Granskning av risken för driftstopp i landstingets informationssystem

Storlek: px
Starta visningen från sidan:

Download "Granskning av risken för driftstopp i landstingets informationssystem"

Transkript

1 Revisionsrapport Granskning av risken för driftstopp i landstingets informationssystem Landstinget i Uppsala län Janne Swenson, Magnus Olson-Sjölander Jens Ryning Mars 2014

2 Innehållsförteckning Sammanfattning 2 1 Inledning Bakgrund motiv för granskning Uppdrag och revisionsfråga Genomförande, avgränsningar och metod Genomförande Avgränsningar Metod Läsanvisning 7 2 Iakttagelser och bedömningar Driftstopp inom LUL Iakttagelser och bedömningar Rekommendationer Uppföljning av driftstopp inom LUL Iakttagelser och bedömningar Rekommendationer Förändringshantering inom LUL Iakttagelser och bedömningar Rekommendationer Dokumentation avseende IT-miljön Iakttagelser och bedömningar Rekommendationer Beredskap vid driftstörningar Iakttagelser och bedömningar Rekommendationer Intern styrning och kontroll av IT Iakttagelser och bedömningar Rekommendationer 16 3 Besvarande av den övergripande revisionsfrågan 17 Landstinget i Uppsala län 1 av 18

3 Sammanfattning har av revisorerna i Landstinget i Uppsala län (LUL) fått i uppdrag att granska risken för driftstopp i landstingets informationssystem. Granskningen har för avsikt att utreda om landstingets informationssystem är utformat så att system, program och enskilda applikationer är tillgängliga när användaren behöver dem. Intervjuer har genomförts med nyckelpersoner inom landstinget samt inläsning och genomgång av policys, styrande dokument och annan relevant dokumentation. Granskningen har täckt in landstingets väsentliga informationssystem inom kollektivtrafik, hälso- och sjukvård samt landstingsövergripande system, exempelvis journalsystem, mailsystem, intranät och ITdriftsystem. har gjort följande bedömning av den övergripande revisonsfrågan, Har landstinget vidtagit ändamålsenliga åtgärder för att minska risken för oplanerade driftstopp? Landstinget har till stora delar vidtagit ändamålsenliga åtgärder för att minska risken för oplanerade driftstopp. En av de främsta anledningarna till detta är att stora delar av IT-miljön är redundant och att det finns övervakningsverktyg för att snabbt upptäcka eventuella fel eller brister i systemen. Utöver detta finns det inom den centrala IT-funktionen en etablerad förändrings-process implementerad, vilket innebär att förändringar testas innan produktions-sättning och därmed minskas risken för driftstopp. Orsaken till detta menar vi är att det, enligt intervjuade personer, sällan förekommit några driftstopp som påverkat slutanvändare av IT i landstinget de senaste åren. Värt att nämna är dock att det inte finns någon definition av vad ett driftstopp är och att det inte sker någon formell eller systematisk sammanställning av driftstopp inom landstinget. En katastrofplan för IT saknas, vilket, i händelse av en större driftincident, kan få en stor påverkan på tillgängligheten. Vår bedömning är att risken för oplanerade driftstopp inom Uppsala Länstrafik är högre än inom övrig verksamhet. Uppsala Länstrafik är till stor del en egen enhet gällande IT-infrastruktur och har därmed inte haft möjlighet att dra nytta av de processer och rutiner som finns inom landstingets övriga verksamhet. Det saknas bland annat en formell förändringsprocess och inga systematiska uppföljningar eller utvärderingar av driftstopp genomförs. Ett arbete med att migrera system till Landstingets IT-funktion är dock initierat. Avseende intern styrning och kontroll av IT inom landstinget kan det konstateras att styrningen över IT kan förbättras. Det lyfts bland annat fram att det upplevs som att det saknas tydliga gemensamma mål för IT som helhet inom landstinget. Vidare är IT-funktionen till stora delar decentraliserad till ett flertal fristående parter där Ledningskontoret ofta saknar mandat att styra i IT-frågor. Vi har även noterat att det råder viss otydlighet avseende supportorganisationen och dess struktur vilket resulterar i utmaningar med att följa upp och analysera supportärenden för att Landstinget i Uppsala län 2 av 18

