Kommunstyrelsen. För kännedom: Samtliga nämnder Kommunfullmäktiges presidium. Revisionsrapport: Informationssäkerhet

Storlek: px
Starta visningen från sidan:

Download "Kommunstyrelsen. För kännedom: Samtliga nämnder Kommunfullmäktiges presidium. Revisionsrapport: Informationssäkerhet"

Transkript

1 Revisorerna 1 (1) Kommunstyrelsen För kännedom: Samtliga nämnder Kommunfullmäktiges presidium : Revisorerna har uppdragit till KPMG att granska kommunens rutiner för informationssäkerhet. Revisionen önskar att kommunstyrelsen lämnar synpunkter på de slutsatser som finns redovisade i rapporten senast den 23 september Vi föreslår att kommunstyrelsen inhämtar och samordnar synpunkter från övriga nämnder som berörs av rapporten. Av svaret bör det framgå vilka eventuella åtgärder som ska vidtas och när de beräknas vara genomförda. För s revisorer Roger Sundin Ordförande Postadress Besöksadress Webb Telefon Bankgiro Organisationsnummer Ånge Torggatan

2 KPMG AB 21 maj 2013 Antal sidor: 10 Antal bilagor: 1

3 Innehåll 1. Sammanfattning 1 2. Bakgrund Allmänt Risk och väsentlighet Förtydligande av begreppet informationssäkerhet 2 3. Syfte och avgränsning Syfte Avgränsning 3 4. Revisionskriterier 3 5. Metod och utförande Dokumentation Intervjuer 4 6. Noteringar Är kommunövergripande styrande dokument kända och förstådda av förvaltningsledning samt i linjen operativt ansvariga? Hur kommuniceras, införs och underhålls de övergripande dokumenten? Hur efterlevs de övergripande dokumenten och på vilket sett kontrolleras detta? Finns det fastställda systemsäkerhetsplaner för de system som klassificerats som väsentliga för verksamhetens bedrivande, de samhällsviktiga systemen? Är personer med ansvarsroller för IT-säkerheten medvetna om detta samt har erforderlig kunskap och utbildning för sitt uppdrag? Finns det beviljade ansökningar om behörighet till kommunens nätverk för alla registrerade användare (AD)? 8

4 1. Sammanfattning Revisionen bedömde att det fanns risk för att det förelåg brister i de rutiner som skall säkerställa en god informationssäkerhet. Därför har KPMG av s revisorer erhållit i uppdrag att granska kommunens rutiner för hur den styr, utreder, inför, upprätthåller och kontrollerar informationssäkerheten i sin verksamhet. Granskningen visar bland annat att: Det finns vid gransakningstillfället en av kommunfullmäktige år 2009 fastställd informationssäkerhetspolicy. Därtill vidhängande tillämpningsföreskrifter är upp till tio år gamla men är enligt uppgift under uppdatering. Vi ser inga tydliga spår av en organisation av informationssäkerhetsarbetet i förvaltningarna. Centralt placerad spetskompetensen används i för hög grad åt uppgifter som är verksamhetsansvarigas ansvar. Vi finner ingen organiserad och ordnad kontroll av att uppsatta informationssäkerhetsregler efterlevs. Detta gäller generellt likväl som för de systemsäkerhetsplaner som är införda. Uppgifterna i edwise (kommunens lärplattform) uppges vara lagrade i ett externt moln tillhandahållet av plattformsleverantören. Vad vi förstår av våra intervjuer så befinner sig molnet vid granskningstillfället rent fysiskt i Sverige. Vidare framkommer att kommunen i sina styrdokument för informationssäkerhet inte redovisar hur man ska förhålla sig till data som hanteras och lagras i externa moln. Rekommendationer Det krävs åtgärder för att kommunen skall lyckas med att leva upp till sina egna uppsatta mål för informationssäkerheten. Vi ser arbetet med uppdatering av äldre styrande dokument som en lovande nystart. Introduktionsutbildningen i informationssäkerhet är även det ett vällovligt initiativ. Vidare anser vi att förvaltningschefers enskilda och gemensamma agerande har en avgörande betydelse för om medarbetare tillsammans med ledare skall lyckas etablera en effektiv och ändamålsenlig informationssäkerhetskultur i kommunen. De gemensamma ansträngningarna måste även innefatta nämnderna beaktande att ny teknik med lagring av personuppgifter hos extern part är en lika viktig som aktuella fråga. Kommun har här en väg att vandra då det vid granskningstillfället saknas styrmedel och kontroll över hur personuppgifter hanteras när de lagras externt. Sist men inte minst behöver alla ständigt påminnas om att per definition så upphör aldrig informationssäkerhetsarbetet i en kommun. 1

