Översiktlig granskning av IT-säkerheten

Storlek: px
Starta visningen från sidan:

Download "Översiktlig granskning av IT-säkerheten"

Transkript

1 Revisionsrapport Översiktlig granskning av IT-säkerheten Östhammars kommun April 2009 Göran Persson Lingman 1

2 Innehållsförteckning 1. Inledning Bakgrund Syfte Metod Avgränsning Hantering av information Granskningsresultat Finns aktuella styrande och stödjande dokument som berör IT-säkerhet och är dessa införda inom nämnderna? Finns tydligt ansvar för att arbeta aktivt med frågor som berör IT-säkerhet? Finns ett tillräckligt skydd kring rum som används för datordrift (förhindra störningar, avbrott, obehörigt tillträde och stöld)? Har kommunen tillfredsställande rutiner för säkerhetskopiering? Har användaren tillräcklig kunskap om hot och risker för IT-säkerheten? Finns tillfredsställande rutiner för hantering av behörighet och lösen till gemensamt nätverk? Finns det en avbrottsplan för att säkerställa att funktioner kan återställas inom erforderlig tid? Finns tillfredsställande skydd mot virus och andra oönskade program? Sammanfattande bedömning Bilaga 1 Checklista fysiskt skydd 2

3 1. Inledning 1.1 Bakgrund Med begreppet IT menas informationsteknik som innefattar teknik för elektronisk framställning, lagring, överföring och presentation av information. Tekniken kan bestå av hårdvara, nät, kommunikation och programvaror av olika slag. Med vår definition av IT-säkerhet menas här alla olika åtgärder som används för att skydda och säkerställa åtkomsten av information samt att interna och externa regelverk följs. Betydelsen av IT ökar allt mer inom kommunens olika verksamhetsområden och förändringar sker kontinuerligt. Kommunen hanterar många känsliga uppgifter. Brister i säkerheten kan ge stora konsekvenser för såväl kommunen som för enskilda personer. 1.2 Syfte Granskningen syftar till att översiktligt granska kommunens IT-säkerhet. I granskningen ingår att utföra kontroller inom följande områden: Finns aktuella styrande och stödjande dokument som berör IT-säkerhet. Finns tydligt ansvar för att arbeta aktivt med IT-säkerhetsfrågor. Finns ett tillräckligt skydd kring rum som används för datordrift. Finns tillfredställande rutiner kring säkerhetskopiering. Har användarna kännedom kring frågor som berör IT-säkerhet. Finns tillfredställande rutiner för hantering av behörighet till gemensamt nätverk. Finns avbrottsplan. Finns tillräckligt skydd mot virus. 3

4 1.3 Metod Vi har intervjuat ansvariga tjänstemän vid IT-enheten ställt frågor och fått svar från IT-kontaktpersoner (3 st) via formulär gjort en genomgång av framtagna dokument som berör IT-säkerhet ställt frågor till ett urval av användare via ett webbaserat frågeformulär (309 användare besvarade formuläret) utfört en fysisk besiktning av centralt datorrum gjort kontinuerliga avstämningar med ansvariga kring iakttagelser och bedömningar 1.4 Avgränsning Granskningen omfattar de i rapporten redovisade kontrollmålen. I granskningen kontrolleras ett flertal områden översiktligt. Granskningsobjektet är i första hand kommunstyrelsen som har det övergripande ansvaret för IT inom kommunen. Dock berörs till vissa delar kommunens samtliga nämnder inom kommunen då de har ett ansvar för säkerheten inom nämndens område. Granskningen har inte berört säkerheten i separata system (t ex att systemen loggar olika händelser eller att anställda har rätt behörigheter till systemens olika uppgifter, t ex får ändra, får läsa, eller att systemens egna kontrollfunktioner är korrekta). 2. Hantering av information I kommunens centrala serverrum hanteras viktig och känslig information såsom: information inom familjeomsorg, äldreomsorg, skola och barnomsorg löne- och redovisningsinformation internet (hemsidor), intranet och mailsystem. Windows och Office körs i huvudsak på alla datorer inom administrationen. Lagring av egna upprättade dokument ska enligt anvisningar ske på centrala servrar (d v s dokument som användare arbetar med t ex ord och text, kalkyler och presentationer). Ansvaret för IT inom utbildningsområdet har under 2008 flyttas till IT-kontoret. Vi har under granskningen noterat att kommunen har serverrum där elever och lärare kan spara personliga dokument. Ett arbete med att flytta alla servrar till ett begränsat antal utrymmen pågår. 4

5 3. Granskningsresultat Nedan följer de olika kontrollmoment vi genomfört i samband med granskningen. Vi har ställt upp kontroller som ett antal frågeställningar. Därefter redovisas våra iakttagelser från granskningen, vår bedömning, kommentarer och eventuellt förslag till förbättringar. Iakttagelser kan vara både positiva och negativa. Vanligen skrivs kommentarer då vi upptäckt brister och ser ett förbättringsbehov. Nedan visas frågeställningarna i granskningen. En sammanfattande bedömning ges i avsnitt Finns aktuella styrande och stödjande dokument som berör ITsäkerhet och är dessa införda inom nämnderna? Iakttagelser: Vi har tagit del av följande generella dokument som finns inom kommunen. IT-policy (Beslutad av kommunfullmäktige 2002). IT-strategi (Beslutat av kommunfullmäktige 2002). I dokumentet behandlas även ITsäkerhetsrelaterade frågor och ansvar. I dokumentet anges bl a att reglerna för tillämpning av kvalitetskraven inom IT-säkerhet ska finnas samlade i kommunens Säkerhetsplan. Säkerhetsplanen finns dock inte framtagen. IT-säkerhet för användare (Upprättat av IT-kontoret 2005). Dokumentet beskriver kortfattat användares ansvar för några IT-relaterade frågor t ex hantering av lösenord, internetanvändning och rapportering av incidenter. Kom igång med din dator Dokumentet beskriver områden som berör användare. I dokumentet anges även frågor kring IT-säkerhet (säkerhet vid inloggning,virus, sekretess,säkerhet och juridiska frågor kring e-postanvändning, säkerhet på Internet, låsa datorn och lösenord). Vi har frågat användare om de tagit del av dokument kring IT-säkerhet samt om det är tydligt var de återfinner gällande dokument. Svaren varierar men flera användare är osäkra på vilka dokument som finns och var dessa återfinns. 5