4 proaktivt kunna samordna och införa förbättringsåtgärder, vilka kan förbättra ITstödet och IT-leveransen samt i en förlängning förhindra oplanerade driftstopp. Det finns ett antal områden som landstinget bör överväga att prioritera och där åtgärder krävs för att uppnå en mer ändamålsenlig IT-leverans. Nedan listas de områden som anser vara högst prioriterade. Vi rekommenderar landstinget att: se över sin styrmodell inom IT för att skapa bättre förutsättningar för landstinget att ta fram en gemensam målbild för IT och därmed kunna styra IT samt prioritera sin IT-funktion, se över lämpligheten i den organisationsstruktur som finns idag för att förbättra sina interna processer, interna styrning samt interna kontroll. Framförallt med fokus på relationen med IT-driftavdelningen och den supportstruktur som är instiftad, utarbeta en formell kontinuitets- och katastrofplan, som baseras på av verksamheten genomförda riskanalyser, för IT inom landstinget, formulera en enhetlig definition av vad ett driftstopp är för att skapa förutsättningar för sammanställning, uppföljning samt utvärdering av oplanerade driftstopp, ta fram en strategi och plan för hur och vilka processer som ska implementeras i Uppsala Länstrafiks verksamhet för att skapa förutsättningar att göra en systematisk uppföljning eller utvärdering av driftstopp. Denna strategi bör stämmas av med Ledningskontoret och ITdriftavdelningen för att säkerställa att den går i linje med landstingets långsiktiga planer. Landstinget i Uppsala län 3 av 18

5 1 Inledning 1.1 Bakgrund motiv för granskning Många organisationer är idag beroende av informationsteknologi (IT) för att bedriva sin verksamhet. Ett oplanerat avbrott kan få allvarliga konsekvenser, både för den enskilde och för samhället. Oplanerade driftstopp i vitala system har skapat problem inom landsting. Liknande problem har förekommit i både offentliga och privata informationssystem. Det finns ett antal kända orsaker till oplanerade driftstopp, exempelvis att det brister i den aktuella applikationens arkitektur och i dokumentationen av arkitekturen och programstrukturen, bristfälligt utformade och otillräckligt testade uppdateringar av applikationens programvara, otillräcklig kapacitet hos de servrar som applikationen nyttjar samt bristfällig eller otillräcklig beredskap för att snabbt kunna återstarta applikationen efter ett hårdvarufel. LUL:s flora av informationssystem består av en heterogen samling av applikationer. Allmänhetens intresse riktas oftast mot de stödsystem som vårdpersonalen använder, i synnerhet journalsystem. Ur ett säkerhetsperspektiv är det emellertid även viktigt att uppmärksamma de administrativa stödsystemen för t ex ekonomi och personalhantering. Precis som andra verksamhetstillgångar är information och data tillgångar som bör skyddas. Informationssäkerhet omfattar förutom de åtgärder som vidtas för att hindra att information läcker ut, förvanskas eller förstörs, även de åtgärder som vidtas för att säkerställa att informationen är tillgänglig när den behövs. Ett driftstopp kan resultera i att ett system, program eller enskild applikation inte är tillgänglig och fungerar när användaren behöver den. Ett oplanerat driftstopp resulterar oftast även i andra följdproblem internt och externt samt medför ökade finansiella merkostnader för verksamheten. Landstinget i Uppsala län 4 av 18

6 1.2 Uppdrag och revisionsfråga har av revisorerna i Landstinget i Uppsala län fått i uppdrag att granska risken för driftstopp i landstingets informationssystem. Granskningen syftar till att analysera hur landstinget säkerställer att dess informationssystem är utformat på ett sådant sätt att system, program och enskilda applikationer är tillgängliga när användaren behöver dem. Den övergripande revisionsfrågan som granskningen syftar till att besvara är: Har landstinget vidtagit ändamålsenliga åtgärder för att minska risken för oplanerade driftstopp? Inom ramen för den ovanstående revisionsfrågan har sex nedbrutna delfrågor definierats, dessa är: 1. I vilken utsträckning har det förekommit oplanerade driftstopp under de senaste åren? 2. Sker systematisk uppföljning och utvärdering vid planerade och oplanerade driftstopp? 3. Finns det tillfredsställande rutiner inför uppdateringar och en beredskap för att återgå till tidigare version vid en misslyckad uppdatering? 4. Finns det ett tydligt ansvar för dokumentation av arkitektur och programstruktur samt en långsiktig planering som säkerställer att det finns en tillräcklig serverkapacitet? 5. Finns det beredskap inför hårdvarufel och överbelastningsattacker? 6. Finns det en integrerad process för intern styrning och kontroll med mål och årliga riskanalyser? Landstinget i Uppsala län 5 av 18

