Granskning av risken för driftstopp i landstingets informationssystem

Storlek: px
Starta visningen från sidan:

Download "Granskning av risken för driftstopp i landstingets informationssystem"

Transkript

1 Revisionsrapport Granskning av risken för driftstopp i landstingets informationssystem Landstinget i Uppsala län Janne Swenson, Magnus Olson-Sjölander Jens Ryning Mars 2014

2 Innehållsförteckning Sammanfattning 2 1 Inledning Bakgrund motiv för granskning Uppdrag och revisionsfråga Genomförande, avgränsningar och metod Genomförande Avgränsningar Metod Läsanvisning 7 2 Iakttagelser och bedömningar Driftstopp inom LUL Iakttagelser och bedömningar Rekommendationer Uppföljning av driftstopp inom LUL Iakttagelser och bedömningar Rekommendationer Förändringshantering inom LUL Iakttagelser och bedömningar Rekommendationer Dokumentation avseende IT-miljön Iakttagelser och bedömningar Rekommendationer Beredskap vid driftstörningar Iakttagelser och bedömningar Rekommendationer Intern styrning och kontroll av IT Iakttagelser och bedömningar Rekommendationer 16 3 Besvarande av den övergripande revisionsfrågan 17 Landstinget i Uppsala län 1 av 18

3 Sammanfattning har av revisorerna i Landstinget i Uppsala län (LUL) fått i uppdrag att granska risken för driftstopp i landstingets informationssystem. Granskningen har för avsikt att utreda om landstingets informationssystem är utformat så att system, program och enskilda applikationer är tillgängliga när användaren behöver dem. Intervjuer har genomförts med nyckelpersoner inom landstinget samt inläsning och genomgång av policys, styrande dokument och annan relevant dokumentation. Granskningen har täckt in landstingets väsentliga informationssystem inom kollektivtrafik, hälso- och sjukvård samt landstingsövergripande system, exempelvis journalsystem, mailsystem, intranät och ITdriftsystem. har gjort följande bedömning av den övergripande revisonsfrågan, Har landstinget vidtagit ändamålsenliga åtgärder för att minska risken för oplanerade driftstopp? Landstinget har till stora delar vidtagit ändamålsenliga åtgärder för att minska risken för oplanerade driftstopp. En av de främsta anledningarna till detta är att stora delar av IT-miljön är redundant och att det finns övervakningsverktyg för att snabbt upptäcka eventuella fel eller brister i systemen. Utöver detta finns det inom den centrala IT-funktionen en etablerad förändrings-process implementerad, vilket innebär att förändringar testas innan produktions-sättning och därmed minskas risken för driftstopp. Orsaken till detta menar vi är att det, enligt intervjuade personer, sällan förekommit några driftstopp som påverkat slutanvändare av IT i landstinget de senaste åren. Värt att nämna är dock att det inte finns någon definition av vad ett driftstopp är och att det inte sker någon formell eller systematisk sammanställning av driftstopp inom landstinget. En katastrofplan för IT saknas, vilket, i händelse av en större driftincident, kan få en stor påverkan på tillgängligheten. Vår bedömning är att risken för oplanerade driftstopp inom Uppsala Länstrafik är högre än inom övrig verksamhet. Uppsala Länstrafik är till stor del en egen enhet gällande IT-infrastruktur och har därmed inte haft möjlighet att dra nytta av de processer och rutiner som finns inom landstingets övriga verksamhet. Det saknas bland annat en formell förändringsprocess och inga systematiska uppföljningar eller utvärderingar av driftstopp genomförs. Ett arbete med att migrera system till Landstingets IT-funktion är dock initierat. Avseende intern styrning och kontroll av IT inom landstinget kan det konstateras att styrningen över IT kan förbättras. Det lyfts bland annat fram att det upplevs som att det saknas tydliga gemensamma mål för IT som helhet inom landstinget. Vidare är IT-funktionen till stora delar decentraliserad till ett flertal fristående parter där Ledningskontoret ofta saknar mandat att styra i IT-frågor. Vi har även noterat att det råder viss otydlighet avseende supportorganisationen och dess struktur vilket resulterar i utmaningar med att följa upp och analysera supportärenden för att Landstinget i Uppsala län 2 av 18

4 proaktivt kunna samordna och införa förbättringsåtgärder, vilka kan förbättra ITstödet och IT-leveransen samt i en förlängning förhindra oplanerade driftstopp. Det finns ett antal områden som landstinget bör överväga att prioritera och där åtgärder krävs för att uppnå en mer ändamålsenlig IT-leverans. Nedan listas de områden som anser vara högst prioriterade. Vi rekommenderar landstinget att: se över sin styrmodell inom IT för att skapa bättre förutsättningar för landstinget att ta fram en gemensam målbild för IT och därmed kunna styra IT samt prioritera sin IT-funktion, se över lämpligheten i den organisationsstruktur som finns idag för att förbättra sina interna processer, interna styrning samt interna kontroll. Framförallt med fokus på relationen med IT-driftavdelningen och den supportstruktur som är instiftad, utarbeta en formell kontinuitets- och katastrofplan, som baseras på av verksamheten genomförda riskanalyser, för IT inom landstinget, formulera en enhetlig definition av vad ett driftstopp är för att skapa förutsättningar för sammanställning, uppföljning samt utvärdering av oplanerade driftstopp, ta fram en strategi och plan för hur och vilka processer som ska implementeras i Uppsala Länstrafiks verksamhet för att skapa förutsättningar att göra en systematisk uppföljning eller utvärdering av driftstopp. Denna strategi bör stämmas av med Ledningskontoret och ITdriftavdelningen för att säkerställa att den går i linje med landstingets långsiktiga planer. Landstinget i Uppsala län 3 av 18

5 1 Inledning 1.1 Bakgrund motiv för granskning Många organisationer är idag beroende av informationsteknologi (IT) för att bedriva sin verksamhet. Ett oplanerat avbrott kan få allvarliga konsekvenser, både för den enskilde och för samhället. Oplanerade driftstopp i vitala system har skapat problem inom landsting. Liknande problem har förekommit i både offentliga och privata informationssystem. Det finns ett antal kända orsaker till oplanerade driftstopp, exempelvis att det brister i den aktuella applikationens arkitektur och i dokumentationen av arkitekturen och programstrukturen, bristfälligt utformade och otillräckligt testade uppdateringar av applikationens programvara, otillräcklig kapacitet hos de servrar som applikationen nyttjar samt bristfällig eller otillräcklig beredskap för att snabbt kunna återstarta applikationen efter ett hårdvarufel. LUL:s flora av informationssystem består av en heterogen samling av applikationer. Allmänhetens intresse riktas oftast mot de stödsystem som vårdpersonalen använder, i synnerhet journalsystem. Ur ett säkerhetsperspektiv är det emellertid även viktigt att uppmärksamma de administrativa stödsystemen för t ex ekonomi och personalhantering. Precis som andra verksamhetstillgångar är information och data tillgångar som bör skyddas. Informationssäkerhet omfattar förutom de åtgärder som vidtas för att hindra att information läcker ut, förvanskas eller förstörs, även de åtgärder som vidtas för att säkerställa att informationen är tillgänglig när den behövs. Ett driftstopp kan resultera i att ett system, program eller enskild applikation inte är tillgänglig och fungerar när användaren behöver den. Ett oplanerat driftstopp resulterar oftast även i andra följdproblem internt och externt samt medför ökade finansiella merkostnader för verksamheten. Landstinget i Uppsala län 4 av 18