5 2. Bakgrund 2.1 Allmänt KPMG har av s revisorer haft som uppdrag att granska kommunens rutiner för hur den styr, utreder, inför, upprätthåller och kontrollerar informationssäkerheten i sin verksamhet. 2.2 Risk och väsentlighet Revisionen utesluter inte att det finns risk för att det kan finnas brister i de rutiner som skall säkerställa en god informationssäkerhet, och bedömer därför att är väsentligt att klarlägga på vilket sätt och i vilken form kommunstyrelse och -ledning samt operativt ansvariga styr informationssäkerhetsarbetet. Der är även väsentligt att veta vilka riskbedömningar säkerhetsarbetet vilar på, hur regler, anvisningar etc. rörande säkerhetsarbetet kommuniceras, införs, underhålls samt hur efterlevnaden av beslutad informationssäkerhet kontrolleras. 2.3 Förtydligande av begreppet informationssäkerhet För att klarlägga vad som menas med informationssäkerhet lämnas nedan en kortare förklaring med tillhörande illustration. Vi vill därmed tydliggöra begreppet så att avgränsningen av och syftet med granskningen skall bli så tydlig som möjligt. Personäkerhet Fysisk säkerhet Säkerhet Administrativ säkerhet Administrativ säkerhet IT-säkerhet ADB säkerhet Kommunikstions säkerhet Fysisk säkerhet Logisk säkerhet Fysisk säkerhet Logisk säkerhet är säkerheten vid hantering av information för önskad tillgänglighet, riktighet, sekretess och spårbarhet. Den delas upp i administrativ säkerhet och IT-säkerhet. Administrativ säkerhet uppnås huvudsakligen med hjälp av administrativa regler och rutiner. ITsäkerhet innebär säkerhet i IT-systemen och delas upp i ADB-säkerhet (eller ännu hellre uttryckt datasäkerhet), innebärande skydd av data och system mot obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling, och kommunikationssäkerhet. Det senare innebär säkerhet i samband med överföring av information och styrsignaler. Syftet med den är att förhindra att information inte kommer obehöriga till del, att informationen inte förvanskas eller inte når mottagaren men också att felaktig information inte introduceras i kommunikation och system. Med fysisk säkerhet i samband med data- och kommunikationssäkerhet menas skyddet av 2

6 själva utrustningen och kommunikationsvägarna. Med logisk säkerhet menas skyddet av innehållet i systemen. 3. Syfte och avgränsning 3.1 Syfte Syftet med granskningen är att ge svar på följande frågor: Är kommunövergripande styrande dokument kända och förstådda av förvaltningsledning samt i linjen operativt ansvariga? Hur kommuniceras, införs och underhålls de övergripande dokumenten? Hur efterlevs de övergripande dokumenten och på vilket sett kontrolleras detta? Finns det fastställda systemsäkerhetsplaner för de system som klassificerats som väsentliga för verksamhetens bedrivande, de samhällsviktiga systemen? Är personer med ansvarsroller för IT-säkerheten medvetna om detta samt har erforderlig kunskap och utbildning för sitt uppdrag? Finns det beviljade ansökningar om behörighet till kommunens nätverk för alla registrerade användare (AD)? Finns det fullständigt och riktigt ifyllda försäkringar om personligt ansvar för att upprätthålla god IT-säkerhet för alla registrerade användare (AD)? 3.2 Avgränsning Granskningen omfattar kommunen men inte de kommunala bolagen. 4. Revisionskriterier De kriterier som ligger till grund för analys, bedömning och rekommendationer är hämtade från kommunallagens 6 kapitel samt reglemente för intern kontroll och tillämpningsanvisningar. Den interna kontrollen är viktig att utgå från då den är ett medel för ledningens kontroll av att verksamheten efterlever lagar, förordningar och riktlinjer. Intern kontroll är en process vilken styrelsen, ledningen och annan personal skaffar sig rimlig säkerhet för att målen uppnås och som påverkas av hur man agerar i vad man säger och utför. 5. Metod och utförande Granskningen är utförd genom dokumentationsstudier, analyser och intervjuer. Granskningen från KPMG har utförts av Lars Anteskog. Lena Medin har deltagit i granskningen genom sin roll som kundansvarig. en har saklighetskontrollerats av kommunens IT-ansvarig. 3

7 5.1 Dokumentation Underlag för granskningen framgår av bilaga 1. Svar på analyser av behörigheter till verksamhetssystem har erhållits via e-post. Data för analys av dokument allmänt tillgängliga på kommungemensam server har erhållits genom kopiering till tillhandahållet sekundärminne (löstagbar hårddisk). 5.2 Intervjuer Intervjuer på plats i Ånge den 5 april 2013 har genomförts med koncernstrateg, IT-ansvarig, medicinskt ansvarig sjuksköterska, verksamhetschef för särskilda boenden och en systemförvaltare. Vi har även gjort en telefonintervju med en utvecklingsledare inom humanistiska kontoret. 6. Noteringar 6.1 Är kommunövergripande styrande dokument kända och förstådda av förvaltningsledning samt i linjen operativt ansvariga? Kommunens övergripande dokument gällande informationssäkerhet bedöms som kända av personer i ledande ställning likväl som hos personalen. En fullständig och ändamålsenlig förståelse finns delvis. Det kan finnas svårigheter att förstå innebörden i vissa delar av de systemsäkerhetsplaner som ledande personer har driftgodkänt. Det språkbruk och de termer som beskriver regler och åtgärder kan kännas obekanta för några. Något oroande är indikationen att anställda till viss del inte förstår att informationssäkerhetsarbetet är en väsentlig och vital del av verksamheten. De datoriserade verksamhetsstöden betraktas till för stor del som sidoordnad till det arbete som utförs och inte som en förutsättning för att det kan bedrivas rationellt och kostnadseffektivt. Inte alla av de intervjuade visste med säkerhet var övergripande och specifik dokumentation fanns att finna. Kommentar Kommunen bedriver via sin IT-ansvarige ett ambitiöst informationssäkerhetsarbete, mycket på eget initiativ, men baserat på beprövad och vedertagen standard. sarbete på det övergripande planet i en kommun av Ånges storlek är viktigt men långt ifrån en heltidssysselsättning. För att undvika ett nyckelpersonsberoende och placera ansvaret för informationssäkerheten där det hör hemma måste funktionen ha stöd och förståelse från linjen likväl som från den politiska ledningen. För att säkerställa efterlevnaden av och öka kunskapen om informationssäkerhet för alla i kommunens verksamheter rekommenderas att material från informationssäkerhet.se 1 kompletterar de egna styrdokumenten samt motiverar och inspirerar de anställda. är något integrerat i alla verksamhet som bedrivs. För den politiska ledningen och ledande tjänstepersoner rekommenderas initialt att MSB: s film för kommunens ledning 2 visas på det fullmäktigesammanträde när denna rapport redovisas. 1 Myndigheten för samhällsskydd och beredskap (MSB) har bland annat i uppgift att stödja och samordna samhällets informationssäkerhet. MSB har idag föreskriftsrätt på informationssäkerhetsområdet till statliga myndigheter. Myndigheten har inte någon föreskriftsrätt mot kommuner, men driver ett kraftfullt program för ökad informationssäkerhet mot verksamheter där kommuner är en viktig del. Det material som MSB tar fram för kommunerna publicerar på 2 Videoklippet på 10 minuter återfinns via länken 4