6 Grafen nedan visar svarsfördelningen på fråga om användare tagit del av dokument som berör IT-säkerhet. (309 svar) Vet ej om jag tagit del av några dokument 2.Jag har inte tagit del av några dokument som berör IT och/eller informationssäkerhet 3.Jag har tagit del av dokument kring IT och/eller informationssäkerhet Grafen nedan visar svar på frågor till användare om de vet var de återfinner dokument som rör IT-säkerhet. Jag har tagit del av dokument som berör IT-säkerhet (informationssäkerhet) inom kommunen och/eller min förvaltning. (T ex olika anvisningar kring vad som är viktigt at tänka på som användare. Vem som ansvarar för vad etc.) % -80% -60% -40% -20% 0% 20% 40% 60% 80% 100% Värden till vänster om nollvärdet visar svar med inte alls och delvis. Värden till höger visar svaren i huvudsak och helt. Inte alls eller delvis visas med negativa tal. Flera av de kommentarer vi fått anger att det är otydligt var dokument återfinns. 6

7 Ett arbete med att förbättra styrande dokument och riktlinjer i kommunen har initierats. Arbetet kommer att bygga på BITS 1 från Myndigheten för samhällsskydd och beredskap (tidigare krisberedskapsmyndigheten). Detta innebär att de generella dokument kring IT-säkerheten som finns kommer att ses över och förbättras. I arbetet ingår även att genomföra säkerhetsanalyser kring viktiga system. Arbetet med BITS är planerat att påbörjas under De generella dokument som finns är i huvudsak aktuella och finns inlagda på kommunens intranet. Kommentarer och rekommendationer: Vår bedömning är att resultatet kring kontrollområdet är otillfredställande. Inom kommunen finns upprättade dokument som berör IT-säkerhetsområdet. Dock finns ett förbättringsbehov. T ex saknas den säkerhetsplan som anges i IT-strategin. Vidare är vår bedömning att de dokument som finns inte är tillräckligt kommunicerade. Därmed finns risker att dokumenten inte fyller sina syften. Det är här viktigt att se över hur olika dokument ska kommuniceras till ansvariga och användare. Utgångspunkten bör vara att rätt information når rätt målgrupp och givetvis att den är aktuell. Vi konstaterar att det har initierats ett arbete med att förbättra kommunens styrande dokument och riktlinjer i enlighet med BITS. I anslutning till detta vill vi peka på vikten att det inom styrelser och nämnder genomförs systemsäkerhetsanalyser för verksamhetskritiska system inom kommunen enligt de intentioner som finns i BITS. 3.2 Finns tydligt ansvar för att arbeta aktivt med frågor som berör ITsäkerhet? Iakttagelser: I kommunens IT-strategi beskrivs olika roller kring IT. IT-gruppen har till uppgift att behandla frågor av strategisk karaktär. IT-gruppen fastställer och beslutar om förändringar av Riktlinjerna inom IT. IT-gruppen består av kommunchefen, IT-chefen samt förvaltningscheferna för Barn- och Utbildningsförvaltningen, Tekniska kontoret, Socialförvaltningen och Ekonomikontoret. 1 Basnivå för IT-Säkerhet 7

8 IT-kontoret har två roller. Den ena är att vara kommunstyrelsens förlängda arm avseende regler och standarder inom IT. Den andra är att vara ett serviceorgan för verksamheterna. I sin roll som kommunstyrelsens förlängda arm ansvarar IT-kontoret bl a för framtagande av IT-strategi och riktlinjer inom IT, allt teknikval i hela infrastrukturen och samordning av arbetet med IT-säkerhet. IT-kontoret verkställer även inköp av utrustning och fungerar som allmän rådgivare till verksamheterna inom IT-området. Systemägare och systemansvariga finns utsedda för de flesta av nämndernas viktigaste system. Vid intervjuer framkommer ett behov av att tydliggöra det ansvar som finns i systemägarerollen på ett mer detaljerat sätt. Kontaktpersonerna inom IT på övriga förvaltningar fungerar som lokalt användarstöd och länk mellan användarna och IT-kontoret. Stödet till användarna inom respektive förvaltning omfattar bl a hjälp till nya användare att komma igång och en första analys av eventuella problem med arbetsplatsutrustning. Ansvariga vid IT-kontoret ser ett behov av att se över hur rollen som kontaktperson kan förbättras i syfte att bättre samverka med IT-kontoret och systemansvariga för att stödja verksamheterna. Förvaltningschefen har enligt IT-strategin ett ansvar för IT-säkerheten inom respektive verksamhet. Detta innebär bl a ansvar för att varje användare får information om och utbildning i det IT-säkerhetsansvar som befattningen medför, både vid nyanställning och fortlöpande. Systemägaren har även ett ansvar för informationsklassning och skyddsåtgärder (IT-säkerhetslösningar). Samordning av IT-säkerhetsarbetet ska enligt IT-strategin ske av IT-kontoret. ITkontoret har också ansvaret att initiera översyn av IT-säkerheten för alla förvaltningar. IT-kontoret har tekniskt ansvar för valda IT-säkerhetslösningar. Kommunens centrala IT-enhet ansvarar för den centrala IT-säkerhetsfunktionen vilket innebär ansvar för samordning av frågor angående förvaltningarnas IT-säkerhet samt övergripande uppföljning. En ny roll som säkerhetsansvarig har skapats under Ansvariga vid ITkontoret upplever inte att rollen är tillräckligt tydliggjord men detta är ett arbete som påbörjats. Varje användare har ansvar för att i sitt dagliga arbete följa aktuella riktlinjer och instruktioner för IT-säkerhet. En helpdesk finns dit användare kan vända sig för hjälp och meddela olika typer av incidenter. Ett arbete pågår kontinuerligt med att förbättra processer i anslutning till helpdesk. 8