7 1.3 Genomförande, avgränsningar och metod Genomförande Intervjuer har genomförts med nyckelpersoner inom landstinget samt inläsning och genomgång av policys, styrande dokument och annan relevant dokumentation. Granskningen har för avsikt att säkerställa att landstingets informationssystem är utformat så att system, program och enskilda applikationer är tillgängliga när användaren behöver dem. Granskningen har, i och med de intervjuade personernas olika roller, täckt in landstingets väsentliga informationssystem inom kollektivtrafik, hälso- och sjukvård samt landstingsövergripande system, exempelvis journalsystem, mailsystem, intranät och IT-driftsystem. Följande roller har intervjuats: Informationssäkerhetsansvarig på Ledningskontoret Kvalitetssamordnare MSI Förvaltningsledare samt Objektägare för EPJ IT-direktör i Landstinget i Uppsala län Chef för Teknikstöd IT Förvaltningsledare för Webbkommunikation Chef för Nät och server Förvaltningsledare IT för systemplattformen Domino IT-chef inom Uppsala Länstrafik Avgränsningar Granskningens omfattning begränsas till de revisionsfrågor som definierats av Landstinget i Uppsala län, se sektion 1.2 Uppdrag och revisionsfråga. Vidare har granskningen endast utgått från (och kan således inte analysera) annan information än vad Landstinget i Uppsala län tillgängliggjort för oss genom intervjuer och tillhandahållen dokumentation. Landstinget i Uppsala län 6 av 18

8 1.3.3 Metod Under granskningen har delar av :s verktyg IT Management Analysis (ITM) använts. Verktyget bygger på en databas som innehåller jämförbar (så kallad good practice och benchmarking ) samt relevant information för generell ITverksamhet inom områdena IT-strategi, IT-leverans, teknologi, personal samt system och applikationer (se tabell nedan). Även relevanta delar av Riktlinjer för styrning av informationssäkerhet (ISO/IEC 27002:2005) och ramverket COBIT har utgjort en grund i bearbetningen av insamlat material. Nedan följer en mer detaljerad beskrivning av respektive område: Område A IT-strategi B IT-leverans C Teknologi D Personal E System och applikation Beskrivning Vad krävs för att säkerställa att IT-strategin stödjer verksamheten på bästa sätt? Hur ska verksamheten hantera och styra IT? Hur är strategin kopplad till en stabil och säker IT-drift? Är användningen av resurser organiserad, strukturerad, analyserad och kontrollerad för att ge optimal IT-leverans samt ett optimalt verksamhetsstöd? Hur mäts och värderas IT-stödet? Hur mäts stabiliteten i IT-driften och vilka krav ställer verksamheten? Följs trender inom teknologi? Är IT-arkitekturen effektiv och anskaffas teknologi på det mest effektiva sättet? Hur anpassningsbar är tekniken till förändrade behov och förutsättningar i verksamheten? Finns tekniska förutsättningar för en stabil IT-drift? Hur hanteras personal i relation till IT (kompetens, attityder, relationsförmåga, processer och effektivitet)? Finns adekvat kompetens avseende IT-drift? Är applikationer och IT-system ändamålsenliga och kostnadseffektiva? Ger de tillräckliga beslutsunderlag och identifierar om ytterligare behov finns? Hur monitoreras applikationer i relation till en stabil IT-drift? 1.4 Läsanvisning Rapporten inleds med iakttagelser från de detaljfrågor som hör till granskningen. Iakttagelserna följs av våra rekommendationer för respektive detaljfråga och relaterade revisionskriterier. Avslutningsvis ges en samlad bild av våra rekommendationer för den övergripande revisionsfrågan. Landstinget i Uppsala län 7 av 18