8 6.2 Hur kommuniceras, införs och underhålls de övergripande dokumenten? De informationssäkerhetsrelaterade dokumenten finns att hämta elektroniskt på kommunens intranät. Det finns inga generella dokumenterade strategier för hur informationssäkerhetsbudskapet skall kommuniceras på någon nivå i kommunen. Däremot används MSB: s DISA-material 3. Ingen av de av som intervjuats har genomfört eller medverkat i några riktade (verksamhetsoch/eller befattningsspecifika) informations- eller utbildningsinsatser. Övergripande dokument har presenterats av IT-ansvarig för personer på högsta ledningsnivån. Underhåll av dokumenten är inte säkerställda så till vida att det finns ett bäst-före-datum. Standarder förändras över tid och man ligger vid granskningstillfället inte i fas med sina ambitioner att ha de mest konkretiserade dokumenten uppdaterade men arbetet uppges påbörjat. Kommentar DISA-materialet ger en bra grund duger väl som introduktion till informationssäkerhet. Kvaliteten på informationssäkerheten i kommunen som helhet skulle dock vinna på en återkommande fördjupning om vad som är särskilt väsentligt inom respektive förvaltning/verksamhet. Vi vill här vara noga med att upplysa om att den centrala resursen inte är till för att självständigt eller på uppdrag av verksamheten utföra sådant arbete som faller inom verksamhetens ansvar. När förvaltningarna tar ett utökat ansvar för att utveckla och integrera informationssäkerhet i det dagliga arbetet ger vi rekommendationen att följa de tips och råd som framgår av MSB: s skrift Verktygslåda för systematiskt informationssäkerhetsarbete i kommuner. 6.3 Hur efterlevs de övergripande dokumenten och på vilket sett kontrolleras detta? Av vad som framgår av noteringarna ovan så har inte alla förvaltningar i kommunen kommit så långt i systemsäkerhetsplanarbetet att efterlevnad kan kontrolleras i någon detaljerad omfattning på förvaltningsnivån. Kommunen som helhet har dock gett sig själv möjligheten att leda datoranvändarna till att studera den övergripande dokumentationen. All personal som behöver en dator för sina arbetsuppgifter måste för att få tillgång till kommunens nät, allmänna system och applikationer samt specifika verksamhetsstöd underteckna ett avtal som innebär att man påtar sig ett specificerat personligt ansvar för att upprätthålla beslutad informationssäkerhet. Ännu har inte någon systematisk kontroll införts för att säkerställa att de som lämnat sin försäkran verkligen förstått vad den innebär och att de lever efter säkerhetsinstruktionen. 3 DISA är MSB:s informationssäkerhetsutbildning för användare och erbjuds alla organisationer kostnadsfritt. En ny version av DISA finns nu direkt på webben. Syftet med DISA-utbildningen är att på ett enkelt och kostnadseffektivt sätt höja nivån på informationssäkerheten inom en organisation genom att säkerställa att samtliga medarbetare har förståelse för grunderna med informationssäkerhet. Första versionen av DISA togs fram under 2009 och fanns att ladda hem kostnadsfritt. Nya versionen av DISA innehåller åtta olika delar som alla tar upp olika aspekter av informationssäkerhet. Nya DISA genomförs direkt på webben och behöver inte laddas ner. 5