9 Kommunen använder sig inte av formaliserade överenskommelser mellan nämnderna och IT-kontoret, t ex krav på prioriteringar och servicenivåer på olika leveranser från IT-kontoret. Det finns inte någon gemensam systemförvaltningsmodell vilket innebär att systemförvaltningen sker på olika sätt kring kommunens kritiska system. Under 2008 har IT-kontoret påbörjat ett arbete med att konsolidera den IT-drift som tidigare fanns inom utbildningsförvaltningen. Enkäten till användare Frågor kring tydlighet avseende ansvar ställdes till användare. De flesta som besvarade vårt formulär angav att ansvaret kring IT-frågor är tydligt. Dock har flera användare svarat att det finns en otydlighet t ex vart man vänder sig i olika frågor. Många lärare är osäkra på vilka som ansvarar för vad. (39 lärare svarar delvis eller inte alls på fråga kring ansvar kring säkerhet) Det är tydligt vem/vilka som ansvarar för olika IT-säkerhetsfrågor inom kommunen/och eller min förvaltning % -80% -60% -40% -20% 0% 20% 40% 60% 80% 100% Det är tydligt vem som ansvarar för IT-säkerheten/informationssäkerheten i det IT-system som jag i huvudsak använder % -80% -60% -40% -20% 0% 20% 40% 60% 80% 100% 9

10 Kommentarer och rekommendationer: Vi konstaterar att ansvar och uppgifter inom olika roller tydliggörs i aktuella dokument. Dock är vår bedömning att roller och ansvar inte är tillräckligt tydliggjorda inom kommunen. Vår bedömning är att rollen som IT-säkerhetsansvarig inte är tillräckligt tydliggjord. T ex kring organisatorisk placering, befogenheter och hur arbetet ska bedrivas avseende information och uppföljning mot verksamheterna. Vi vill även här peka på vikten av att det inom verksamheterna (styrelse och nämnder) genomförs systemsäkerhetsanalyser. Säkerhetsanalyser förbättrar säkerheten samtidigt som ansvaret mellan verksamheten och IT-enheten tydliggörs. Vi konstaterar dock att det pågår ett förbättringsarbete kring att tydliggöra roller och ansvar t ex via det arbete som initierats kring BITS. 3.3 Finns ett tillräckligt skydd kring rum som används för datordrift (förhindra störningar, avbrott, obehörigt tillträde och stöld)? Iakttagelser: I vår granskning har vi även genomfört ett flertal kontroller. I huvudsak har de flesta kontroller varit positiva men vissa förbättringsområden har uppmärksammats. Kontroller som utfördes visas i bilaga 1. En besiktning av datorhallen har genomförts av räddningstjänsten Serverrummet har motståndskraftiga väggar och dörrar (obehörigt tillträde, brand). I serverrummet finns galler för fönster. Det finns temperaturlarm och datahallsgolv. Serverrummet har ett lås som bara IT-kontoret har nycklar till samt larmsystem med koder för att avaktivera. Endast IT-personal har tillträde till datorrummet. Behov finns att se över rutiner kring loggning. Olika typer av larm finns installerade (värme, inbrott). UPS 2 finns, automatstartande kraftförsörjning finns dock inte. Normalt har leverantörer aldrig tillgång till datorhallen. Då leverantörer arbetar mot servrar ska enligt uppgifter alltid IT-personal finnas i närheten eller ger tillåtelse för åtkomst. Dokumenterade rutiner över hur leverantörer hanteras inom kommunens saknas. Sekretessförbindelser används inte mot leverantörer. 2 Strömförsörjning som klarar kortare bortfall. Uninterruptable Power Source, eller avbrottsfri kraft. 10

11 Backup sker i en miljö som är fysiskt skiljd från IT-driften. Brandutrustning finns i anslutning till datorhallen. Dock finns inte systemsläckning inne i hallen. Vid utbildningsförvaltningen finns serverhallar där lärare och elever sparar personligt arbetsmaterial. IT-kontoret genomför för närvarande en översyn kring dessa utrymmen t ex om vissa servrar ska flyttas centralt. Kommentarer och rekommendationer: Resultatet är i huvudsak tillfredställande. Vi ser dock ett förbättringsbehov enligt nedan. Strömförsörjningen kring datorhallen bör ses över och förbättras. Skyddet mot brand i datorhallen bör förbättras t ex via utrusning där syret reduceras i händelse av brand. Det är viktigt att det genomförs en översyn kring hur leverantörer hanteras då de ges åtkomst till kommunens system. Regler och rutiner bör därefter tas fram. Inom nämnderna bör det säkerställas att skriftliga sekretessförbindelser används då leverantörer ges åtkomst till känsligt material. Risken för insyn i datorutrymme bör ses över och åtgärdas. Rutiner kring loggar vid tillträde till datorhallen bör ses över. Det är viktigt att den utredning som pågår kring Barn- och utbildningsförvaltningens servrar genomförs enligt de planer som finns. 3.4 Har kommunen tillfredsställande rutiner för säkerhetskopiering? Iakttagelser: Backuper tas dagligen idag via bandrobot där flera band cirkulerar (40 band). Banden byts ut kontinuerligt. Bandroboten är placerad i utrymme väl avskiljt från serverrummet. En årskopia och månadskopia av backuper lyfts ur och förvaras i brandskyddat skåp. Först läggs filer på en disk och sedan på ett band. Dokumenterade krav från verksamheten avseende krav kring backuper saknas. De rutiner som finns är framtagna av IT-kontoret men i vissa fall i samråd med leverantörer av systemen. 11

12 Elutrustning som säkerställer kontinerlig ström till backuphanteringen är bristfällig. Systematiska kontroller av att rutiner och system går att återställa från backuper sker ej. En översyn pågår kring att förbättra backuphanteringen framförallt kring utbildningsverksamheten. Det förs diskussioner inom kommunen kring en alternativ driftsmiljö. Detta innebär att det kommer att finnas en redundans om en av driftsmiljöerna går ner. Arbetet är planerat att påbörjas Kommentarer och rekommendationer: Vår bedömning är att rutiner avseende backuphanteringen inte är tillräckligt tillfredsställande. Det är viktigt med förbättrade rutiner avseende återläsningskontroller. Tester att system går att återstarta efter eventuell diskkrasch bör ske rutinmässigt och inte bara då oförutsedda händelser inträffar. Ökade och tydliga krav från verksamheten (nämnderna) bör utarbetas. Vi föreslår att det sker en översyn avseende hur länge backuper förvaras (t ex av arkivskäl). De diskussioner som förs kring alternativ driftsmiljö är positiva. Det är viktigt att det görs en översyn enligt de planer som finns. 3.5 Har användaren tillräcklig kunskap om hot och risker för ITsäkerheten? Iakttagelser: Särskilda dokument som berör användare finns framtagna. ( IT-säkerhet för användare och Kom igång med din dator ). Dokumenten finns utlagda på kommunens intranät. Utbildningar för nyanställda genomförs cirka fyra gånger per år. Från IT-kontoret anges att det ibland är ett lågt deltagande. Enligt IT-kontorets bedömning finns många anställda där det har gått lång tid sedan de gick någon gemensam utbildning där säkerhetsrelaterade frågor ingick. En helpdesk finns dit användare kan vända sig för hjälp och meddela olika typer av störningar. Underlag som skapas i helpdesksystemet används i viss utsträckning i proak- 12