9 2 Iakttagelser och bedömningar Nedan ges en nulägesbild av de sex underliggande frågorna till den övergripande revisionsfrågan huruvida landstinget har vidtagit ändamålsenliga åtgärder för att minska risken för oplanerade driftstopp. Respektive nulägesbild följs av vår bedömning av landstingets nuvarande situation inom respektive område. 2.1 Driftstopp inom LUL Avsnittet syftar till att bedöma förekomsten av oplanerade driftstopp inom LUL Iakttagelser och bedömningar Det har vid våra intervjuer framkommit att det inom landstinget i princip inte har skett några driftstopp under de senaste åren. Det senaste större driftstoppet inträffade 2011 vid en planerad versionsuppdatering av patientjournalsystemet. Det noterades under granskningen att det byggts upp redundans på många av landstingets system, vilket är en trolig förklaring till att så få driftstopp skett. Verksamhetens krav att upprätthålla drift av det elektroniska patientjournalsystemet (EPJ) utanför kontorstid ligger som grund för den redundanta miljön. Enligt uppgift finns idag system som är redundanta, utan att någon riskbedömning föranletts. Det har även framkommit att det finns system som bör få en högre tillgänglighet, exempelvis intranätet NAVET. Intranätet är uttalat den kommunikationskanal som ska användas vid driftavbrott men enligt uppgift är systemet inte redundant. Detta innebär att det vid driftavbrott finns en risk för att det inte går att nå ut med information till verksamheten. Inom ramen för granskningen skulle en kartläggning av förekomsten av oplanerade driftstopp inom landstinget genomföras. Denna kartläggning har inte varit möjlig att genomföra då det ej sker någon formell eller systematisk sammanställning av planerade eller oplanerade driftstopp inom landstinget. Värt att notera är att denna typ av sammanställning aldrig efterfrågats från verksamheten eller Ledningskontoret (LK). Vi har även noterat att det saknas en definition av vad som är ett driftstopp. Definitionen av ett driftstopp saknas på det strategiska övergripande planet inom LK och inom IT-driftavdelningen (MSI), Bedömningar Vår bedömning är att det inte alltid föreligger något uttalat verksamhetskrav eller genomförda riskanalyser för den systemredundans som finns idag, vilket kan innebära att kostnad inte står i paritet med behov eller att system som bör vara redundant, inte är det. Vidare saknas det en definition av vad ett driftstopp är vilket kan innebära att begreppet inte har samma innebörd för MSI som för de olika verksamheterna inom LUL. I och med att det upplevs att få driftavbrott som påverkat verksamheten har skett, bedömer vi att det finns en stor sannolikhet att framtagna verksamhetsrutiner för oplanerade driftavbrott inte är kända för landstingets medarbetare och därmed blir ineffektiva. Landstinget i Uppsala län 8 av 18

10 2.1.2 Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: formulera en enhetlig definition av vad ett driftstopp är för att skapa förutsättningar för sammanställning, uppföljning samt utvärdering av oplanerade driftstopp, se över i vilken utsträckning den redundans man byggt upp är relevant för alla delar i verksamheten för att utvärdera om kostnaderna för redundansen är berättigade, löpande säkerställa att manuella reservrutiner vid driftavbrott fungerar, inom IT-organisationen och inom landstingets verksamhet. 2.2 Uppföljning av driftstopp inom LUL Avsnittet syftar till att bedöma huruvida uppföljning och utvärdering sker vid planerade och oplanerade driftstopp Iakttagelser och bedömningar MSI har en väl utvecklad förändringsprocess som bygger på ramverket Ledningssystem för IT-tjänster (ISO/IEC 20000). Förändringsprocessen är väl implementerad och används både inom verksamheten och IT. Enligt uppgift godkänns alla förändringar formellt innan produktionssättning sker i landstingets IT-miljö. Bild 1, process för utvärdering av förändringsärende Det har vid våra intervjuer framkommit att löpande uppföljning och utvärdering av driftstopp inom MSI inte sker på ett systematiskt sätt. Dock är uppföljning och Landstinget i Uppsala län 9 av 18