9 Kommentar Det förekommer att kontroller görs men de förefaller mestadels göras på förekommen anledning. Istället för ett reaktivt beteende när det gäller intern kontroll så rekommenderar vi ett proaktivt synsätt visavi kontroll. Som en del i kommunens internkontrollarbete bör det finnas specificerat vilka kontroller som skall utföras, när (periodicitet) och av vem (ansvarig). Föreskrifter tenderar att bli mer trovärdiga när det klart och tydligt både anges och utförs kontrollåtgärder. Dokumentera inte bara kontrollerna för informationssäkerheten utan även att de utförts och vilket utfall som erhölls. Vi rekommenderar att den i övrigt väl utformade Säkerhetsinstruktionen Användare kompletteras med ett kontrollavsnitt som överensstämmer med innehållet i kommunens internkontrollplan. Vi bedömer att denna åtgärd kommer att bidra positivt och vara en inspirationskälla till de verksamhetsansvariga (systemansvariga) när de skall identifiera, införa och utföra informationssäkerhetskontroller i de specifika datoriserade verksamhetsstöden. 6.4 Finns det fastställda systemsäkerhetsplaner för de system som klassificerats som väsentliga för verksamhetens bedrivande, de samhällsviktiga systemen? Det finns godkända systemsäkerhetsplaner 4 för tre system (Procapita vård och omsorg samt dito individ och familjeomsorg samt lönesystemet). Planer finns även för de två datanäten. Vi har i avsnitt ovan redan nämnt att planerna är ålderstigna och är därför vid granskningstillfället under uppdatering. När vi studerar det interna dokumentet Prioritering av informationssystem (senast uppdaterad av säkerhetsgruppen och av IT-ansvarig ) ser vi att de planlagda systemen bedöms tåla avbrottstider på upp till 48 timmar. För lönesystemet och förvaltningsdatanätet finns ingen avbrottstid angiven. För utbildningsdatanätet anges 8 timmar. I dokumentet finner vi även system som anges ha mycket begränsade avbrottstider där det saknas systemsäkerhetsplaner. Vi finner även system utan angiven avbrottstid som vi bedömer borde vara så prioriterade att systemsäkerhetsplaner redan varit upprättade. Kommunens telefonväxel med hänvisningssystem bedömer vi vara det mest väsentliga i den kategorin. Till systemsäkerhetsplaner likväl som till systemförvaltningsplaner hör driftgodkännanden. Det finns ett sådant dokument per upprättad plan. Ett system skall inte sättas i drift med mindre att systemägaren/-ansvarig ger sitt godkännande. När vi översiktligt studerar dem av så noterar vi att de är över tio år gamla. Med andra ord så godkänner inte ägare/-ansvariga löpande de förändringar som gjorts av systemet. 4 Systemsäkerhetsplan numer benämnd systemsäkerhetsanalys dokumenterar ett enskilt informationssystem eller internt IT-nätverk som redovisar de samlade kraven på detta avseende tillgänglighet, riktighet och sekretess (konfidentialitet). Av planen/analysen ska framgå vilka säkerhetsåtgärder som är vidtagna samt de eventuella ytterligare säkerhetsåtgärder som behöver vidtas för att kraven på informationssystemet ska uppfyllas. Planen/analysen ska vara avstämd mot organisationens informationssäkerhetspolicy. 6

10 Tabellen nedan är kopierad från ett driftgodkännande (Procapita individ och familjeomsorg) och visar återstående grundsäkerhetskrav att uppfylla vid det första och enda driftgodkännandet daterat Grundsäkerhetskrav Färdigdatum Avvikelser/kommentar 1.3 a-b Ej fastställt Säkerhetsinstruktion 1.5 a-b Ej fastställt Beredskapsplan 2.2 a Behörighetsadministration 2.2 d Behörighetsadministration 2.3 c-d Ej fastställt Spårbarhet (loggning) 3.1 b Ej fastställt Externa anslutningar 3.1 c Externa anslutningar 3.1 f Ej fastställt Externa anslutningar 4.1 b Ej fastställt Dokumentation av system 4.2 a Ej fastställt Bemanningsplan 4.6 a-b Säkerhetskopiering 4.7 a-c Datamedia 5.1 b-c Ej fastställt Avbrottsplanering Enligt dokumentet är det förvånansvärt många och väsentliga funktioner som inte är bedömda och beslutade. Det saknas en systemsäkerhetsplan för skolans lärplattform (edwise). Vid granskningstillfället används den primärt för administrativa ändamål vilket bland annat innebär att personuppgifter hanteras i stor och detaljerad omfattning. Behörigheten till plattformen regleras på så sätt att respektive elevs personuppgifter, via autentisering med bank-id, endast skall vara åtkomlig (minst läsbar) av eleven själv, elevens målsmän, ansvarig ämneslärare, klassföreståndare (mentor) och skolledaren (rektor). Uppgifterna i edwise uppges vara lagrade i ett externt moln 5 tillhandahållet av plattformsleverantören. Vid granskningstillfället uppges molnet rent fysiskt vara placerat i Sverige. Vidare framkommer att kommunen i sina styrdokument för informationssäkerhet inte redovisar hur man ska förhålla sig till data som hanteras och lagras i externa moln. Kommentar Det återstår ännu ett digert planarbete för att täcka de prioriterade systemen med uppdaterade planer. Innan ett sådant arbete påbörjas (för att aldrig avslutas) bör man överväga två saker. Skall man fortsätta på den inslagen väg och upprätta systemsäkerhetsplaner enligt BITS/BITSPlus (en äldre och nyare variant av gamla Krisberedskapsmyndighetens metodstöd för införande och upprätthållande av informationssäkerhet) eller skall man införa ett ledningssystem för informationssäkerhet (LIS 6 ). Vi håller med MSB när de säger att Redan vidtagna åtgärder enligt BITS kan i de flesta fall användas som en viktig utgångspunkt i det vidare arbetet, exempelvis utformning av skydd för specifika informationssystem och tidigare inventering av kritiska informationstillgångar. Många gånger finns också styrande dokument framtagna enligt BITS-konceptet som ex. informationssäkerhetspolicy. Det kan då vara bra att utgå från dessa dokument och se om det 5 Datormoln, även kallat molnet, är en teknik baserad på användning av datorer över Internet. Det är en teknik där stora skalbara resurser, exempelvis processorkraft, lagring och funktioner, tillhandahålls som tjänster till användare som inte behöver ha den tekniska kunskapen eller kontrollen över infrastrukturen. 6 LIS bygger på rekommendationer i ett antal internationella standarder på informationssäkerhetsområdet och konkret stöd för användande finns på 7