6 1.2 Uppdrag och revisionsfråga har av revisorerna i Landstinget i Uppsala län fått i uppdrag att granska risken för driftstopp i landstingets informationssystem. Granskningen syftar till att analysera hur landstinget säkerställer att dess informationssystem är utformat på ett sådant sätt att system, program och enskilda applikationer är tillgängliga när användaren behöver dem. Den övergripande revisionsfrågan som granskningen syftar till att besvara är: Har landstinget vidtagit ändamålsenliga åtgärder för att minska risken för oplanerade driftstopp? Inom ramen för den ovanstående revisionsfrågan har sex nedbrutna delfrågor definierats, dessa är: 1. I vilken utsträckning har det förekommit oplanerade driftstopp under de senaste åren? 2. Sker systematisk uppföljning och utvärdering vid planerade och oplanerade driftstopp? 3. Finns det tillfredsställande rutiner inför uppdateringar och en beredskap för att återgå till tidigare version vid en misslyckad uppdatering? 4. Finns det ett tydligt ansvar för dokumentation av arkitektur och programstruktur samt en långsiktig planering som säkerställer att det finns en tillräcklig serverkapacitet? 5. Finns det beredskap inför hårdvarufel och överbelastningsattacker? 6. Finns det en integrerad process för intern styrning och kontroll med mål och årliga riskanalyser? Landstinget i Uppsala län 5 av 18

7 1.3 Genomförande, avgränsningar och metod Genomförande Intervjuer har genomförts med nyckelpersoner inom landstinget samt inläsning och genomgång av policys, styrande dokument och annan relevant dokumentation. Granskningen har för avsikt att säkerställa att landstingets informationssystem är utformat så att system, program och enskilda applikationer är tillgängliga när användaren behöver dem. Granskningen har, i och med de intervjuade personernas olika roller, täckt in landstingets väsentliga informationssystem inom kollektivtrafik, hälso- och sjukvård samt landstingsövergripande system, exempelvis journalsystem, mailsystem, intranät och IT-driftsystem. Följande roller har intervjuats: Informationssäkerhetsansvarig på Ledningskontoret Kvalitetssamordnare MSI Förvaltningsledare samt Objektägare för EPJ IT-direktör i Landstinget i Uppsala län Chef för Teknikstöd IT Förvaltningsledare för Webbkommunikation Chef för Nät och server Förvaltningsledare IT för systemplattformen Domino IT-chef inom Uppsala Länstrafik Avgränsningar Granskningens omfattning begränsas till de revisionsfrågor som definierats av Landstinget i Uppsala län, se sektion 1.2 Uppdrag och revisionsfråga. Vidare har granskningen endast utgått från (och kan således inte analysera) annan information än vad Landstinget i Uppsala län tillgängliggjort för oss genom intervjuer och tillhandahållen dokumentation. Landstinget i Uppsala län 6 av 18

8 1.3.3 Metod Under granskningen har delar av :s verktyg IT Management Analysis (ITM) använts. Verktyget bygger på en databas som innehåller jämförbar (så kallad good practice och benchmarking ) samt relevant information för generell ITverksamhet inom områdena IT-strategi, IT-leverans, teknologi, personal samt system och applikationer (se tabell nedan). Även relevanta delar av Riktlinjer för styrning av informationssäkerhet (ISO/IEC 27002:2005) och ramverket COBIT har utgjort en grund i bearbetningen av insamlat material. Nedan följer en mer detaljerad beskrivning av respektive område: Område A IT-strategi B IT-leverans C Teknologi D Personal E System och applikation Beskrivning Vad krävs för att säkerställa att IT-strategin stödjer verksamheten på bästa sätt? Hur ska verksamheten hantera och styra IT? Hur är strategin kopplad till en stabil och säker IT-drift? Är användningen av resurser organiserad, strukturerad, analyserad och kontrollerad för att ge optimal IT-leverans samt ett optimalt verksamhetsstöd? Hur mäts och värderas IT-stödet? Hur mäts stabiliteten i IT-driften och vilka krav ställer verksamheten? Följs trender inom teknologi? Är IT-arkitekturen effektiv och anskaffas teknologi på det mest effektiva sättet? Hur anpassningsbar är tekniken till förändrade behov och förutsättningar i verksamheten? Finns tekniska förutsättningar för en stabil IT-drift? Hur hanteras personal i relation till IT (kompetens, attityder, relationsförmåga, processer och effektivitet)? Finns adekvat kompetens avseende IT-drift? Är applikationer och IT-system ändamålsenliga och kostnadseffektiva? Ger de tillräckliga beslutsunderlag och identifierar om ytterligare behov finns? Hur monitoreras applikationer i relation till en stabil IT-drift? 1.4 Läsanvisning Rapporten inleds med iakttagelser från de detaljfrågor som hör till granskningen. Iakttagelserna följs av våra rekommendationer för respektive detaljfråga och relaterade revisionskriterier. Avslutningsvis ges en samlad bild av våra rekommendationer för den övergripande revisionsfrågan. Landstinget i Uppsala län 7 av 18

9 2 Iakttagelser och bedömningar Nedan ges en nulägesbild av de sex underliggande frågorna till den övergripande revisionsfrågan huruvida landstinget har vidtagit ändamålsenliga åtgärder för att minska risken för oplanerade driftstopp. Respektive nulägesbild följs av vår bedömning av landstingets nuvarande situation inom respektive område. 2.1 Driftstopp inom LUL Avsnittet syftar till att bedöma förekomsten av oplanerade driftstopp inom LUL Iakttagelser och bedömningar Det har vid våra intervjuer framkommit att det inom landstinget i princip inte har skett några driftstopp under de senaste åren. Det senaste större driftstoppet inträffade 2011 vid en planerad versionsuppdatering av patientjournalsystemet. Det noterades under granskningen att det byggts upp redundans på många av landstingets system, vilket är en trolig förklaring till att så få driftstopp skett. Verksamhetens krav att upprätthålla drift av det elektroniska patientjournalsystemet (EPJ) utanför kontorstid ligger som grund för den redundanta miljön. Enligt uppgift finns idag system som är redundanta, utan att någon riskbedömning föranletts. Det har även framkommit att det finns system som bör få en högre tillgänglighet, exempelvis intranätet NAVET. Intranätet är uttalat den kommunikationskanal som ska användas vid driftavbrott men enligt uppgift är systemet inte redundant. Detta innebär att det vid driftavbrott finns en risk för att det inte går att nå ut med information till verksamheten. Inom ramen för granskningen skulle en kartläggning av förekomsten av oplanerade driftstopp inom landstinget genomföras. Denna kartläggning har inte varit möjlig att genomföra då det ej sker någon formell eller systematisk sammanställning av planerade eller oplanerade driftstopp inom landstinget. Värt att notera är att denna typ av sammanställning aldrig efterfrågats från verksamheten eller Ledningskontoret (LK). Vi har även noterat att det saknas en definition av vad som är ett driftstopp. Definitionen av ett driftstopp saknas på det strategiska övergripande planet inom LK och inom IT-driftavdelningen (MSI), Bedömningar Vår bedömning är att det inte alltid föreligger något uttalat verksamhetskrav eller genomförda riskanalyser för den systemredundans som finns idag, vilket kan innebära att kostnad inte står i paritet med behov eller att system som bör vara redundant, inte är det. Vidare saknas det en definition av vad ett driftstopp är vilket kan innebära att begreppet inte har samma innebörd för MSI som för de olika verksamheterna inom LUL. I och med att det upplevs att få driftavbrott som påverkat verksamheten har skett, bedömer vi att det finns en stor sannolikhet att framtagna verksamhetsrutiner för oplanerade driftavbrott inte är kända för landstingets medarbetare och därmed blir ineffektiva. Landstinget i Uppsala län 8 av 18