11 utvärdering av testade förändringar en del i MSI:s dokumenterade förändringsprocess, vilket minskar risken för driftstopp inom LUL. Vidare har det framkommit att det saknas en definition av vad ett driftstopp är inom Landstinget. Även överenskommelser mellan MSI LK och MSI verksamhet/objekt saknar nyckeltal för att kunna göra relevanta uppföljningar, t ex mätningar av tillgänglighetstider och prestanda. Inom MSI pågår ett arbete med att ta fram ett tydligare tjänsteutbud, via en så kallad tjänstekatalog, vilket vi bedömer som positivt. En bra modell är att i tjänstekatalogen definiera nyckeltal och/eller andra relevanta mätetal för att skapa gynnsammare förutsättning för uppföljning och underlätta utvärdering av arbete som utförts av MSI. Uppsala Länstrafik (UL) är sedan 1 januari 2012 en del av LUL, dock är de till stor del fortfarande en egen enhet gällande IT-infrastruktur. UL saknar en formell förändringsprocess och genomför inga systematiska uppföljningar eller utvärderingar av driftstopp. Viss IT-infrastruktur är migrerad till MSI och denna följer de processer som MSI har implementerat. Det osystematiska arbetssättet rörande brister i formella förändringsprocesser ökar risken för oplanerade driftstopp inom den IT-miljö som fortfarande står under UL:s driftansvar. Det hålls årliga kunddialoger mellan MSI och deras kunder, som bygger på att den årliga leveransen summeras på en övergripande nivå. Dock hålls sällan regelbundna (månatliga) leveransavstämningar mellan MSI och deras kunder, vilket kan förväntas av en modern driftsleverantör. Det noteras dock att inga direkta krav på MSI finns att leverera statistik avseende leveransen, varken från LK eller från verksamheten. Bedömningar Vår bedömning är att en tydligt definierad tjänstekatalog är en förutsättning för en ändamålsenlig leverans av IT. Likaså är en framgångsfaktor för ett bra samarbete att regelbundet genomföra leveransavstämningar mellan en driftorganisation och dess kunder Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: regelbundet efterfråga leveransstatistik, exempelvis genom att upprätta mer frekventa och formaliserade avstämningsmöten med MSI för säkerställa att levereransen sker enligt gällande överenskommelse, på ett mer systematiskt sätt följa upp och utvärdera incidenter genom att ställa tydligare krav på MSI, utarbeta en plan för hur en formell förändringsprocess kan implementeras hos UL för att kunna göra systematisk uppföljning eller utvärdering av driftstopp. Landstinget i Uppsala län 10 av 18

12 2.3 Förändringshantering inom LUL Avsnittet syftar till att bedöma om rutiner samt tekniska förutsättningar finns för att återgå till tidigare version vid en misslyckad uppdatering Iakttagelser och bedömningar En förändringsprocess finns implementerad inom MSI som bygger på ramverket ISO/IEC LK har även under 2013 beslutat att ramverket ska implementeras för alla delar som jobbar med IT-relaterade processer inom landstinget. Förändringsprocessen används både inom verksamheten och IT. Enligt uppgift godkänns alla förändringar formellt i landstingets IT-miljö innan produktionssättning sker. Uppföljning och utvärdering av testade förändringar är en del i MSI:s dokumenterade förändringsprocess. Bild 2, förändringsprocess Det framkom under intervjuerna att problem fångas upp redan i testprocessen, vilket innebär att driftsättning av problem sällan förekommer. I de fall det är tekniskt möjligt går det att återgå till tidigare versioner vid en eventuell misslyckad uppdatering. För landstingets patientjournalsystem står dock denna möjlighet i direkt relation till när användare släpps in i systemet efter en uppgradring, då det ej går att återgå till tidigare versioner om patientdata har registrerats i den uppdaterade versionen. Landstinget i Uppsala län 11 av 18