11 finns behov av uppdatering. Med andra ord det är inte formen och metoden som nyckeln till framgång det är det faktiska arbetet och efterlevnaden som ger resultatet. Innan det görs val i vilken form arbetet skall genomföras så rekommenderar vi att det genomförs en grundlig översyn av dokumentet Prioritering av informationssystem. Det är en fullständig och riktig dokumenterad samt beslutad prioritering som styr att informationssäkerhetsåtgärderna kommer i väsentlighetsordning. Vi ser gärna att det finns hänvisningar till fler reservrutiner i dokumentet än de som förtecknas i senaste upplagan. Vid intervjuerna kunde sådana uppvisas. De omfattar dock endast de basala delarna och är enligt uppgift aldrig testade. Vad gäller grundsäkerhetskraven i driftgodkännandet så förstår vi av intervjuerna att det finns krav t ex för loggningen som enligt uppgift efterlevs i och med att de kontrolleras. Vi ser i detta beteende än en gång bristen på förståelse för att driftgodkännande och andra informationssäkerhetsdokument inte är sidoordnade företeelser i verksamheten. Kommunen saknar vid granskningstillfället styrmedel som beskriver hur system- och/eller informationsägarna över tid skall säkerställa åtkomst till fullständig och riktig data i moln oberoende var dessa har sin fysiska placering. Av styrmedlen skall det även framgå hur kommunen kontrollerar att leverantörerna efterlever kommunens krav på informationssäkerhet. Notera i sammanhanget att den som anlitar en molnleverantör fortfarande och alltid är ansvarig för att personuppgifter hanteras korrekt enligt personuppgiftslagen. Kontrollerna skall därför omfatta åtgärder som säkerställer att personuppgiftsansvarig i kommunen (respektive nämnd) tar och utövar ansvaret för att lagar efterlevs. Även andra externa regler kan nämligen bli aktuella att förhålla sig till. Myndighetsspecifika registerförfattningar samt offentlighets- och sekretesslagen är de som Datainspektionen först nämner på sina internetsidor. 6.5 Är personer med ansvarsroller för IT-säkerheten medvetna om detta samt har erforderlig kunskap och utbildning för sitt uppdrag? Vi bedömer att flertalet personer med ansvarsroller är medvetna om att de även har ett ansvar för informationssäkerheten. Ansvariga har däremot inte getts möjlighet att skaffa sig, utveckla och över tid underhålla nödvändig kunskap om informationssäkerhet. Kombinationen innebär att insikten om vilken betydelse informationssäkerheten har i den dagliga verksamheten blir både svag och otydlig. Representanter för IT-avdelningen uppvisar inga problem med att förstå sitt ansvar när det gäller IT-säkerhetsfrågor. Utan att ha granskat det särskilt bedömer vi att IT-avdelningens medarbetare även de har ett behov av att förkovra sig. En lika snabb som ständigt förändrad miljö förutsätter kunniga medarbetare för att lösa säkerhetsuppgifterna och vara kommunens specialister på IT-säkerhet. Kommentar skunskap är en av många delar när ansvariga kontinuerligt vidareutvecklar och vidareutbildar sig. Använd inte spjutspetspersonal till rutinarbeten som skall och kan skötas av verksamhetsnära personal. Se hela tiden till att specialisten likväl som användaren förblir skicklig och ändamålsenlig genom att budgetera medel för utbildning och utveckling. 6.6 Finns det beviljade ansökningar om behörighet till kommunens nätverk för alla registrerade användare (AD)? Man tillämpar ett ansökningsförfarande för att få tillgång till IT-utrustning i. Alla som har en anställning i kommunen och använder en tillhandahållen dator eller motsvarande ska i 8

12 ett särskilt användaravtal skriftligen försäkra arbetsgivaren att man kommer att efterleva de regler som redovisas i dokumentet Säkerhetsinstruktion Användare. Därav noteras inga särskilda iakttagelser för detta avsnitt i granskningen. Genom att jämföra aktiva (har en anställning vid granskningstillfället) användare i kommunens katalogtjänster (Active Directory och edirectory) med personer registrerade som användare av Procapita Vård och Omsorg skapades ett underlag för att granska om användarna av Procapita Vård och Omsorg hade giltiga användaravtal och fanns registrerade i en katalogtjänst. För en detaljgranskning valde vi sedan ut användare vars namn inte enkelt kunde jämföras finnas i de båda datamängderna. Följande kunder noteras: En chef hade missat skriva användaravtal för en person. Ytterligare en chef hade missat att meddela att en person avslutat sin anställning. Det övervägande antalet fanns i båda datamängderna och hade alla giltiga avtal. Förvånansvärt många var registrerade med avvikande namn i de bägge datamängderna trots att de var en och samma person. Största anledningen verkar vara att man inte konsekvent i alla kommunens system registrerar anställda med personnummer och/eller fullständigt namn enligt Skatteverkets folkbokföring. Stavfel och efternamnsändringar vid ändrat civilstånd verkar inte heller vara en anledning till registervårdande åtgärder. Vi noterar även att det förekommer en relativt stor mängd funktionsbehörigheter (fler än en person kan dela på en behörighet) i AD. Alla uppges efter kontroll ha tecknat avtal för behörigheten. Vi noterar att det finns fiktiva personer i AD vilka används för tester av skilda slag. Alla uppges efter kontroll ha tecknat avtal för behörigheten. I samband med denna substansgranskning bad vi även att få en kopia på innehållet i utdelade mappar (lagringsvolymer öppna för alla anställda på en server) för att undersöka om det fanns dokument innehållande personuppgifter relaterade till något av systemen socialtjänsten använder. Vi fann efter att ha indexerat erhållet innehåll inga personuppgifter. 9