10 2.1.2 Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: formulera en enhetlig definition av vad ett driftstopp är för att skapa förutsättningar för sammanställning, uppföljning samt utvärdering av oplanerade driftstopp, se över i vilken utsträckning den redundans man byggt upp är relevant för alla delar i verksamheten för att utvärdera om kostnaderna för redundansen är berättigade, löpande säkerställa att manuella reservrutiner vid driftavbrott fungerar, inom IT-organisationen och inom landstingets verksamhet. 2.2 Uppföljning av driftstopp inom LUL Avsnittet syftar till att bedöma huruvida uppföljning och utvärdering sker vid planerade och oplanerade driftstopp Iakttagelser och bedömningar MSI har en väl utvecklad förändringsprocess som bygger på ramverket Ledningssystem för IT-tjänster (ISO/IEC 20000). Förändringsprocessen är väl implementerad och används både inom verksamheten och IT. Enligt uppgift godkänns alla förändringar formellt innan produktionssättning sker i landstingets IT-miljö. Bild 1, process för utvärdering av förändringsärende Det har vid våra intervjuer framkommit att löpande uppföljning och utvärdering av driftstopp inom MSI inte sker på ett systematiskt sätt. Dock är uppföljning och Landstinget i Uppsala län 9 av 18

11 utvärdering av testade förändringar en del i MSI:s dokumenterade förändringsprocess, vilket minskar risken för driftstopp inom LUL. Vidare har det framkommit att det saknas en definition av vad ett driftstopp är inom Landstinget. Även överenskommelser mellan MSI LK och MSI verksamhet/objekt saknar nyckeltal för att kunna göra relevanta uppföljningar, t ex mätningar av tillgänglighetstider och prestanda. Inom MSI pågår ett arbete med att ta fram ett tydligare tjänsteutbud, via en så kallad tjänstekatalog, vilket vi bedömer som positivt. En bra modell är att i tjänstekatalogen definiera nyckeltal och/eller andra relevanta mätetal för att skapa gynnsammare förutsättning för uppföljning och underlätta utvärdering av arbete som utförts av MSI. Uppsala Länstrafik (UL) är sedan 1 januari 2012 en del av LUL, dock är de till stor del fortfarande en egen enhet gällande IT-infrastruktur. UL saknar en formell förändringsprocess och genomför inga systematiska uppföljningar eller utvärderingar av driftstopp. Viss IT-infrastruktur är migrerad till MSI och denna följer de processer som MSI har implementerat. Det osystematiska arbetssättet rörande brister i formella förändringsprocesser ökar risken för oplanerade driftstopp inom den IT-miljö som fortfarande står under UL:s driftansvar. Det hålls årliga kunddialoger mellan MSI och deras kunder, som bygger på att den årliga leveransen summeras på en övergripande nivå. Dock hålls sällan regelbundna (månatliga) leveransavstämningar mellan MSI och deras kunder, vilket kan förväntas av en modern driftsleverantör. Det noteras dock att inga direkta krav på MSI finns att leverera statistik avseende leveransen, varken från LK eller från verksamheten. Bedömningar Vår bedömning är att en tydligt definierad tjänstekatalog är en förutsättning för en ändamålsenlig leverans av IT. Likaså är en framgångsfaktor för ett bra samarbete att regelbundet genomföra leveransavstämningar mellan en driftorganisation och dess kunder Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: regelbundet efterfråga leveransstatistik, exempelvis genom att upprätta mer frekventa och formaliserade avstämningsmöten med MSI för säkerställa att levereransen sker enligt gällande överenskommelse, på ett mer systematiskt sätt följa upp och utvärdera incidenter genom att ställa tydligare krav på MSI, utarbeta en plan för hur en formell förändringsprocess kan implementeras hos UL för att kunna göra systematisk uppföljning eller utvärdering av driftstopp. Landstinget i Uppsala län 10 av 18

12 2.3 Förändringshantering inom LUL Avsnittet syftar till att bedöma om rutiner samt tekniska förutsättningar finns för att återgå till tidigare version vid en misslyckad uppdatering Iakttagelser och bedömningar En förändringsprocess finns implementerad inom MSI som bygger på ramverket ISO/IEC LK har även under 2013 beslutat att ramverket ska implementeras för alla delar som jobbar med IT-relaterade processer inom landstinget. Förändringsprocessen används både inom verksamheten och IT. Enligt uppgift godkänns alla förändringar formellt i landstingets IT-miljö innan produktionssättning sker. Uppföljning och utvärdering av testade förändringar är en del i MSI:s dokumenterade förändringsprocess. Bild 2, förändringsprocess Det framkom under intervjuerna att problem fångas upp redan i testprocessen, vilket innebär att driftsättning av problem sällan förekommer. I de fall det är tekniskt möjligt går det att återgå till tidigare versioner vid en eventuell misslyckad uppdatering. För landstingets patientjournalsystem står dock denna möjlighet i direkt relation till när användare släpps in i systemet efter en uppgradring, då det ej går att återgå till tidigare versioner om patientdata har registrerats i den uppdaterade versionen. Landstinget i Uppsala län 11 av 18

13 UL:s relativt nya inträde i LUL:s organisation gör att vissa delar av driften ligger kvar i deras gamla miljö och driftas av dotterbolaget Prebus AB. De miljöer som tillkommit sedan inträdet i LUL:s organisation driftas av MSI och innefattas således av MSI:s förändringsprocess. Den långsiktiga strategin inom UL är att migrera all IT-drift till MSI. Bedömningar Vår bedömning är att det, för de system som hanteras av MSI, finns tillfredsställande rutiner för uppdateringar samt möjlighet att återgå till tidigare version vid en misslyckad uppdatering. Vi bedömer att avsaknaden av en formell process för förändringshantering riskerar att påverka driftstabiliteten i UL:s äldre kvarvarande IT-miljö Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: ta fram en strategi och plan för hur och vilka processer som ska implementeras i UL:s verksamhet för att skapa förutsättningar att göra en systematisk uppföljning eller utvärdering av driftstopp. Denna strategi bör stämmas av med LK och MSI för att säkerställa att den går i linje med landstingets långsiktiga planer, fortsätta arbetet med införandet av ramverket ISO/IEC inom hela organisationen och fortsätta att utveckla och implementera kvarvarande delar av ramverket. 2.4 Dokumentation avseende IT-miljön Avsnittet syftar till att bedöma den övergripande ansvarsfördelningen avseende dokumentation av arkitektur samt hur landstinget säkerställer tillräcklig serverkapacitet Iakttagelser och bedömningar Det finns otydligheter gällande ansvaret för hur dokumentation ska ske inom landstinget. Under våra intervjuer framgick det att verksamheten förutsätter att dokumentationsansvaret för den tekniska infrastrukturen helt ligger på MSI. Vid dialogen med MSI framkom att deras kunder förväntas ansvara för dokumentation av system, integrationer och annan verksamhetsnära dokumentation. Vi kan konstatera att det saknas tydliga definitioner för var gränsdragningen för dokumentation går samt hur och när den ska utföras. Enligt uppgift saknar UL adekvat dokumentation avseende sin IT-miljö inom ett flertal områden. Vidare saknas det dokumentationsmallar för att kvalitetssäkra och standardisera dokumentationen inom organisationen. MSI ansvarar för den långsiktiga kapacitetsplaneringen, vilken ska säkerställa att IT-infrastrukturen är på en adekvat nivå utifrån verksamhetens behov, för de Landstinget i Uppsala län 12 av 18