13 tivt arbete, t ex i förebyggande utbildningar. Förbättringar kring processer i anslutning till helpdesk förbättras kontinuerligt. Den helpdesk som finns har funnits i två år. Svar från användare Vår huvudsakliga kommentar till tabellen nedan är att den övervägande delen av de svarande har avgett positiva svar (I huvudsak eller helt). Dock utrycker flera användare en osäkerhet kring frågor som kan relateras till kompetens. Se även avsnitt 3.1 kring styrande dokument och riktlinjer där många användare är osäkra på vad som gäller och var dokumenten återfinns. Kommentarer och rekommendationer: Vi konstaterar att det finns ett behov av säkerhetsrelaterad utbildning varför det är viktigt att det inom nämnderna genomförs ökande aktiviteter för att förbättra användarens kompetens inom IT/informationssäkerhetsområdet. Här är det givetvis viktigt att styrelse och nämnder medverkar till att all personal deltar i aktiviteter som bedöms vara generella och obligatoriska. Det är viktigt att det sker ett systematiskt uppföljningsarbete av användares kunskap kring säkerheten. 13

14 3.6 Finns tillfredsställande rutiner för hantering av behörighet och lösen till gemensamt nätverk? Iakttagelser: Rutiner kring då anställda erhåller en behörighet för nyanställning har genomgåtts med ansvariga. Särskild blankett finns för tilldelning. Blanketten måste fyllas i av ansvarig chef. Kontroller sker att rätt användare erhåller sitt Id och lösenord. Även rutiner kring då anställda behöver ett nytt lösenord har genomgåtts. Avseende förnyelse då användare förlorat sitt lösenord uppmärksammar vi ett förbättringsbehov. Dokumentation kring tilldelning av behörigheter och lösenord saknas. Då anställda slutar ska ansvarig chef ange detta på blankett framtagen för ändamålet. Blankett ska tillsändas IT-kontoret där borttag av identiteter sker. Enligt uppgifter finns behov kring att förbättra tillämpningen av rutinen. Om inte ett konto används under en angiven period så spärras möjlighet till åtkomst. Varje dator ska ha en skärmsläckare som låses efter viss tid av inaktivitet. Dock anger flera av de svarande (främst lärare) att de inte har datorer med automatisk skärmsläckare. Alla datorer som kopplas till nätet inköps via IT-kontoret och inkopplas av IT-kontoret. På många av kommunens skrivare finns möjlighet att skydda utskrifter vilket innebär att lösenord krävs för utmatning. Dock uttrycker vissa anställda (främst inom skolan) att det finns problem med att skydda sina utskrifter. IT-personal ska bära handling som ger möjlighet att legitimera sig då de vistas ute i verksamheten. Dock bärs inte identitetshandlingen synlig. Lösenordens längd och uppbyggnad är reglerat. Byte av lösenord krävs genom fastställda automatiska rutiner. Loggning sker kring försök till åtkomst. Uppföljning av loggar sker enligt uppgift regelbundet. Tillförlitligheten kring kommunens brandvägg har diskuterats med ansvariga. Enligt uppgift finns god kontroll kring tillförlitligheten. Inom kommunen är man restrektiva med att anställda arbetar mot kommunens datorer utanför brandväggen. I de fall som detta sker krävs en dosa (RSA) samt en kod i anslutning till dosan. (Detta innebär att för att logga in krävs dels dosa och dels en kod). Rutiner för tilldelning av dosan har genomgåtts med ansvariga. Oberoende tester sker ej. 14

15 Ny personal kallas till introduktionsutbildning efter att de anställs. Deltagande på dessa utbildningar sker inte i önskvärd omfattning. (Det förekommer att de kallade inte kommer). Kommentarer och rekommendationer: Det är viktigt att styrelse och nämnder säkerställer och tydliggör vikten av att ansvariga chefer tillämpar den rutin som finns då anställda slutar. För att säkerställa tillförlitligheten avseende intrångsskydd mot systemen bedömer vi det viktigt att det genomförs oberoende tester mot systemens databaser (intrångstester från insidan och utsidan av kommunens brandvägg). Den översyn som sker kring kommunens brandvägg är positiv. IT-personal bör bära synlig id-handling och i anslutning till detta är det viktigt att det säkerställs att anställda inom kommunen är medvetna om att IT-personal alltid måste legitimera sig innan tillträde ges till datorer. Det är viktigt att det inom nämnderna sker en översyn över var skrivare finns placerade samt rutiner och teknik kring utskrifter. Detta för att förebygga att utskrifter kan nås av obehöriga. Användarnas svar indikerar att problemet är betydande inom utbildningsförvaltningen. En översyn kring status avseende skärmsläckare bör genomföras inom nämnderna. Dvs att skärmsläckare finns och startar med automatik. Granskningsområdet ovan kring behörighet är till delar kunskapsrelaterat. Kommentarer avseende utbildningsbehov är intaget i avsnitt 3.5 Har användaren tillräcklig kunskap om hot och risker för IT-säkerheten? 3.7 Finns det en avbrottsplan för att säkerställa att funktioner kan återställas inom erforderlig tid? Iakttagelser: Olika typer av riskhanteringsanalyser har skett övergripande inom kommunen tillsammans med räddningstjänsten. T ex scenarier kring elavbrott, översvämning och skogsbrand. Katastrofplan och/eller avbrottsplaner och tydliga krav från verksamheterna saknas. Under 2009 kommer ett arbete med stöd av BITS att påbörjas. I samband med detta kommer förbättringar att ske. Vidare är det planerat att skapa ökad säkerhet via två datorhallar för att säkra kontinuiteten kring driften. 15