13

14 Bilaga Erhållen dokumentation i bokstavsordning Användare i Procapita mellan Checklista för olika typer av hot vid sårbarhetsanalys Driftgodkännande för förvaltningsdatanätet Driftgodkännande för lönesystemet Driftgodkännande för Procapita IFO Driftgodkännande för Procapita Vård och omsorg Driftgodkännande för Utbildningssdatanätet Incidenthantering, Processbeskrivning spolicy MALL Användaravtal Modell för skyddsklassning av information Prioritering av informationssystem Sammanställning av scenarier från SBA-analys, IFO Sammanställning av scenarier från SBA-analys, lönesystemet Sammanställning av scenarier från SBA-analys, Vård o Omsorg Systemsäkerhetsplan för förvaltningsdatanätet Systemsäkerhetsplan för lönesystemet Systemsäkerhetsplan för Procapita Individ och Familjeomsorg Systemsäkerhetsplan för Procapita Vård och Omsorg Systemsäkerhetsplan för utbildningsdatanätet Säkerhetsinstruktion Användare Säkerhetsinstruktion Förvaltning Tjänstekomponent_Support Utdrag ur databas för användare i AD Utdrag ur databas för användare i edirectory 1

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr:0036/13 Kommunalförbundet ITSAM, Storgatan 36A, 590 36

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

1 (7) Arbetsgången enligt BITS-konceptet

1 (7) Arbetsgången enligt BITS-konceptet 1 (7) Arbetsgången enligt BITS-konceptet 2 (7) Innehållsförteckning ALLMÄNT OM BITS-KONCEPTET... 3 CENTRALA BEGREPP... 3 BITS-KONCEPTETS PRODUKTER... 3 KOPPLING TILL ISO 27000... 4 ARBETSGÅNG ENLIGT BITS-KONCEPTET...

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium Revisorerna 1 (1) Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden För kännedom: Kommunfullmäktiges presidium Revisionsrapport: Revisorerna har uppdragit till

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Granskning av IT-säkerhet

Granskning av IT-säkerhet TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

2009-05-04. Informationssäkerhetspolicy

2009-05-04. Informationssäkerhetspolicy 2009-05-04 Informationssäkerhetspolicy 2 1 POLICYNS ROLL I INFORMATIONSSÄKERHETSARBETET... 3 2 ALLMÄNT OM INFORMATIONSSÄKERHET... 3 3 MÅL... 4 4 ORGANISATION, ROLLER OCH ANSVAR... 4 4.1 ÖVERGRIPANDE ANSVAR...5

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket 15-12-07 1/6 Tillämpningsområde 1 Denna författning innehåller bestämmelser om myndigheternas arbete med informationssäkerhet och deras tillämpning av standarder i sådant arbete. 2 Författningen gäller

Läs mer

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet.

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet. 2012-08-27 Sidan 1 av 6 IT-säkerhetspolicy Dokumentnamn Dokumenttyp Fastställd/upprättad Diarie nummer Fastställd av IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige Dokumentansvarig/ processägare

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

Revisionsrapport: Förebyggande arbete mot mutor och jäv

Revisionsrapport: Förebyggande arbete mot mutor och jäv Revisorerna 2014-11-19 1 (1) Styrelsen i Ånge Fastighets- & Industri AB Kommunstyrelsen För kännedom: Kommunfullmäktiges presidium Revisionsrapport: Förebyggande arbete mot mutor och jäv KPMG har på uppdrag

Läs mer

RIKTLINJER FÖR IT-SÄKERHET

RIKTLINJER FÖR IT-SÄKERHET FÖRFATTNINGSSAMLING (8.1.3) RIKTLINJER FÖR IT-SÄKERHET Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056

Läs mer

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll Revisionsrapport KPMG AB Antal sidor: 9 Innehåll 1. Sammanfattning och kommentarer/rekommendationer 1 2. Uppdrag 2

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 750-2011 Landstingsstyrelsen Landstinget Blekinge 371 81 Karlskrona Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut

Läs mer

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar Handläggare: Christina Hegefjärd 1 (1) PAN 2015-12-01 P 6 TJÄNSTEUTLÅTANDE 2015-12-01 PaN A1510-0031257 PaN A1510-0031157 PaN A1510-0031057 Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer

Läs mer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Reglemente för internkontroll

Reglemente för internkontroll Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Söderhamns kommun. Granskning av IT-säkerhet. Revisionsrapport. KPMG Bohlins AB 11 oktober 2006 Antal sidor: 9

Söderhamns kommun. Granskning av IT-säkerhet. Revisionsrapport. KPMG Bohlins AB 11 oktober 2006 Antal sidor: 9 KPMG Bohlins AB 11 oktober 2006 Antal sidor: 9 2006 KPMG Bohlins AB, the Swedish member firm of KPMG International, a Swiss cooperative. All rights reserved. Innehåll 1. Sammanfattning 1 2. Bakgrund 2

Läs mer

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem Karin Norrman Elgh Översiktlig revisionsrapport Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem Vara kommun Anställningar och avslut i lönesystemet

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

IT-verksamheten, organisation och styrning

IT-verksamheten, organisation och styrning IT-verksamheten, organisation och styrning KPMG Örebro 27 februari 2007 Antal sidor 12 Innehåll 1. Inledning 1 2. Syfte 1 3. Metod 1 4. Sammanfattning 2 5. IT-verksamhet, organisation och ansvar 3 5.1.1

Läs mer

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun Dokumenttyp Regler Dokumentägare Kommungemensam IT-samordning Dokumentnamn roller för ägande av information

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006

Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006 1(6) Styrelsen för konsult- och service Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006 1. Syftet med den interna kontrollen Intern kontroll

Läs mer

Granskning av landstingets hantering av personuppgifter

Granskning av landstingets hantering av personuppgifter Granskning av landstingets hantering av personuppgifter Rapport nr 25/2012 Februari 2013 Susanne Hellqvist, revisor, revisionskontoret Innehåll 1. SAMMANFATTNING... 3 1.1 REKOMMENDATIONER... 4 2. BAKGRUND...