14 system MSI ansvarar för. Kapacitetsplaneringen utgår från den överenskommelse som tecknats med respektive objekt. För att säkerställa en hög tillgänglighet till systemen har MSI, genom automatiserade verktyg, daglig övervakning på sin ITmiljö för att på så sätt upptäcka fel och brister i både hårdvara, system och applikationer. Supportavtal såväl som utbytesperioder för infrastrukturen inom landstinget hanteras av MSI. Den generella uppfattningen bland de intervjuade personerna från verksamheten är att de inte upplever några kapacitetsproblem, varken vad gäller lagring eller drift, vilket vi bedömer som positivt. Bedömningar Vår övergripande bedömning är att det otydliga dokumentationsansvaret inom LUL generellt samt UL:s brister inom området resulterar i att LUL:s dokumentation kan vara bristfällig Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: tydliggöra dokumentationsansvaret mellan MSI och dess kunder, där det anses vara relevant, upprätta dokumentationsmallar för att effektivisera, standardisera och kvalitetssäkra dokumentationen, inom UL genomföra en riskanalys avseende dokumentationsbehovet i sin verksamhet. Riskanalysen bör resultera i en handlingsplan där det framgår vilka system som prioriteras högst och därmed kräver utförlig dokumentation. 2.5 Beredskap vid driftstörningar Avsnittet syftar till att bedöma landstingets beredskap vid hårdvarufel och/eller om överbelastningsattacker skulle inträffa Iakttagelser och bedömningar Landstingets IT-driftmiljö, som hanteras av MSI, är till stora delar redundant och ett övervakningsverktyg för att upptäcka oplanerade avbrott eller om andra driftstörningar finns implementerat. Detta bedömer vi fungera tillfredsställande. Under våra intervjuer framkom vidare att det idag saknas både kontinuitets- och katastrofplan för IT inom landstinget. LUL har inte heller genomfört någon prioritering avseende vilka IT-system som är mest kritiska för verksamheten, vilket är en förutsättning för att kunna ta fram en kontinuitetsplan baserad på verksamhetens behov. En förmildrande omständighet i sammanhanget är, som tidigare nämnts, att stora delar av miljön idag är redundant. Som ett alternativ till en IT-kontinuitetsplan nyttjas den landstingsgemensamma funktionen Tjänsteman i beredskap inom landstinget. Denna lösning anses av intervjuade personer hantera situationer som kan ha viss, eller stor, inverkan på IT-driften inom LUL. Gällande återställningsplaner för IT-drift, finns det ingen dokumenterad plan för detta framtagen. För återställning av den centrala IT-infrastrukturen finns ingen Landstinget i Uppsala län 13 av 18

15 formell plan utan kunskapen finns hos respektive systemansvarig på MSI. Värt att notera är att systemdokumentationen endast finns lagrad elektroniskt. Vid ett eventuellt hårdvaruhaveri skulle detta kunna innebära att dokumentationen avseende systemen ej är tillgänglig och därmed minskar sannolikheten för att kunna återskapa systemmiljön. LUL genomför inga regelbundna sårbarhetsanalyser av den interna IT-miljön för att upptäcka säkerhetsbrister, sårbarheter eller andra hot. Enligt flertalet av de intervjuade framkommer det att landstinget har kontroller på plats för att säkerställa att det finns ett fungerande antivirusskydd och brandväggsskydd, vilket vi bedömer vara positivt. Genom intervjuerna framkommer det att den allmänna uppfattningen från verksamheten är att MSI levererar sina tjänster på en tillfredsställande nivå. Inom UL finns en nystartad beredskapsfunktion som har till uppgift att lösa ITrelaterade problem utanför ordinarie arbetstider. UL har en reaktiv driftsorganisation då UL, för de system de driftar själva, saknar ett övervakningssystem. Detta innebär att inga larm aktiveras vid oplanerade driftavbrott vilket t ex kan resultera i att felsökning tar längre tid än nödvändigt. UL:s externa webbplats driftas av en extern leverantör som därmed sköter övervakning och hanterar eventuella driftstopp. Vi kan konstatera att UL har flertalet brister avseende beredskap för driftstopp. Vid vår intervju framkom det att många av bristerna är relaterade till arv från tidigare bristande IT-styrning. Vid våra intervjuer framgår det att ovanstående brister inom UL är kända och att det finns en plan för hur dessa ska hanteras på ett ändamålsenligt sätt, planen är dock inte formellt dokumenterad och kommunicerad. Bedömningar Vår bedömning är att avsaknaden av en formell kontinuitetsplan för IT samt att det saknas dokumenterade återställningsplaner ökar risken för att allvarliga incidenter i IT-miljön tar längre tid än nödvändigt att återställa. Vidare kan uteblivna regelbundna sårbarhetsanalyser komma att påverka driftstabiliteten på ett negativt sätt då potentiella säkerhetsbrister förbises Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: ta fram en formell kontinuitets- och katastrofplan, baserad på riskanalyser genomförda i verksamheten, för IT inom landstinget, säkerställa att systemdokumentation för den centrala IT-infrastrukturen finns att tillgå, exempelvis på ett USB-minne som förvaras på ett säkert sätt, vid en katastrofsituation. Detta bör ingå som en del i avbrottsplanen för IT, genomföra regelbundna sårbarhetsanalyser av den interna IT-miljön för att upptäcka säkerhetsbrister, sårbarheter eller andra hot. Genom att Landstinget i Uppsala län 14 av 18

16 regelbundet analysera IT-miljön förbättras driftstabiliteten då potentiella säkerhetsbrister identifieras och därmed enklare kan åtgärdas, säkerställa att en formell plan för hur UL:s IT-miljö ska hanteras i framtiden tas fram. Planen bör baseras på en av verksamheten genomförd riskanalys för sina system. 2.6 Intern styrning och kontroll av IT Avsnittet syftar till att bedöma den övergripande styrningen med fokus på styrande dokument och ansvar inom IT Iakttagelser och bedömningar LUL arbetar enligt förvaltningsmodellen PM 31 och förvaltningsplanerna revideras årligen för respektive förvaltningsobjekt. Den centrala IT-organisationens, MSI och LK:s verksamhetsplaner baseras på förvaltningsobjektens förvaltningsplaner. Vidare har det under 2013 genomförts IT-riskanalyser med utgångspunkt från landstingets ramverk för egenkontroll. Syftet med riskanalyserna är att identifiera och sammanställa IT-risker som är landstingsgemensamma och att ta fram en åtgärdsplan för hantering av dessa risker. Informationssäkerhetsanvarig på LK är ansvarig för att sammanställa en landstingsgemensam riskkarta. IT-funktionen är till stora delar decentraliserad till ett flertal fristående parter. Därtill ansvarar verksamheten bland annat för IT-inköp och första- och andralinjesupport för IT-frågor. MSI, som en av de större parterna, arbetar som en egen enhet och tillhör organisatoriskt Akademiska Sjukhuset. Den nuvarande organisationsstrukturen medför att LK inte har mandat att strategiskt styra arbetet hos MSI på ett sätt som är effektivt för landstinget. En historisk uppfattning har varit att LK:s möjlighet att påverka IT, framförallt inom MSI, varit svag. Det lyfts även fram att det upplevs som att det saknas tydliga gemensamma mål för IT som helhet inom landstinget. Styrningen över IT och MSI upplevs också kunna förbättras, även om det tas upp att styrningen från LK förbättrats och blivit tydligare de senaste åren. För att hantera frågor på en strategisk nivå finns etablerade mötesforum, både med LK och med MSI. Dock upplevs det som om dessa inte fungerar på ett tillfredsställande sätt. Ett exempel som tas upp är att en styrgrupp för övergripande prioritering och beredning av IT-frågor som berör hela landstinget saknas. Det har under intervjuer med förvaltare, representanter från IT och från de berörda PM 3 -objekten framkommit att en otydlighet upplevs avseende roller och ansvar mellan objekten, LK och MSI. Otydligheten leder till oklarheter kring var beslut om t ex prioriteringar hör hemma. En problembild som togs upp under vissa av intervjuerna var att det inom strukturen för PM 3 saknas en liknande styrgrupp, som 1 PM 3 är en förvaltningsmodell som beskriver hur systemförvaltning ska organiseras för att kunna bedrivas på ett affärsmässigt sätt. Landstinget i Uppsala län 15 av 18

