKIVANSVAR & ARKIVORGANISATION ATT FASTSTÄLLA ARKIVANSVAR & ARKIVORGANISATION en handledning för myndigheter i Göteborgs Stad & Västra Götalandsregionen Version 2, 2013-02-26 INNEHÅLL INLEDNING... 3 1 MYNDIGHETENS ARKIVORGANISATION...

Läs mer

Matarengivägsprojektet

Matarengivägsprojektet www.pwc.se Revisionsrapport Robert Bergman, revisionskonsult Matarengivägsprojektet Övertorneå kommun Mars 2013 Innehållsförteckning 1. Sammanfattning... 1 2. Inledning...3 2.1. Bakgrund...3 2.2. Revisionsfråga...3

Läs mer

Reglemente Fastställd i Kommunfullmäktige 13-06-17

Reglemente Fastställd i Kommunfullmäktige 13-06-17 1 Reglemente Fastställd i Kommunfullmäktige 13-06-17 Innehållsförteckning - Syfte med reglemente. 1 Syfte... Sid 3 - Organisation av intern kontroll 2 Kommunstyrelsen... Sid 3 3 Nämnderna... Sid 3 4 Förvaltningschef...

Läs mer

Olofströms kommun. Granskning av bisysslor. KPMG AB 16 oktober 2012 Lars Jönsson

Olofströms kommun. Granskning av bisysslor. KPMG AB 16 oktober 2012 Lars Jönsson KPMG AB 16 oktober 2012 Lars Jönsson Innehåll 1. Bakgrund 1 2. Syfte 1 3. Avgränsning 1 4. Revisionskriterier 1 5. Ansvarig nämnd 2 6. Metod 2 7. Noteringar från granskningen 2 7.1 Finns kännedom om bisysslor?

Läs mer

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören Version: 1 Beslutsinstans: Regiondirektören 2(10) ÄNDRINGSFÖRTECKNING Version Datum Ändring Beslutat av 1. 2016-06-30 Nyutgåva Regiondirektören 3(10) INNEHÅLLSFÖRTECKNING 1 INLEDNING...4 2 ANSVAR FÖR INFORMATIONSSÄKERHET...4

Läs mer

Uppdaterad Policy för styrdokument

Uppdaterad Policy för styrdokument Uppdaterad 2016-11-08 Policy för styrdokument 1 Kommunfullmäktige 2016-11-08 Tills vidare Forshaga kommun Utredare, kommunledningskontor KS 2016/151 2 Innehåll Bakgrund... 4 Syfte... 4 Övergripande styrdokument...

Läs mer

Reglemente för intern kontroll av ekonomi och verksamhet

Reglemente för intern kontroll av ekonomi och verksamhet Reglemente för intern kontroll av ekonomi och verksamhet Fastställd av: Kommunfullmäktige Datum: 2004-11-25 (Formalia reviderad 2014-06-02) Ansvarig för revidering: Kommunstyrelsen Ansvarig tjänsteman:

Läs mer

Övergripande granskning IT-driften

Övergripande granskning IT-driften www.pwc.se Övergripande granskning IT-driften Sollentuna Kommun Bakgrund och syfte Inledning Under augusti-september 2013 har på uppdrag av de förtroendevalda revisorerna i Sollentuna kommun genomfört

Läs mer

REGLEMENTE FÖR INTERN KONTROLL

REGLEMENTE FÖR INTERN KONTROLL POLICY 1 (5) Datum Bertil Wiman 2006-05-29 0589-87020, 073-7657020 bertil.wiman@arboga.se REGLEMENTE FÖR INTERN KONTROLL Antaget av Kommunfullmäktige 2006-08-31, 81 Syfte med reglementet 1 Syfte Detta

Läs mer

Granskning av bisysslor i Valdemarsviks kommun

Granskning av bisysslor i Valdemarsviks kommun Granskning av bisysslor i Valdemarsviks kommun Räkenskapsår 2013 Datum 1 augusti 2013 Till Kommunrevisionen i Valdemarsviks kommun Från R Wallin 1 Inledning På uppdrag av kommunrevisionen i Valdemarsvik

Läs mer

Granskning avseende efterlevnad av fullmäktiges styr- och policydokument. Sandvikens kommun

Granskning avseende efterlevnad av fullmäktiges styr- och policydokument. Sandvikens kommun www.pwc.se Revisionsrapport Granskning avseende efterlevnad av fullmäktiges styr- och policydokument Ove Axelsson David Emanuelsson Sandvikens kommun STYR- OCH POLICYDOKUMENT Innehållsförteckning 1. Inledning...

Läs mer

Policy för intern kontroll

Policy för intern kontroll Grästorps kommun Kommunförvaltningen Allmän verksamhet Styrdokument Dnr 160/2016 Policy för intern kontroll Fastställd av Kommunfullmäktige 2016-06-13 50. Uppdateras före 2020-12-31. 1/6 Inledning I kommunallagen

Läs mer

Riktlinjer för intern kontroll i Karlskrona kommun

Riktlinjer för intern kontroll i Karlskrona kommun Riktlinjer för intern kontroll i Karlskrona kommun Bilden på omslaget är en vy över Trossö och Borgmästarkajen. Foto: Matz Arnström Innehållsförteckning 1. Riktlinjer för intern kontroll i Karlskrona kommun

Läs mer

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning Uppföljning av revisionsgranskning Offentlig sektor KPMG AB 2012-10-02 Antal sidor: 6 Antal bilagor: X Innehåll 1. Sammanfattning 1 2. Bakgrund 1 3. Syfte 2 4. Avgränsning 2 5. Ansvarig styrelse 2 6. Metod