Läs mer

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören Version: 1 Beslutsinstans: Regiondirektören 2(10) ÄNDRINGSFÖRTECKNING Version Datum Ändring Beslutat av 1. 2016-06-30 Nyutgåva Regiondirektören 3(10) INNEHÅLLSFÖRTECKNING 1 INLEDNING...4 2 ANSVAR FÖR INFORMATIONSSÄKERHET...4

Läs mer

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun Datum Dnr Dpl 2009-09-10 2009/KS0203-1 005 Riktlinjer för IT i Lilla Edets kommun 1. Introduktion Det politiskt styrande dokumentet för IT-användning i Lilla Edets kommun är denna riktlinje, som fastställs

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde Högskoledirektör Beslut 2015-03-01 Dnr Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde Härmed fastställs reviderad version av informationssäkerhetspolicyn vid Högskolan i Skövde.

Läs mer

1 (5) Informationssäkerhetspolicy 2008-10-21. Informationssäkerhetspolicy. Ver 3.0

1 (5) Informationssäkerhetspolicy 2008-10-21. Informationssäkerhetspolicy. Ver 3.0 Informationssäkerhetspolicy 1 (5) 2008-10-21 Informationssäkerhetspolicy Ver 3.0 2 (5) 1 POLICYNS ROLL I INFORMATIONSSÄKERHETSARBETET... 3 2 ALLMÄNT OM INFORMATIONSSÄKERHET... 3 3 MÅL... 4 4 ORGANISATION,

Läs mer

Reglemente för intern kontroll

Reglemente för intern kontroll Reglemente för intern kontroll Strategi Plan/program Riktlinje Regler och instruktioner Fastställt av: Kommunfullmäktige Datum: 2014-06-17 För revidering av reglementet ansvarar: Kommunfullmäktige För

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

Informationssäkerhet i. Torsby kommun

Informationssäkerhet i. Torsby kommun 2008-09-15 Informationssäkerhet i Torsby kommun Säkerhetsplan 20080915 IT-avdelningen Besöksadress Nya Torget 8, Torsby Torsby kommun 20. IT-avdelningen 685 80 Torsby 0560-160 97 0560-160 25 fax it@torsby.se

Läs mer

Informations- och IT-säkerhet i kommunal verksamhet

Informations- och IT-säkerhet i kommunal verksamhet Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion.

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion. SKRIVELSE 2016-06-07 Kommunrevisionen Till Kommunstyrelsen Till Kommunfullmäktige, för kännedom Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion. Vi har genomfört en

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Revisionsrapport: Granskning av IT-säkerhetspolicy. Revisionen har genom KPMG genomfört en granskning av IT-säkerhetspolicy.

Revisionsrapport: Granskning av IT-säkerhetspolicy. Revisionen har genom KPMG genomfört en granskning av IT-säkerhetspolicy. Revisorerna Direktionen Revisionsrapport: Revisionen har genom KPMG genomfört en granskning av IT-säkerhetspolicy. Revisionen önskar att direktionen lämnar synpunkter på de slutsatser som finns redovisade

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 1 (5) Förutsättningar för gallring efter skanning För att myndighet ska få gallra pappershandlingar efter skanning fordras det myndighetsspecifika

Läs mer

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Plan för informationssäkerhet vid Högskolan Dalarna 2015 Plan för informationssäkerhet vid Högskolan Dalarna 2015 Beslut: 2015-05-04 Reviderad: Dnr: DUC 2015/769/10 Ersätter: Relaterade dokument: Policy för informationssäkerhet Ansvarig: Förvaltningschef Innehållsförteckning

Läs mer

Systematiskt arbetsmiljöarbete

Systematiskt arbetsmiljöarbete Sidan 1 av 21 Lednings- och verksamhetsstöd Datum Sid 2016-03-10 Dnr 1 (1) Kommunstyrelsen Systematiskt arbetsmiljöarbete I syfte att förbättra och förtydliga det systematiska arbetsmiljöarbetet i Östhammars

Läs mer

Ånge Fastighets och Industri AB Kommunstyrelsen. För kännedom: Kommunfullmäktiges presidium. Revisionsrapport: Granskning av bisysslor

Ånge Fastighets och Industri AB Kommunstyrelsen. För kännedom: Kommunfullmäktiges presidium. Revisionsrapport: Granskning av bisysslor Revisorerna 1 (1) Ånge Fastighets och Industri AB Kommunstyrelsen För kännedom: Kommunfullmäktiges presidium Revisionsrapport: Revisorerna har uppdragit till KPMG att genomföra en granskning av bisysslor,

Läs mer

Granskning intern kontroll

Granskning intern kontroll Revisionsrapport Granskning intern kontroll Kinda kommun Karin Jäderbrink Cert. kommunal revisor Innehållsförteckning 1 Sammanfattande bedömning 1 2 Bakgrund 2 2.1 Uppdrag och revisionsfråga 2 2.2 Avgränsning