17 beskrivs ovan, för att skapa en paraplyorganisation som har till uppgift att prioritera strategiskt övergripande frågor för PM 3 -objekten. Vi har även noterat att det råder viss otydlighet avseende supportorganisationen och dess struktur. Supportorganisationen är uppbyggd genom att första- och andralinjens support är förlagda i verksamheten, utan någon direkt gemensam styrning. Tredje linjens support är förlagd till MSI. Det saknas även ett landstingsgemensamt ärendehanteringssystem, vilket resulterar i att samordningen av supportärenden och framförallt uppföljning av dessa, brister. Samtliga dessa faktorer har bidragit till att vi ej kunnat ta del av någon sammanställning av oplanerade driftavbrott. Att inte kunna följa upp och analysera supportärenden inom landstinget minskar möjligheten till att proaktivt kunna samordna och införa förbättringsåtgärder som kan förbättra IT-stödet och IT-leveransen inom LUL. MSI:s leverans styrs dels av sina överenskommelser med respektive kund, dels av förvaltningsplanerna i PM3. Dessa dokument stäms dock inte systematiskt av med varandra, vilket i praktiken innebär att MSI:s leverans, inte samordnas. Bedömningar Avsaknaden av en gemensam målbild för hela IT-funktionen inom LUL och bristande samverkansformer påverkar leveransen till landstingets användare av IT. Vidare bedömer vi att det finns klara förbättringsmöjligheter och tydliga synergieffekter av att se över samverkansformer på övergripande nivå, både mellan IT och LK men även mellan PM 3 -objekten för att förbättra leveransen till landstingets användare av IT Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: se över styrmodellen för IT för att därmed kunna uppnå en högre verksamhetsnytta av resurser investerade i IT inom landstinget. Styrmodellen bör inkludera t ex en gemensam målbild och strategi för IT inom hela landstinget, utreda möjligheten att införa ett gemensamt ärendehanteringssystem inom landstinget i syfte att på ett systematiskt och standardiserat sätt samla in ärenden relaterade till incidenter, driftstörningar samt ärenden som på ett eller annat sätt påverkar slutanvändare och/eller infrastruktur i syfte att förbättra slutanvändarupplevelsen inom landstinget, utreda behovet av att öka antalet avstämningsmöten mellan MSI och kund för att säkerställa att leveransöverenskommelser uppfylls samt därigenom förbättra dialogen, säkerställa att framtagna överenskommelser, eller kommande tjänstekatalog, går i linje med de förvaltningsplaner som tagits fram inom ramen för PM 3. Landstinget i Uppsala län 16 av 18

18 3 Besvarande av den övergripande revisionsfrågan Det är vår uppfattning, efter genomförda intervjuer och genomgång av relevant dokumentation, att de åtgärder som vidtagits inom landstinget anses vara av sådan karaktär att de till stora delar kan ses som ändamålsenliga för att minska risken för oplanerade driftstopp. Detta med anledning av nedanstående faktorer; den redundans på IT-system man byggt upp under årens lopp, det finns en väl implementerad förändringsprocess med en hög nivå av efterlevnad, den beredskap landstinget byggt upp genom rutinen Tjänsteman i beredskap, de övervakningsverktyg, antivirus samt brandväggar som finns på plats, samt att det ej inträffat några oplanerade driftstopp inom landstingets IT-miljö de senaste åren. Det finns ett antal områden som landstinget bör överväga att prioritera och där åtgärder krävs för att uppnå en mer ändamålsenlig IT-leverans. Nedan listas de som anser vara högst prioriterade. Vi rekommenderar landstinget att: se över sin styrmodell inom IT för att skapa bättre förutsättningar för landstinget att ta fram en gemensam målbild för IT och därmed kunna styra IT samt prioritera sin IT-funktion, se över lämpligheten i den organisationsstruktur som finns idag för att förbättra sina interna processer, interna styrning samt interna kontroll. Framförallt med fokus på relationen med IT-driftavdelningen och den supportstruktur som är instiftad, utarbeta en formell kontinuitets- och katastrofplan, som baseras på av verksamheten genomförda riskanalyser, för IT inom landstinget, formulera en enhetlig definition av vad ett driftstopp är för att skapa förutsättningar för sammanställning, uppföljning samt utvärdering av oplanerade driftstopp, ta fram en strategi och plan för hur och vilka processer som ska implementeras i Uppsala Länstrafiks verksamhet för att skapa förutsättningar för att göra en systematisk uppföljning eller utvärdering av driftstopp. Denna strategi bör stämmas av med Ledningskontoret och ITdriftavdelningen för att säkerställa att den går i linje med landstingets långsiktiga planer. Landstinget i Uppsala län 17 av 18

19 Magnus Olson-Sjölander Projektledare Anders Haglund Partner Landstinget i Uppsala län 18 av 18

Bilaga 39b Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 40c Bilaga 40c

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Mjölby kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

www.pwc.se Botkyrka kommun Revisionsrapport april 2014 Övergripande IT-granskning

www.pwc.se Botkyrka kommun Revisionsrapport april 2014 Övergripande IT-granskning www.pwc.se Botkyrka kommun Revisionsrapport april 2014 Övergripande IT-granskning Innehållsförteckning 1. Inledning 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

Landstinget i Uppsala län

Landstinget i Uppsala län Revisionsrapport Granskning av förvaltningskostnader för informationsteknologi och användbarhet hos olika applikationer i landstingets informationssystem Landstinget i Uppsala län Janne Swenson, Jens Ryning

Läs mer

www.pwc.com/se Nynäshamns kommun Översyn av IT-verksamheten September 2012

www.pwc.com/se Nynäshamns kommun Översyn av IT-verksamheten September 2012 www.pwc.com/se Nynäshamns kommun Översyn av IT-verksamheten September 2012 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys -

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Motala kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

www.pwc.com/se Tyresö kommun Granskning av IT-verksamheten Maj-juni 2013

www.pwc.com/se Tyresö kommun Granskning av IT-verksamheten Maj-juni 2013 www.pwc.com/se Tyresö kommun Granskning av IT-verksamheten Maj-juni 2013 Innehållsförteckning 1. Bakgrund och syfte 2. Sammanfattning 3. Genomförande och Metod 4. Detaljerad analys - observationer och

Läs mer

Övergripande granskning av ITverksamheten. Härryda kommun

Övergripande granskning av ITverksamheten. Härryda kommun Övergripande granskning av ITverksamheten i Härryda kommun Våren 2011 INNEHÅLLSFÖRTECKNING 1. Inledning... 3 2. Bakgrund... 3 3. Metod... 4 3.1 Representanter... 5 4. Övergripande sammanfattning... 6 5.