16 Kommentarer och rekommendationer: Analyser för att identifiera följderna av eventuella katastrofer bör genomföras inom verksamheterna. Detta är ett viktigt förbättringsområde eftersom det vid allvarliga händelser kan ge stor påverkan på verksamheten. En avbrottsplan bör upprättas. Avbrottsplanen bör innehålla en beskrivning av vad som krävs för att starta driften på nytt, prioriteringar samt ansvaret för olika aktiviteter. Vi konstaterar här att ett förbättringsarbete är planerat. 3.8 Finns tillfredsställande skydd mot virus och andra oönskade program? Iakttagelser: Som skydd mot virus och annan skadlig kod har kommunen en etablerad lösning. Lösningen används inom hela kommunen. Rutiner i anslutning till denna har utarbetats tillsammans med den leverantör som används. Skyddet har diskuterats med ansvariga. Avseende mail finns samarbete med ytterligare en leverantör. Leverantören medverkar till att mail kontrolleras avseende spam och virus. Kommentarer och rekommendationer: Vi bedömer kommunens skydd mot virus och annan skadlig kod som tillfredställande. 4. Sammanfattande bedömning Vi vill sammanfatta granskningen med att många av de kontroller som vi genomfört varit tillfredställande. Dock har vi i granskningen funnit ett antal förbättringsområden. Vi konstaterar även att det har initierats och/eller påbörjats ett förbättringsarbete inom flera av de områden där vi funnit brister. Områden som vi uppmärksammat och där det finns ett förbättringsbehov sammanfattas i nedanstående punkter: Inom kommunen finns upprättade dokument som berör IT-säkerhetsområdet. Dock finns ett förbättringsbehov. T ex saknas den säkerhetsplan som anges i IT-strategin. Vår bedömning är dessutom att de dokument som finns är inte tillräckligt kommunicerade. Därmed finns risker att dokumenten inte fyller sina syften. Det är här vik- 16

17 tigt att se över hur olika dokument ska kommuniceras till ansvariga och användare. Utgångspunkten bör vara att rätt information når rätt målgrupp och givetvis att den är aktuell. Vi konstaterar att det har initierats ett arbete med att förbättra kommunens styrande dokument och riktlinjer i enlighet med BITS. I anslutning till detta vill vi peka på vikten av att det inom styrelser och nämnder genomförs systemsäkerhetsanalyser för verksamhetskritiska system inom kommunen enligt de intentioner som finns i BITS. Vår bedömning är att rollen som IT-säkerhetsansvarig inte är tillräckligt tydliggjord. T ex kring organisatorisk placering, befogenheter och hur arbetet ska bedrivas avseende information och uppföljning mot verksamheterna. Vad vill förvaltningsledning och nämnder ha svar på och på vilket sätt ska detta rapporteras? Strömförsörjningen kring datorhallen bör ses över och förbättras. Skyddet mot brand i datorhallen bör förbättras t ex via utrusning där syret reduceras i händelse av brand. Det är viktigt att det genomförs en översyn kring hur leverantörer hanteras då de ges åtkomst till kommunens system. Regler och rutiner bör därefter tas fram. Inom nämnderna bör det säkerställas att skriftliga sekretessförbindelser används då leverantörer ges åtkomst till känsligt material. Risken för insyn i datorutrymme bör ses över och åtgärdas. Det är viktigt med förbättrade rutiner avseende återläsningskontroller av backuper. Tester att system går att återstarta efter eventuell diskkrasch bör ske rutinmässigt och inte bara då oförutsedda händelser inträffar. Ökade och tydliga krav från verksamheten (nämnderna) bör utarbetas. Vi föreslår att det sker en översyn avseende hur länge backuper förvaras (t ex av arkivskäl). Vi konstaterar att det finns ett behov av säkerhetsrelaterad utbildning varför det är viktigt att det inom nämnderna genomförs ökande aktiviteter för att förbättra användarens kompetens inom IT/informationssäkerhetsområdet. Här är det givetvis viktigt att styrelse och nämnder medverkar till att all personal deltar i aktiviteter som bedöms vara generella och obligatoriska. Det är viktigt att det sker ett systematiskt uppföljningsarbete av användares kunskap kring säkerheten. 17

18 Det är viktigt att styrelse och nämnder säkerställer och tydliggör vikten av att ansvariga chefer tillämpar den rutin som finns då anställda slutar. För att säkerställa tillförlitligheten avseende intrångsskydd mot systemen bedömer vi det viktigt att det genomförs oberoende tester mot systemens databaser (intrångstester från insidan och utsidan av kommunens brandvägg). Den översyn som sker kring kommunens brandvägg är positiv. Det viktigt att det säkerställs att anställda inom kommunen är medvetna om att ITpersonal alltid måste legitimera sig innan tillträde ges till datorer. Det är viktigt att det inom nämnderna sker en översyn över var skrivare finns placerade samt rutiner och teknik kring utskrifter. Detta för att förebygga att utskrifter kan nås av obehöriga. Användarnas svar indikerar att problemet är betydande inom utbildningsförvaltningen. En översyn kring status avseende skärmsläckare bör genomföras inom nämnderna. Dvs att skärmsläckare finns och startar med automatik. Analyser för att identifiera följderna av eventuella katastrofer bör genomföras inom verksamheterna. En avbrottsplan bör därefter upprättas. Avbrottsplanen bör innehålla en beskrivning av vad som krävs för att starta driften på nytt, prioriteringar samt ansvaret för olika aktiviteter. 18

19 Bilaga 1 19

20 Grafen nedan visar total status för datorrummet. -100% -50% 0% 50% 100% Delvis Inte uppfylld Helt 20

Revisionsrapport. Översiktlig granskning av IT-säkerheten. Smedjebackens kommun. Oktober 2008. Göran Persson Lingman

Revisionsrapport. Översiktlig granskning av IT-säkerheten. Smedjebackens kommun. Oktober 2008. Göran Persson Lingman Revisionsrapport Översiktlig granskning av IT-säkerheten Smedjebackens kommun Oktober 2008 Göran Persson Lingman Innehållsförteckning 1. Inledning...3 1.1 Bakgrund...3 1.2 Syfte...3 1.3 Metod...4 1.4 Avgränsning...4

Läs mer

Vi ser ett behov av att det genomförs utbildningsaktiviteter inom kommunen.