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts

Läs mer

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50 Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50 TK 318 2015-09-02 Jan-Olof Andersson Bearbetat underlag från: Lars Söderlund/Rose-Mharie Åhlfeldt 2015-09-07 1 TR-50 Teknisk rapport

Läs mer

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

REGLEMENTE INTERN KONTROLL

REGLEMENTE INTERN KONTROLL REGLEMENTE INTERN KONTROLL Dokumentbeskrivningar Policy En policy ska ange viljeinriktningen för ett specifikt område. Den ska vara vägledande för beslut och styrning. En policy som är av principiell beskaffenhet

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Beslut Dnr 2006-12-12 1896-2005 Landstingsstyrelsen Landstinget i Värmland 651 82 Karlstad (er beteckning LK/052693) Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Datainspektionens rapport 2010:2

Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Datainspektionens rapport 2010:2 Intern åtkomst till känsliga personuppgifter hos försäkringsbolag Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Pris 53 kr, inklusive moms. Tryckt hos Intellecta infolog i Solna, oktober

Läs mer

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhetspolicy för Vetlanda kommun 1 (10) Informationssäkerhetspolicy för Vetlanda kommun Dokumenttyp: Policy Beslutad av: Kommunfullmäktige (2015-12-16 202) Gäller för: Alla kommunens verksamheter Giltig fr.o.m.: 2015-12-16 Dokumentansvarig:

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Avesta kommun. Bisysslor Uppföljning av revisionsgranskning

Avesta kommun. Bisysslor Uppföljning av revisionsgranskning Uppföljning av revisionsgranskning Offentlig sektor KPMG AB Antal sidor: 6 Antal bilagor: X Innehåll 1. Sammanfattning 1 2. Bakgrund 1 3. Syfte 1 4. Avgränsning 2 5. Ansvarig styrelse 2 6. Metod 2 7. Projektorganisation

Läs mer

Informationssäkerhet - Instruktion för förvaltning

Informationssäkerhet - Instruktion för förvaltning Informationssäkerhet - Instruktion för förvaltning Innehållsförteckning 1. INFORMATIONSSÄKERHET...3 2. ORGANISATION OCH ANSVAR INFORMATIONSSÄKERHET...4 2.1 KOMMUNSTYRELSEN... 4 2.2 NÄMND OCH BOLAG... 4

Läs mer

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete s revisorer Kommunstyrelsen För kännedom: Kommunfullmäktiges presidium Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete Revisionen har via KPMG genomfört en granskning

Läs mer

Universitetet och Datainspektionen i Molnet

Universitetet och Datainspektionen i Molnet 15 och 16 april 2015 Universitetet och Datainspektionen i Molnet reflektioner över en gryende praxis Göteborgs universitet Definition från Wikipedia Datormoln molntjänster - är IT-tjänster som tillhandahålls

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal DNR 13-125/2325 SID 1 (9) Bilaga 9 Personuppgiftsbiträdesavtal Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm DNR 13-125/2325 SID 2 (9) INNEHÅLLSFÖRTECKNING

Läs mer

Reglemente för intern kontroll med tillämpningsanvisningar

Reglemente för intern kontroll med tillämpningsanvisningar Reglemente för intern kontroll med tillämpningsanvisningar Antagen av kommunfullmäktige 2005-04-25 53 VIMMERBY KOMMUN REGLEMENTE FÖR INTERN KONTROLL Antaget av kommunfullmäktige 2005-04-25, 53. Syfte

Läs mer

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök Göteborgs universitet 2007-06-26 Intern miljörevision Exempel på frågor vid platsbesök Nedan finns exempel på frågor som kan ställas vid platsbesök inom den interna miljörevisionen. Ytterligare följdfrågor

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 756-2011 Socialnämnden Sundsvalls kommun 851 85 Sundsvall Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Hofors kommun. Informationssäkerhet Revisionsrapport. KPMG AB 19 mars 2014 Antal sidor: 11 Bilagor: 3

Hofors kommun. Informationssäkerhet Revisionsrapport. KPMG AB 19 mars 2014 Antal sidor: 11 Bilagor: 3 Informationssäkerhet Revisionsrapport KPMG AB 19 mars 2014 Antal sidor: 11 Bilagor: 3 Innehåll 1. Sammanfattning 1 2. Bakgrund 2 2.1 Allmänt 2 2.2 Risk och väsentlighet 2 2.3 Informationssäkerhet 2 3.

Läs mer

Kommunstyrelsen. För kännedom: Kommunfullmäktiges presidium. Revisionsrapport: Redovisning av materiella anläggningstillgångar

Kommunstyrelsen. För kännedom: Kommunfullmäktiges presidium. Revisionsrapport: Redovisning av materiella anläggningstillgångar Revisorerna 1 (1) Kommunstyrelsen För kännedom: Kommunfullmäktiges presidium Revisionsrapport: Redovisning av materiella anläggningstillgångar Revisorerna har uppdragit till KPMG att genomföra en granskning

Läs mer

Lösenordsregelverk för Karolinska Institutet

Lösenordsregelverk för Karolinska Institutet Lösenordsregelverk för Karolinska Institutet Dnr 1-213/2015 Version 2.0 Gäller från och med 2015-05-18 Sida 2 av 7 Lösenordsregelverk för Karolinska Institutet - Sammanfattning Syfte Det övergripande syftet

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 749-2011 Capio S:t Görans Sjukhus 112 81 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut Datainspektionen

Läs mer