Läs mer

Styrning, uppföljning och intern kontroll avseende IT-stöd Landstinget i Värmland. Revisionsrapport

Styrning, uppföljning och intern kontroll avseende IT-stöd Landstinget i Värmland. Revisionsrapport Styrning, uppföljning och intern kontroll avseende IT-stöd Landstinget i Värmland Revisionsrapport 28 Oktober 2011 Innehållsförteckning 1. Bakgrund och Syfte... 3 2. Revisionsfrågor och revisionskriterier...

Läs mer

www.pwc.com/se Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012

www.pwc.com/se Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012 www.pwc.com/se Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012 Innehållsförteckning 1. Bakgrund och syfte 2. Metod för granskning 3. Deltagande personer 4.

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015 Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015 Agenda Tillvägagångssätt för att identifiera IT-relaterade risker. Exempel på olika typer av ITrelaterade granskningar.

Läs mer

KommunstYrelsen Vatten och Miljii i Viist AB Falkenberg Energi AB. Kommunfullmhktige - fdr khnnedom

KommunstYrelsen Vatten och Miljii i Viist AB Falkenberg Energi AB. Kommunfullmhktige - fdr khnnedom Falkenbergs kommun Valda revisorer Datum 2074-o5-15 KommunstYrelsen Vatten och Miljii i Viist AB Falkenberg Energi AB Kommunfullmhktige - fdr khnnedom Granskning av lt-verksarnheten pa uppdrag a*v revisorerna

Läs mer

14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse. Bilaga 112.15

14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse. Bilaga 112.15 Beslutande organ Dokumenttyp Sida Kommunstyrelsen Kallelse/dagordning 25 (38) Sammanträdesdatum 2015-06-10 Dnr KS 2015/102 14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse.

Läs mer

www.pwc.com/se Västerviks kommun Granskning av IT-verksamheten januari 2013

www.pwc.com/se Västerviks kommun Granskning av IT-verksamheten januari 2013 www.pwc.com/se Västerviks kommun Granskning av IT-verksamheten januari 2013 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionell bedömning 5. Revisionsfrågor - observationer

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

IT-strategi-Danderyds kommun 2010-2014

IT-strategi-Danderyds kommun 2010-2014 IT-strategi-Danderyds kommun 2010-2014 Beslutsinstans: Kommunfullmäktige Beslutsdatum: 2010-09-27 Giltighetstid: 2010-09-27 t o m 2014-12-31 Ansvarig nämnd: Kommunstyrelsen Diarienummer: KS 2010/0095 IT-strategi

Läs mer

Från arkitektur till IT-styrning

Från arkitektur till IT-styrning Från arkitektur till IT-styrning 29-30 mars 2012 Nebojsa Bjelobrk,IT-strateg Göteborg Energi AB Agenda Problembilden Vem? Hur? Vad? Inköp? Plocka ut? Lägga tillbaka? Bäst före datum? IT-styrning på Göteborg

Läs mer

Kamedo. IT-haverier i vården. Johan Carlstedt Socialstyrelsen

Kamedo. IT-haverier i vården. Johan Carlstedt Socialstyrelsen Kamedo IT-haverier i vården Johan Carlstedt Socialstyrelsen Katastrofmedicinska observatörsstudier Vad är Kamedo? Vad studeras? Hur bedrivs arbetet? Varför den här rapporten? Ökande antal IT-haverier inom

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

System- och objektförvaltning - roller

System- och objektförvaltning - roller System- och objektförvaltning - roller Landstingsdirektörens stab Version A 2010-01-25 Innehållsförteckning A. Objektförvaltning - roller enligt pm3... 3 Budgetnivå... 4 Beslutsnivå... 5 Roller på operativ

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Granskning av IT:s nytta ur ett verksamhetsperspektiv

Granskning av IT:s nytta ur ett verksamhetsperspektiv Revisionsrapport* Granskning av IT:s nytta ur ett verksamhetsperspektiv Finspångs kommun 15 maj 2009 Matti Leskelä *connectedthinking Innehållsförteckning 1 Bakgrund och syfte...3 2 Metod...3 3 Sammanfattande

Läs mer

Region Halland Översiktlig granskning av IT-verksamheten

Region Halland Översiktlig granskning av IT-verksamheten www.pwc.com/se Region Halland Översiktlig granskning av IT-verksamheten Redovisning av väsentliga iakttagelser December 2012 Andreas Crusell Martin Magnusson Innehållsförteckning 1. Bakgrund 2. Revisionsfråga

Läs mer

PROJEKTRAPPORT NR/7 2013. Ett samlat grepp om IT-verksamheten

PROJEKTRAPPORT NR/7 2013. Ett samlat grepp om IT-verksamheten PROJEKTRAPPORT NR/7 2013 N Ett samlat grepp om IT-verksamheten Vad gör Landstingsrevisorerna? Landstingsrevisorerna granskar den verksamhet som bedrivs av landstingets nämnder och bolagsstyrelser. Revisionsuppdraget

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG Underlag 1. Några myndigheters rapportering om informationssäkerhet i årsredovisningen Årsredovisningar år 2009 Läkemedelsverket Ledningssystemet för informationssäkerhet SS-ISO/IEC 27001:2006 är under

Läs mer

Region Halland Översiktlig granskning av IT-verksamheten

Region Halland Översiktlig granskning av IT-verksamheten www.pwc.se Region Halland Översiktlig granskning av IT-verksamheten Uppföljning av granskningsrapport från 2012 September 2015 Innehållsförteckning 1. Bakgrund till projektet 2. Revisionsfråga och kontrollmål

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Kommunens ITorganisation

Kommunens ITorganisation Revisionsrapport Kommunens ITorganisation Strömsunds kommun Maj-Britt Åkerström Cert. kommunal revisor Innehållsförteckning 1 Sammanfattning, revisionell bedömning, förslag till utveckling 2 Inledning

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Granskning av Intern kontroll

Granskning av Intern kontroll www.pwc.se Revisionsrapport Lars Wigström Cert. kommunal revisor Granskning av Intern kontroll Vingåkers kommun Innehållsförteckning 1. Sammanfattande bedömning och rekommendationer... 1 2. Inledning...3

Läs mer

MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN. Roller och ansvar inom utbildningsförvaltningens IT-verksamhet 2013-2016. IT-strategigruppen 2013-02-18

MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN. Roller och ansvar inom utbildningsförvaltningens IT-verksamhet 2013-2016. IT-strategigruppen 2013-02-18 MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN Roller och ansvar inom utbildningsförvaltningens IT-verksamhet 2013-2016 IT-strategigruppen 2013-02-18 INNEHÅLL FÖRVALTNINGSCHEF... 3 REKTOR/F... 3 IT-STRATEG...