Vi ser ett behov av att det genomförs utbildningsaktiviteter inom kommunen. Kommunrevisionen 2007-10-10 Kommunstyrelsen För kännedom: Kommunfullmäktige Granskning av IT-säkerheten På uppdrag at Lunds kommuns revisorer har Öhrlings PricewaterhouseCoopers genomfört en granskning

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Revisionsrapport. Söderhamns kommun. Översiktlig granskning kring kommunens IT-hantering. December 2008. Göran Persson Lingman, Louise Cedemar

Revisionsrapport. Söderhamns kommun. Översiktlig granskning kring kommunens IT-hantering. December 2008. Göran Persson Lingman, Louise Cedemar Revisionsrapport Söderhamns kommun Översiktlig granskning kring kommunens IT-hantering December 2008 Göran Persson Lingman, Louise Cedemar Innehållsförteckning 1. Sammanfattande bedömning...2 2. Inledning...4

Läs mer

Hallstahammars kommun

Hallstahammars kommun Revisorerna REVISIONSRAPPORT Granskning av Kommunens IT-hantering Hallstahammars kommun Utarbetad av Komrev inom Öhrlings PricewaterhouseCoopers på uppdrag av kommunens revisorer och antagen vid revisorernas

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Revisionsrapport. Granskning av IT-hanteringen inom Vård- och omsorgsförvaltningen. Katrineholms kommun

Revisionsrapport. Granskning av IT-hanteringen inom Vård- och omsorgsförvaltningen. Katrineholms kommun Revisionsrapport Granskning av IT-hanteringen inom Vård- och omsorgsförvaltningen Katrineholms kommun Göran Persson Lingman, certifierad kommunal revisor Februari 2010 (1) Innehåll 1. Sammanfattande bedömning...3

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Granskning av kommunens IT-hantering

Granskning av kommunens IT-hantering Revisionsrapport Granskning av kommunens IT-hantering Lindesbergs kommun 2010-04-16 Göran Persson Lingman Thomas Lidgren Innehållsförteckning 1 Sammanfattning...1 2 Inledning...4 2.1 Bakgrund...4 2.2 Syfte...4

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

Granskning av IT-hanteringen

Granskning av IT-hanteringen Revisionsrapport Granskning av IT-hanteringen Katrineholms kommun Göran Persson Lingman Thomas Lidgren Januari 2013 Innehållsförteckning Sammanfattning och revisionell bedömning 3 1 Bakgrund och resultat

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM FÖRFATTNINGSSAMLING (8.1.3) SÄKERHETSFÖRESKRIFTER Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056 Giltig

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...1 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...1 3.1.1 Användning under normala förhållanden

Läs mer

Granskning av IT-säkerhet

Granskning av IT-säkerhet TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN 06-07 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...2 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...2

Läs mer

Revisionsrapport IT-verksamheten

Revisionsrapport IT-verksamheten www.pwc.se Revisionsrapport Göran Persson- Lingman & Robert Bergman IT-verksamheten Gällivare kommun Hantering av IT-verksamheten Innehållsförteckning 1. Sammanfattning, bedömning och rekommendationer...3

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN. Roller och ansvar inom utbildningsförvaltningens IT-verksamhet 2013-2016. IT-strategigruppen 2013-02-18

MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN. Roller och ansvar inom utbildningsförvaltningens IT-verksamhet 2013-2016. IT-strategigruppen 2013-02-18 MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN Roller och ansvar inom utbildningsförvaltningens IT-verksamhet 2013-2016 IT-strategigruppen 2013-02-18 INNEHÅLL FÖRVALTNINGSCHEF... 3 REKTOR/F... 3 IT-STRATEG...

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011 Revisionsrapport Förstudie av personalsystemet Kalmar kommun Caroline Liljebjörn Förstudie av personalsystemet 2011-10-10 Caroline Liljebjörn Stefan Wik Kalmar kommun Förstudie av personalsystemet Innehållsförteckning

Läs mer

Uppföljning av revisionsrapport om kommunens IT-hantering från 2010

Uppföljning av revisionsrapport om kommunens IT-hantering från 2010 PM Uppföljning av revisionsrapport om kommunens IT-hantering från 2010 Emmaboda kommun 11 juni 2012 Jard Larsson Certifierad kommunal revisor 2010-års granskning Följande revisionsfrågor ställdes 2010:

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Granskning av generell behörighetshantering

Granskning av generell behörighetshantering Revisionsrapport Granskning av generell behörighetshantering Botkyrka kommun Göran Persson Lingman Sept 2012 Innehåll 1 Sammanfattning 2 2 Inledning 4 2.1 Bakgrund 4 2.2 Metod och avgränsning 4 3 Resultat

Läs mer

Hantering av ITverksamheten

Hantering av ITverksamheten www.pwc.se Revisionsrapport Göran Persson- Lingman och Robert Bergman Hantering av ITverksamheten Kiruna kommun Innehållsförteckning 1. Sammanfattning, bedömning och rekommendationer... 2 2. Uppdraget...

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet UFV 2012/715 Riktlinjer för informationssäkerhet Anvisningar för genomförande av risk- och hotbildsanalyser Fastställd av: Säkerhetschef 2012-04-02 Innehållsförteckning 1 Riskanalyser av systemförvaltningsobjekt

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

IT-Strategi 2004-10-12 1(7) IT-strategi 2005-01-14 KF 10/05

IT-Strategi 2004-10-12 1(7) IT-strategi 2005-01-14 KF 10/05 IT-Strategi 2004-10-12 1(7) IT-strategi 2005-01-14 KF 10/05 IT-Strategi 2004-10-12 2(7) Innehåll 1 Inledning...3 1.1 Bakgrund...3 2 Intention...3 3 Ledning och ansvar...4 4 Nuläge...5 5 Strategier och

Läs mer

IT-policy för Hällefors kommun

IT-policy för Hällefors kommun IT-policy för Hällefors kommun 2(9) Innehåll 1 Målsättning... 3 2 Syfte... 3 3 Ansvarsfördelning... 5 4 IT-säkerhet... 7 3(9) 1 Målsättning Denna IT-policy är övergripande för Hällefors kommun. Den ska

Läs mer

RIKTLINJER FÖR IT-SÄKERHET

RIKTLINJER FÖR IT-SÄKERHET FÖRFATTNINGSSAMLING (8.1.3) RIKTLINJER FÖR IT-SÄKERHET Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN Köping2000, v3.2, 2011-07-04 1 (8) Drätselkontoret Jan Häggkvist 0221-251 11 jan.haggkvist@koping.se SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN 1. Målsättning Målsättning för säkerhetsarbetet är att ett säkerhetsarbete

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Uppföljning av tidigare granskningar