13 UL:s relativt nya inträde i LUL:s organisation gör att vissa delar av driften ligger kvar i deras gamla miljö och driftas av dotterbolaget Prebus AB. De miljöer som tillkommit sedan inträdet i LUL:s organisation driftas av MSI och innefattas således av MSI:s förändringsprocess. Den långsiktiga strategin inom UL är att migrera all IT-drift till MSI. Bedömningar Vår bedömning är att det, för de system som hanteras av MSI, finns tillfredsställande rutiner för uppdateringar samt möjlighet att återgå till tidigare version vid en misslyckad uppdatering. Vi bedömer att avsaknaden av en formell process för förändringshantering riskerar att påverka driftstabiliteten i UL:s äldre kvarvarande IT-miljö Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: ta fram en strategi och plan för hur och vilka processer som ska implementeras i UL:s verksamhet för att skapa förutsättningar att göra en systematisk uppföljning eller utvärdering av driftstopp. Denna strategi bör stämmas av med LK och MSI för att säkerställa att den går i linje med landstingets långsiktiga planer, fortsätta arbetet med införandet av ramverket ISO/IEC inom hela organisationen och fortsätta att utveckla och implementera kvarvarande delar av ramverket. 2.4 Dokumentation avseende IT-miljön Avsnittet syftar till att bedöma den övergripande ansvarsfördelningen avseende dokumentation av arkitektur samt hur landstinget säkerställer tillräcklig serverkapacitet Iakttagelser och bedömningar Det finns otydligheter gällande ansvaret för hur dokumentation ska ske inom landstinget. Under våra intervjuer framgick det att verksamheten förutsätter att dokumentationsansvaret för den tekniska infrastrukturen helt ligger på MSI. Vid dialogen med MSI framkom att deras kunder förväntas ansvara för dokumentation av system, integrationer och annan verksamhetsnära dokumentation. Vi kan konstatera att det saknas tydliga definitioner för var gränsdragningen för dokumentation går samt hur och när den ska utföras. Enligt uppgift saknar UL adekvat dokumentation avseende sin IT-miljö inom ett flertal områden. Vidare saknas det dokumentationsmallar för att kvalitetssäkra och standardisera dokumentationen inom organisationen. MSI ansvarar för den långsiktiga kapacitetsplaneringen, vilken ska säkerställa att IT-infrastrukturen är på en adekvat nivå utifrån verksamhetens behov, för de Landstinget i Uppsala län 12 av 18

14 system MSI ansvarar för. Kapacitetsplaneringen utgår från den överenskommelse som tecknats med respektive objekt. För att säkerställa en hög tillgänglighet till systemen har MSI, genom automatiserade verktyg, daglig övervakning på sin ITmiljö för att på så sätt upptäcka fel och brister i både hårdvara, system och applikationer. Supportavtal såväl som utbytesperioder för infrastrukturen inom landstinget hanteras av MSI. Den generella uppfattningen bland de intervjuade personerna från verksamheten är att de inte upplever några kapacitetsproblem, varken vad gäller lagring eller drift, vilket vi bedömer som positivt. Bedömningar Vår övergripande bedömning är att det otydliga dokumentationsansvaret inom LUL generellt samt UL:s brister inom området resulterar i att LUL:s dokumentation kan vara bristfällig Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: tydliggöra dokumentationsansvaret mellan MSI och dess kunder, där det anses vara relevant, upprätta dokumentationsmallar för att effektivisera, standardisera och kvalitetssäkra dokumentationen, inom UL genomföra en riskanalys avseende dokumentationsbehovet i sin verksamhet. Riskanalysen bör resultera i en handlingsplan där det framgår vilka system som prioriteras högst och därmed kräver utförlig dokumentation. 2.5 Beredskap vid driftstörningar Avsnittet syftar till att bedöma landstingets beredskap vid hårdvarufel och/eller om överbelastningsattacker skulle inträffa Iakttagelser och bedömningar Landstingets IT-driftmiljö, som hanteras av MSI, är till stora delar redundant och ett övervakningsverktyg för att upptäcka oplanerade avbrott eller om andra driftstörningar finns implementerat. Detta bedömer vi fungera tillfredsställande. Under våra intervjuer framkom vidare att det idag saknas både kontinuitets- och katastrofplan för IT inom landstinget. LUL har inte heller genomfört någon prioritering avseende vilka IT-system som är mest kritiska för verksamheten, vilket är en förutsättning för att kunna ta fram en kontinuitetsplan baserad på verksamhetens behov. En förmildrande omständighet i sammanhanget är, som tidigare nämnts, att stora delar av miljön idag är redundant. Som ett alternativ till en IT-kontinuitetsplan nyttjas den landstingsgemensamma funktionen Tjänsteman i beredskap inom landstinget. Denna lösning anses av intervjuade personer hantera situationer som kan ha viss, eller stor, inverkan på IT-driften inom LUL. Gällande återställningsplaner för IT-drift, finns det ingen dokumenterad plan för detta framtagen. För återställning av den centrala IT-infrastrukturen finns ingen Landstinget i Uppsala län 13 av 18