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Visionen om en Tjänstekatalog

Visionen om en Tjänstekatalog Visionen om en Tjänstekatalog Varför ska vi införa tjänster? Copyright BiTA Service Management/Rolf Norrman 1 IT:s värde för verksamheten tydliggörs i verksamhetens egna termer Organisationens kundfokus

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

Erfarenhet och kunskap från avvikelserapporteringen

Erfarenhet och kunskap från avvikelserapporteringen LANDSTINGET I VÄRMLAND Revisorerna JM/AM 2010-12-23 Rev/10042 Erfarenhet och kunskap från avvikelserapporteringen Rapport 6-10 LANDSTINGET I VÄRMLAND 2010-12-23 2 Erfarenhet och kunskap från avvikelserapporteringen

Läs mer

PRAKTISK IT-STYRNING. Sammanfattning. Inledning och definitioner

PRAKTISK IT-STYRNING. Sammanfattning. Inledning och definitioner PRAKTISK IT-STYRNING Sammanfattning Hos många företag och myndigheter ses IT som en ständig källa till problem 1 och svag kundnöjdhet 2. Orsakerna bakom grundar sig ofta på bristande rutiner, ansvar, kompetens

Läs mer

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Systemförvaltnings Modell Ystads Kommun(v.0.8) IT avdelningen Piparegränd 3 271 42 Ystad Systemförvaltnings Modell Ystads Kommun(v.0.8) S.M.Y.K Beskrivningar och hänvisningar till rutiner och riktlinjer som ligger till grund för ett tryggt förvaltande

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

The Rational IT Model EN ENKLARE VÄG TILL IT SERVICE MANAGEMENT

The Rational IT Model EN ENKLARE VÄG TILL IT SERVICE MANAGEMENT The Rational IT Model EN ENKLARE VÄG TILL IT SERVICE MANAGEMENT ITIL is a registered trade mark of AXELOS Limited. Bakgrund till modellen... 3 Beskrivning av modellen... 4 Modellens uppbyggnad... 5 Faser...

Läs mer

Avbrott i bredbandstelefonitjänst

Avbrott i bredbandstelefonitjänst BESLUT 1(7) Datum Vår referens Aktbilaga 2013-10-17 Dnr: 12-9626 37 Nätsäkerhetsavdelningen Karin Lodin 073-644 56 04 karin.lodin@pts.se Avbrott i bredbandstelefonitjänst Saken Tillsyn enligt 7 kap. 1

Läs mer

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc www.pwc.se Revisionsrapport Joanna Hägg Tilda Lindell Granskning av intern kontroll Tierps kommun pwc Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Granskningsbakgrund...

Läs mer

Ledningssystem för IT-tjänster

Ledningssystem för IT-tjänster Styrning och ledning av IT med stöd av internationella standarder Ledningssystem för IT-tjänster sixten.bjorklund@sipit.se 2013-11-05 Sip It AB, Sixten Björklund 1 Kort om Sixten Konsult i eget bolag Ledning

Läs mer

Examinering i ITIL Foundation

Examinering i ITIL Foundation Examinering i ITIL Foundation Exempelhäfte A, version 5.1 Flervalsfrågor Instruktioner 1. Alla 40 frågorna ska besvaras. 2. Alla svar ska markeras i svarstabellen som följer med. 3. Du har 60 minuter på

Läs mer

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Kommunens revisorer 2013-04-08 GRANSKNING AV INTERNKONTROLLPLANER I HÄRRYDA KOMMUN Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Rapporten

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun

Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun 2 November 2012 Innehåll Sammanfattning... 1 1. Inledning... 2 2. Resultat... 3 3. Bedömning och rekommendationer... 5 Sammanfattning

Läs mer

Journalsystem och informationssäkerhet

Journalsystem och informationssäkerhet Landstingets revisorer Revisionsrapport Januari 2012 Bilaga nr 3a till överläggningar med landstingets revisorer den 19 januari 2012. mer text Journalsystem och informationssäkerhet Delrapport 1 Ledning,

Läs mer

Revisionsrapport Ledningssystemet Stratsys

Revisionsrapport Ledningssystemet Stratsys www.pwc.se Revisionsrapport Ledningssystemet Stratsys Håkan Olsson Cerifierad Kommunal Yrkesrevisor Anna Laurell Lysekils kommun Kommunens arbete med ledning och styrning samt användandet av Stratsys Innehållsförteckning

Läs mer

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Beslut: Rektor 2012-01-16 Revidering: - Dnr: DUC 2012/63/10 Gäller fr o m: 2012-01-16 Ersätter: - Relaterade dokument: - Ansvarig

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

- Budget och uppföljning - Kundfakturor fakturor till kund/brukare - Leverantörsfakturor fakturor från leverantör - Lönehantering

- Budget och uppföljning - Kundfakturor fakturor till kund/brukare - Leverantörsfakturor fakturor från leverantör - Lönehantering 1(5) KS 2011/0014 Svar på revisionsrapport- Granskning av ekonomiadministrativa processer - Effektivitetsgranskning Bakgrund Danderyds förtroendevalda revisorer har uppdragit till PricewaterhouseCoopers

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

Byta system bli klar i tid och undvik onödiga kostnader

Byta system bli klar i tid och undvik onödiga kostnader Byta system bli klar i tid och undvik onödiga kostnader Registratorskonferens 19 maj 2015 Elisabeth Jarborn Arkivchef och verksamhetsutvecklare, Danderyds kommun På två månader kan ni ha ny teknisk lösning

Läs mer

Härjedalens Kommuns IT-strategi

Härjedalens Kommuns IT-strategi FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 105/04 2004-09-20 1 Härjedalens Kommuns IT-strategi En vägvisare för kommunal IT 2 INNEHÅLL Sid 1. BESKRIVNING 3 1.1 Syfte och omfattning 3 1.2 Kommunens

Läs mer

Förtroendevald revisor i regionens stiftelser

Förtroendevald revisor i regionens stiftelser Förtroendevald revisor i regionens stiftelser Förtroendevald revisors uppgifter i regionens stiftelser Några särskilda arbetsuppgifter för den förtroendevalde revisorn vid granskningen av stiftelser är

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Tillgänglighet, Kontinuitet och Incidenthantering. Förutsättningar för nyttoeffekter. Leif Carlson

Tillgänglighet, Kontinuitet och Incidenthantering. Förutsättningar för nyttoeffekter. Leif Carlson Tillgänglighet, Kontinuitet och Incidenthantering Förutsättningar för nyttoeffekter Leif Carlson Informationssäkerhet, och då speciellt Tillgänglighet, är en av de viktigaste möjliggörarna för att ITinvesteringar

Läs mer

Uppföljning av tidigare granskning av kommunens fordon

Uppföljning av tidigare granskning av kommunens fordon www.pwc.se Revisionsrapport Fredrik Ottosson Cert. kommunal revisor Sandra Marcusson Oktober 2014 Uppföljning av tidigare granskning av kommunens fordon Karlshamn kommun Uppföljning av tidigare granskning

Läs mer

Intern styrning och kontroll. Verksamhetsåret 2009

Intern styrning och kontroll. Verksamhetsåret 2009 Intern styrning och kontroll Verksamhetsåret 2009 ISK-projektet: En oberoende övergripande utvärdering av intern styrning och kontroll (ISK) på Riksbanken, utfördes av Ernst & Young i maj 2009. Utgångspunkt

Läs mer

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete s revisorer Kommunstyrelsen För kännedom: Kommunfullmäktiges presidium Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete Revisionen har via KPMG genomfört en granskning

Läs mer

Kvalitet inom äldreomsorgen

Kvalitet inom äldreomsorgen Revisionsrapport* Kvalitet inom äldreomsorgen Mora kommun Februari 2009 Inger Kullberg Innehållsförteckning 1 Sammanfattande bedömning...3 2 Inledning och bakgrund...4 2.1 Revisionsfråga...5 2.2 Revisionsmetod...5