Uppföljning av tidigare granskningar Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2

Läs mer

Kommunens ITorganisation

Kommunens ITorganisation Revisionsrapport Kommunens ITorganisation Strömsunds kommun Maj-Britt Åkerström Cert. kommunal revisor Innehållsförteckning 1 Sammanfattning, revisionell bedömning, förslag till utveckling 2 Inledning

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang. IT-säkerhetspolicy IT-säkerhetspolicy Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.se Innehåll Sammanfattning 1 IT-säkerhetspolicy

Läs mer

Härjedalens Kommuns IT-strategi

Härjedalens Kommuns IT-strategi FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 105/04 2004-09-20 1 Härjedalens Kommuns IT-strategi En vägvisare för kommunal IT 2 INNEHÅLL Sid 1. BESKRIVNING 3 1.1 Syfte och omfattning 3 1.2 Kommunens

Läs mer

Revisionsrapport Ledningssystemet Stratsys

Revisionsrapport Ledningssystemet Stratsys www.pwc.se Revisionsrapport Ledningssystemet Stratsys Håkan Olsson Cerifierad Kommunal Yrkesrevisor Anna Laurell Lysekils kommun Kommunens arbete med ledning och styrning samt användandet av Stratsys Innehållsförteckning

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun Elektronisk informationssäkerhet Riktlinjer för Användare - anställda och förtroendevalda Eslövs kommun Dokumentet Riktlinjer för användare anställda och förtroendevalda är antaget av kommunstyrelsens

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem Karin Norrman Elgh Översiktlig revisionsrapport Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem Vara kommun Anställningar och avslut i lönesystemet

Läs mer

www.pwc.com/se Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012

www.pwc.com/se Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012 www.pwc.com/se Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012 Innehållsförteckning 1. Bakgrund och syfte 2. Metod för granskning 3. Deltagande personer 4.

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

IT-riktlinjer Nationell information

IT-riktlinjer Nationell information IT-riktlinjer Nationell information Syftet med denna It-riktlinje: den ska vägleda i användningen av Studiefrämjandets gemensamma datornätverk och dess it-resurser, vilket även innefattar den egna datorarbetsplatsen.

Läs mer

Riktlinjer. Informationssäkerhet och systemförvaltning

Riktlinjer. Informationssäkerhet och systemförvaltning Riktlinjer Informationssäkerhet och systemförvaltning LULEÅ KOMMUN RIKTLINJER Dnr 1 (5) 2012-11-29 Riktlinjer för roller och ansvar inom informationssäkerhet och systemförvaltning En god systemförvaltning

Läs mer

Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen 2012-06-04, 164

Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen 2012-06-04, 164 120417 Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen 2012-06-04, 164 1. Bakgrund Kommunstyrelsen har det övergripande ansvaret för det kommunala säkerhetsarbetet. En säkerhets- och

Läs mer

System- och objektförvaltning - roller

System- och objektförvaltning - roller System- och objektförvaltning - roller Landstingsdirektörens stab Version A 2010-01-25 Innehållsförteckning A. Objektförvaltning - roller enligt pm3... 3 Budgetnivå... 4 Beslutsnivå... 5 Roller på operativ

Läs mer

Granskning av ändrad organisation avseende nämndernas ekonomfunktion Nynäshamns kommun Revisionsrapport

Granskning av ändrad organisation avseende nämndernas ekonomfunktion Nynäshamns kommun Revisionsrapport Granskning av ändrad organisation avseende nämndernas ekonomfunktion Nynäshamns kommun Revisionsrapport Percy Carlsbrand Februari 2011 Innehållsförteckning 1 Sammanfattande bedömning och rekommendationer...

Läs mer

Allmänna villkor för infrastrukturen Mina meddelanden

Allmänna villkor för infrastrukturen Mina meddelanden Allmänna villkor för infrastrukturen Mina meddelanden Bilaga 1 Krav på säkerhet för brevlådeoperatörer version 1.2 (Gäller fr.o.m. 2015-11-11) 2 Bakgrund och syfte Skatteverket tillhandahåller en myndighetsgemensam

Läs mer

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium Revisorerna 1 (1) Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden För kännedom: Kommunfullmäktiges presidium Revisionsrapport: Revisorerna har uppdragit till

Läs mer

Säkerhetsinstruktion för användare av UmUs it-resurser

Säkerhetsinstruktion för användare av UmUs it-resurser Sid 1 (7) Säkerhetsinstruktion för användare av UmUs it-resurser Innehållsförteckning 1 Bakgrund...2 2 Tillgång till it-resurserna...2 3 Hantering av information...4 4 Programvaror...4 5 Internet...4 6

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM Version 2002-11-20 INNEHÅLLSFÖRTECKNING BAKGRUND...3 INLOGGNING...3 HANTERING AV INFORMATION...4 INTERNET...5 E-POST...6 INCIDENTER...6 BÄRBAR PC...6 ARBETSPLATSEN...7

Läs mer

ANVÄNDARHANDBOK. Advance Online

ANVÄNDARHANDBOK. Advance Online ANVÄNDARHANDBOK Advance Online INNEHÅLL Innehåll... 2 Välkommen!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt... 4 Citrix-klienten... 4 Inloggning...

Läs mer

LiU-IT ISY. Kristina Arkad ISY

LiU-IT ISY. Kristina Arkad ISY LiU-IT ISY Kristina Arkad ISY Service IT- tjänster IT- infrastruktur Serviceområdet IT- avdelningen Projekt och utveckling Applika5on Kvarters-IT området Kvarter Norrköping Kvarter Valla Norr Kvarter US

Läs mer

Systematisk egenkontroll inom brandskyddet

Systematisk egenkontroll inom brandskyddet Revisionsrapport* Systematisk egenkontroll inom brandskyddet Mora kommun Mars 2010 Ove Axelsson Innehållsförteckning 1 Bakgrund, uppdrag, revisionsfråga... 3 1.1 Uppdrag och revisionsfråga... 3 2 Metod

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Uppföljning avseende granskning av attestrutiner

Uppföljning avseende granskning av attestrutiner Revisionsrapport Uppföljning avseende granskning av attestrutiner Nynäshamns kommun December 2010 Jonas Eriksson Innehållsförteckning 1 Inledning... 1 1.1 Syfte och revisionsfråga... 1 1.2 Avgränsning