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

Revisionsrapport: Uppföljning av rapport Genomlysning av IFO

Revisionsrapport: Uppföljning av rapport Genomlysning av IFO Revisorerna Socialnämnden För kännedom: Kommunstyrelsen Kommunfullmäktiges presidium Revisionsrapport: Uppföljning av rapport Genomlysning av IFO Revisionen har genom KPMG genomfört en uppföljning av rapporten

Läs mer

Granskning av intern styrning och kontroll vid Statens servicecenter

Granskning av intern styrning och kontroll vid Statens servicecenter 1 Granskning av intern styrning och kontroll vid Statens servicecenter Riksrevisionen har som ett led i den årliga revisionen av Statens Servicecenter granskat den interna styrning och kontroll i myndighetens

Läs mer

Reglemente för intern kontroll med tillämpningsanvisningar

Reglemente för intern kontroll med tillämpningsanvisningar Reglemente för intern kontroll med tillämpningsanvisningar Antagen av kommunfullmäktige 2005-04-25 53 VIMMERBY KOMMUN REGLEMENTE FÖR INTERN KONTROLL Antaget av kommunfullmäktige 2005-04-25, 53. Syfte

Läs mer

Utöver vad som föreskrivs i kommunallagen gäller bestämmelserna i detta reglemente.

Utöver vad som föreskrivs i kommunallagen gäller bestämmelserna i detta reglemente. 1 (5) Reglemente för intern kontroll Utöver vad som föreskrivs i kommunallagen gäller bestämmelserna i detta reglemente. Syfte med reglementet 1 Syfte Detta reglemente syftar till att säkerställa att kommunstyrelsen

Läs mer

Granskning av kommunens hantering av styrdokument

Granskning av kommunens hantering av styrdokument Granskning av kommunens hantering av styrdokument Smedjebackens kommun Revisionsrapport Februari 2011 Hans Gåsste Innehållsförteckning Sammanfattning och revisionell bedömning...... 3 1 Bakgrund och syfte......

Läs mer

Uppföljning av tidigare granskningar

Uppföljning av tidigare granskningar Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2

Läs mer

IT-säkerhetspolicy för Åtvidabergs kommun

IT-säkerhetspolicy för Åtvidabergs kommun Version 2005-01-26 Denna är s övergripande dokument styrning och kvalitetsutveckling av IT-säkerheten i den kommunala verksamheten. n innehåller strategier att uppnå målen. Kommunfullmäktige antar den

Läs mer

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy EDA KOMMUN nformationssäkerhet - Informationssäkerhetspolicy Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål... 2 3 Organisation, roller

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Revisionsrapport Ledningssystemet Stratsys

Revisionsrapport Ledningssystemet Stratsys www.pwc.se Revisionsrapport Ledningssystemet Stratsys Håkan Olsson Cerifierad Kommunal Yrkesrevisor Anna Laurell Lysekils kommun Kommunens arbete med ledning och styrning samt användandet av Stratsys Innehållsförteckning

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Intern kontroll 2011 Kommunstyrelsen och nämnderna

Intern kontroll 2011 Kommunstyrelsen och nämnderna Intern kontroll 2011 Kommunstyrelsen och nämnderna Vänersborgs kommun Revisionsrapport Mars 2012 Henrik Bergh Uppdrag och genomförande... 3 Sammanfattning... 3 GRANSKNINGSIAKTTAGELSER... 4 Synpunkter i

Läs mer

Riktlinjer för intern styrning och kontroll

Riktlinjer för intern styrning och kontroll 1(10) Riktlinjer för intern styrning och kontroll 2(10) 1. Syfte Dessa riktlinjer syftar till att övergripande beskriva hur AP7 arbetar med frågor som rör intern styrning och kontroll. Riktlinjerna avser

Läs mer

Förstudie. Nerikes Brandkår. Arbetsmiljöarbetet för ej utryckande personal 2013-11-28. Anders Pålhed

Förstudie. Nerikes Brandkår. Arbetsmiljöarbetet för ej utryckande personal 2013-11-28. Anders Pålhed Förstudie Arbetsmiljöarbetet för ej utryckande personal Nerikes Brandkår 2013-11-28 Anders Pålhed 1. Sammanfattning... 3 2. Inledning... 5 3. Syfte... 5 3.1 Metod... 5 3.2 Avgränsning... 5 4. Bakgrundsfakta...

Läs mer

REGLEMENTE INTERN KONTROLL HAGFORS KOMMUN

REGLEMENTE INTERN KONTROLL HAGFORS KOMMUN REGLEMENTE INTERN KONTROLL HAGFORS KOMMUN Reglemente för intern kontroll 1 Syfte Reglementet syftar till att säkerställa att styrelsen, nämnden och de kommunala bolagen upprätthåller en tillfredsställande

Läs mer

Ovanåkers kommun. Uppföljning av genomförda granskningar. Revisionsrapport. KPMG AB 8 februari 2011 Antal sidor: 7

Ovanåkers kommun. Uppföljning av genomförda granskningar. Revisionsrapport. KPMG AB 8 februari 2011 Antal sidor: 7 Uppföljning av genomförda granskningar KPMG AB 8 februari 2011 Antal sidor: 7 Innehåll 1. Sammanfattning 1 1.1 Bedömning 1 1.1.1 Bisysslor 1 1.1.2 Driftkostnader och investeringar 1 1.1.3 Moms 1 2. Uppdrag

Läs mer

För ytterligare information angående granskningen hänvisas till rapporten.

För ytterligare information angående granskningen hänvisas till rapporten. MARIESTAD KOMMUN 2011-12-13 Revisorerna Till Kommunstyrelsen Barn- och utbildningsnämnden Socialnämnden Miljö- och byggnadsnämnden Teknisk nämnd Kulturnämnd För kännedom Kommunfullmäktige Kommunrevisorerna

Läs mer