Läs mer

Systemförvaltning av IT-system

Systemförvaltning av IT-system Revisionsrapport Systemförvaltning av IT-system Norrbottens läns landsting Februari 2009 Per Ståhlberg Revisionskonsult Hans Rinander Certifierad kommunal revisor 2009-02-26 Per Ståhlberg, Projektledare

Läs mer

Västerås stad. IT-verksamhet i förändring. Att använda Best Practice och standards för att få ordning och reda ett verkligt case

Västerås stad. IT-verksamhet i förändring. Att använda Best Practice och standards för att få ordning och reda ett verkligt case Västerås stad IT-verksamhet i förändring Att använda Best Practice och standards för att få ordning och reda ett verkligt case Västerås s stad har ett starkt behov av att producera ett växande utbud av

Läs mer

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll KIRUNA KOMMUN Bilaga 1 Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll Innehåll sida 1. Intern styrning och kontroll 2 2. Riskanalys 3 - Övergripande

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Uppföljning av upphandling svar på revisionsskrivelse

Uppföljning av upphandling svar på revisionsskrivelse 8 april 2014 KS-2014/476.912 1 (7) HANDLÄGGARE Mikael Blomberg 08-535 302 98 mikael.blomberg@huddinge.se Kommunstyrelsen Uppföljning av upphandling svar på revisionsskrivelse Förslag till beslut Kommunstyrelsens

Läs mer

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete 2014 En bild av myndigheternas informationssäkerhet 2014 tillämpning av MSB:s föreskrifter Enkätundersökning februari 2014 Utskick

Läs mer

Stöd och lärande. Ledningssystem för systematiskt kvalitetsarbete inom Stöd och Lärande Tomelilla Kommun.

Stöd och lärande. Ledningssystem för systematiskt kvalitetsarbete inom Stöd och Lärande Tomelilla Kommun. Stöd och lärande Ledningssystem för systematiskt kvalitetsarbete inom Stöd och Lärande Tomelilla Kommun. Innehåll Inledning... 3 Syfte... 3 Kvalitetsindikatorer... 3 Lagrum... 3 Berörda... 3 Utveckling...

Läs mer

Karlstads kommuns IT-verksamhet

Karlstads kommuns IT-verksamhet 2014-01-30 Karlstads kommuns IT-verksamhet RESURSSTYRNING Mats Jensen Gruppchef Förvaltning IT +4670-6215470 mats.jensen@karlstad.se ISO/IEC 20000 Certifierad KARLSTADS KOMMUN 87 000 invånare Värmland

Läs mer

Landstingets ärende- och beslutsprocess

Landstingets ärende- och beslutsprocess LANDSTINGET I VÄRMLAND REVISIONSRAPPORT Revisorerna AM/JM 2012-12-18 Rev/12017 Landstingets ärende- och beslutsprocess Sammanfattning Denna granskning har omfattat hantering enligt riktlinjen för landstingets

Läs mer

Styrande dokument inom IT-området

Styrande dokument inom IT-området SID 1 (6) Bilaga 6a Styrande dokument inom IT-området Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt genomförande inom Skolplattform Stockholm Box 22049, 104 22

Läs mer

Uppföljning av tidigare genomförd granskning av styrning, uppföljning och intern kontroll avseende IT-stöd Landstinget i Värmland

Uppföljning av tidigare genomförd granskning av styrning, uppföljning och intern kontroll avseende IT-stöd Landstinget i Värmland Uppföljning av tidigare genomförd granskning av styrning, uppföljning och intern kontroll avseende IT-stöd Landstinget i Värmland Uppföljningsrapport Maj 2014 Innehåll 1. Bakgrund och Syfte... 3 2. Metod

Läs mer

Uppföljning av tidigare granskningar

Uppföljning av tidigare granskningar Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2

Läs mer

Produktionsplanering

Produktionsplanering www.pwc.se Revisionsrapport Produktionsplanering Anders Larsson Certifierad kommunal revisor Matti Leskelä Region Östergötland 25 februari 2015 Innehållsförteckning 1. Sammanfattning... 1 2. Inledning...

Läs mer

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang. IT-säkerhetspolicy IT-säkerhetspolicy Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.se Innehåll Sammanfattning 1 IT-säkerhetspolicy

Läs mer

Svar på revisionsrapport patientsäkerhetsgranskning av medicintekniska produkter

Svar på revisionsrapport patientsäkerhetsgranskning av medicintekniska produkter 1(5) Datum 2014-05-07 Diarienummer Förslag Till Region Hallands revisorer För kännedom: Hälso- och sjukvårdsstyrelsen på revisionsrapport patientsäkerhetsgranskning av medicintekniska produkter Driftnämnden

Läs mer

Tekniskt driftdokumentation & krishantering v.1.0

Tekniskt driftdokumentation & krishantering v.1.0 Tekniskt driftdokumentation & krishantering v.1.0 Denna driftdokumentation avser driftmiljön hos Camero AB:s webbhotell, både delade och dedikerade lösningar. Teknisk dokumentation Cameros webbhotell har

Läs mer

Riktlinje för Riskanalys och Intern kontroll

Riktlinje för Riskanalys och Intern kontroll Diarienummer: 2015/560-KS-004 Riktlinje för Riskanalys och Intern kontroll Beslutad av kommunstyrelsen 2015 XX - XX program policy handlingsplan riktlinje 1 Riktlinje för Riskanalys och Intern kontroll

Läs mer

Granskning av informations- integrationer inom Malmö stad

Granskning av informations- integrationer inom Malmö stad Granskning av informations- integrationer inom Malmö stad Februari 2010 Deloitte AB SE-113 79 Stockholm Stadsrevisionen Malmö stad Stadshuset, August Palms plats 1 205 80 Malmö Tel: +46 8 506 710 00 Fax:

Läs mer

Reglemente för internkontroll

Reglemente för internkontroll Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

Revisionsrapport. Granskning av efterarbetes- och uppföljningsprocessen efter avslutad upphandling inom Båstad Kommun.

Revisionsrapport. Granskning av efterarbetes- och uppföljningsprocessen efter avslutad upphandling inom Båstad Kommun. Revisionsrapport Granskning av efterarbetes- och uppföljningsprocessen efter avslutad upphandling inom Båstad Kommun. Januari 2012 Fredrik Andrén, Jur. Kand. Innehåll 1 Sammanfattning... 3 2 Inledning...

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

IT-policy, Vansbro kommun Fastställd av fullmäktige den 2012-05-28, 42. Datum 2012-05-28 Ärende KS2012/262

IT-policy, Vansbro kommun Fastställd av fullmäktige den 2012-05-28, 42. Datum 2012-05-28 Ärende KS2012/262 IT-policy, Vansbro kommun Fastställd av fullmäktige den 2012-05-28, 42 Datum 2012-05-28 Ärende KS2012/262 Sida 2 av 5 SYFTE MED ANVÄNDANDET AV IT I VANSBRO KOMMUN... 4 ÖVERGRIPANDE MÅL... 4 MÅL FÖR ANVÄNDANDE

Läs mer

IT vid Göteborgs universitet. Lars Hansen (CIO) Hans Larsson (IT-chef) P-O Rehnquist (Förvaltningschef)

IT vid Göteborgs universitet. Lars Hansen (CIO) Hans Larsson (IT-chef) P-O Rehnquist (Förvaltningschef) IT vid Göteborgs universitet Lars Hansen (CIO) Hans Larsson (IT-chef) P-O Rehnquist (Förvaltningschef) Göteborgs universitets organisation GU:s IT-stöd 2005 6 olika distansutbildningssystem 20 olika e-posttjänstsystem

Läs mer