Läs mer

ITsäkerhetspolicy. Antagen av kommunstyrelsen 1999-03-03 46-99

ITsäkerhetspolicy. Antagen av kommunstyrelsen 1999-03-03 46-99 ITsäkerhetspolicy Antagen av kommunstyrelsen 1999-03-03 46-99 IT-säkerhetspolicy för Denna policy uttrycker kommunledningens syn på behovet av IT-säkerhet i Lysekils kommun. Den anger omfattning och ansvarsfördelning

Läs mer

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning Uppföljning av revisionsgranskning Offentlig sektor KPMG AB 2012-10-02 Antal sidor: 6 Antal bilagor: X Innehåll 1. Sammanfattning 1 2. Bakgrund 1 3. Syfte 2 4. Avgränsning 2 5. Ansvarig styrelse 2 6. Metod

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Rapport avseende granskning av IT-säkerhet. Östersunds kommun Rapport avseende granskning av IT-säkerhet Östersunds kommun November 2014 Innehåll Sammanfattning 1 1. Inledning 2 1.1. Uppdrag och bakgrund 2 1.2. Revisionsfråga 2 1.3. Revisionskriterier 2 1.4. Avgränsning

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

IT-säkerhetsinstruktion

IT-säkerhetsinstruktion IT-säkerhetsinstruktion Innehållsförteckning 1. ANVÄNDARENS ANSVAR...2 2. ÅTKOMST TILL INFORMATION...2 2.1 BEHÖRIGHET...2 2.2 INLOGGNING...2 2.3 VAL AV LÖSENORD...2 2.4 BYTE AV LÖSENORD...2 3. DIN ARBETSPLATS...3

Läs mer

Delegation av beslutanderätten Härryda kommun

Delegation av beslutanderätten Härryda kommun Revisionsrapport Delegation av beslutanderätten Härryda kommun 2009-05-25 Hans Gåsste, Certifierad kommunal revisor 2009-05-25 Hans Gåsste Innehållsförteckning 1 Bakgrund...4 1.1 Uppdrag och revisionsfråga...4

Läs mer

Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun

Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun 2 November 2012 Innehåll Sammanfattning... 1 1. Inledning... 2 2. Resultat... 3 3. Bedömning och rekommendationer... 5 Sammanfattning

Läs mer

Landstinget Gävleborg

Landstinget Gävleborg www.pwc.se Revisionsrapport Göran Persson Lingman Lars-Åke Ullström Dec 2014 Gransking av informationssäkerheten Landstinget Gävleborg Innehållsförteckning 1. Sammanfattning, bedömning och rekommendationer...

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Systemförvaltnings Modell Ystads Kommun(v.0.8) IT avdelningen Piparegränd 3 271 42 Ystad Systemförvaltnings Modell Ystads Kommun(v.0.8) S.M.Y.K Beskrivningar och hänvisningar till rutiner och riktlinjer som ligger till grund för ett tryggt förvaltande

Läs mer

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret GRANSKNINGS Uppföljning IT-granskningar Projektledare: Lotta Onsö Beslutad av revisorskollegiet 2013-06-12 RAPP Uppföljning IT-granskningar Postadress: Stadshuset, 205 80 Malmö Besöksadress: August Palms

Läs mer

Granskning av styrsystemet MORA PLUS IT

Granskning av styrsystemet MORA PLUS IT Revisionsrapport Granskning av styrsystemet MORA PLUS IT Mora kommun November 2009 Författare Robert Heed Hans Gåsste Innehållsförteckning 1 Inledning... 3 1.1 Bakgrund och revisionsfråga... 3 1.2 Metod...

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Nationellt centrum för kvalitetsregister

Nationellt centrum för kvalitetsregister Nationellt centrum för kvalitetsregister Registercentrum Syd Registercentrum Syd (RC Syd) är ett resurscentrum för dig som arbetar med nationellt eller regionalt kvalitetsregister, klinisk forskning eller

Läs mer

Regler för användning av Oskarshamns kommuns IT-system

Regler för användning av Oskarshamns kommuns IT-system Regler för användning av Oskarshamns kommuns IT-system Gäller från 2006-01-01 1. Bakgrund Information är en viktig tillgång för vår organisation. All information som har skapats här på kommunen har tagit

Läs mer

Postadress Besöksadress Telefon Telefax E-post Norrköpings kommun Rådhuset 011-15 00 00 kommunstyrelsen@norrkoping.se

Postadress Besöksadress Telefon Telefax E-post Norrköpings kommun Rådhuset 011-15 00 00 kommunstyrelsen@norrkoping.se REGLER FÖR E-POST 1(9) 2011-05-09 KS-267/2011 Handläggare, titel, telefon Peter Fagerlund, Systemansvarig 011 15 3430 Regler och riktlinjer för e-post och gruppkommunikation i Norrköpings kommun Fastställda

Läs mer

Varför IT-strategi. Mål och värderingar. IT-STRATEGI FÖR TIMRÅ KOMMUN. FÖRFATTNINGSSAMLING Nr KF 10 1 (7)

Varför IT-strategi. Mål och värderingar. IT-STRATEGI FÖR TIMRÅ KOMMUN. FÖRFATTNINGSSAMLING Nr KF 10 1 (7) FÖRFATTNINGSSAMLING Nr KF 10 1 (7) IT-STRATEGI FÖR TIMRÅ KOMMUN Fastställd av kommunfullmäktige 2005-09-26, 55 Varför IT-strategi. Syftet med denna IT-strategi är att åstadkomma en förflyttning av fokus

Läs mer

Yttrande över revisorernas granskningsrapport om intern kontroll avseende investeringsprojekt. Ärendebeskrivning LULEÅ KOMMUN

Yttrande över revisorernas granskningsrapport om intern kontroll avseende investeringsprojekt. Ärendebeskrivning LULEÅ KOMMUN Tekniska nämnden 2012 05 24 58 164 Tekniska nämndens arbetsutskott 2012 05 11 73 174 Dnr 2011/945.04 Yttrande över revisorernas granskningsrapport om intern kontroll avseende investeringsprojekt Bilaga:

Läs mer

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Plan för informationssäkerhet vid Högskolan Dalarna 2015 Plan för informationssäkerhet vid Högskolan Dalarna 2015 Beslut: 2015-05-04 Reviderad: Dnr: DUC 2015/769/10 Ersätter: Relaterade dokument: Policy för informationssäkerhet Ansvarig: Förvaltningschef Innehållsförteckning

Läs mer