15 formell plan utan kunskapen finns hos respektive systemansvarig på MSI. Värt att notera är att systemdokumentationen endast finns lagrad elektroniskt. Vid ett eventuellt hårdvaruhaveri skulle detta kunna innebära att dokumentationen avseende systemen ej är tillgänglig och därmed minskar sannolikheten för att kunna återskapa systemmiljön. LUL genomför inga regelbundna sårbarhetsanalyser av den interna IT-miljön för att upptäcka säkerhetsbrister, sårbarheter eller andra hot. Enligt flertalet av de intervjuade framkommer det att landstinget har kontroller på plats för att säkerställa att det finns ett fungerande antivirusskydd och brandväggsskydd, vilket vi bedömer vara positivt. Genom intervjuerna framkommer det att den allmänna uppfattningen från verksamheten är att MSI levererar sina tjänster på en tillfredsställande nivå. Inom UL finns en nystartad beredskapsfunktion som har till uppgift att lösa ITrelaterade problem utanför ordinarie arbetstider. UL har en reaktiv driftsorganisation då UL, för de system de driftar själva, saknar ett övervakningssystem. Detta innebär att inga larm aktiveras vid oplanerade driftavbrott vilket t ex kan resultera i att felsökning tar längre tid än nödvändigt. UL:s externa webbplats driftas av en extern leverantör som därmed sköter övervakning och hanterar eventuella driftstopp. Vi kan konstatera att UL har flertalet brister avseende beredskap för driftstopp. Vid vår intervju framkom det att många av bristerna är relaterade till arv från tidigare bristande IT-styrning. Vid våra intervjuer framgår det att ovanstående brister inom UL är kända och att det finns en plan för hur dessa ska hanteras på ett ändamålsenligt sätt, planen är dock inte formellt dokumenterad och kommunicerad. Bedömningar Vår bedömning är att avsaknaden av en formell kontinuitetsplan för IT samt att det saknas dokumenterade återställningsplaner ökar risken för att allvarliga incidenter i IT-miljön tar längre tid än nödvändigt att återställa. Vidare kan uteblivna regelbundna sårbarhetsanalyser komma att påverka driftstabiliteten på ett negativt sätt då potentiella säkerhetsbrister förbises Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: ta fram en formell kontinuitets- och katastrofplan, baserad på riskanalyser genomförda i verksamheten, för IT inom landstinget, säkerställa att systemdokumentation för den centrala IT-infrastrukturen finns att tillgå, exempelvis på ett USB-minne som förvaras på ett säkert sätt, vid en katastrofsituation. Detta bör ingå som en del i avbrottsplanen för IT, genomföra regelbundna sårbarhetsanalyser av den interna IT-miljön för att upptäcka säkerhetsbrister, sårbarheter eller andra hot. Genom att Landstinget i Uppsala län 14 av 18

16 regelbundet analysera IT-miljön förbättras driftstabiliteten då potentiella säkerhetsbrister identifieras och därmed enklare kan åtgärdas, säkerställa att en formell plan för hur UL:s IT-miljö ska hanteras i framtiden tas fram. Planen bör baseras på en av verksamheten genomförd riskanalys för sina system. 2.6 Intern styrning och kontroll av IT Avsnittet syftar till att bedöma den övergripande styrningen med fokus på styrande dokument och ansvar inom IT Iakttagelser och bedömningar LUL arbetar enligt förvaltningsmodellen PM 31 och förvaltningsplanerna revideras årligen för respektive förvaltningsobjekt. Den centrala IT-organisationens, MSI och LK:s verksamhetsplaner baseras på förvaltningsobjektens förvaltningsplaner. Vidare har det under 2013 genomförts IT-riskanalyser med utgångspunkt från landstingets ramverk för egenkontroll. Syftet med riskanalyserna är att identifiera och sammanställa IT-risker som är landstingsgemensamma och att ta fram en åtgärdsplan för hantering av dessa risker. Informationssäkerhetsanvarig på LK är ansvarig för att sammanställa en landstingsgemensam riskkarta. IT-funktionen är till stora delar decentraliserad till ett flertal fristående parter. Därtill ansvarar verksamheten bland annat för IT-inköp och första- och andralinjesupport för IT-frågor. MSI, som en av de större parterna, arbetar som en egen enhet och tillhör organisatoriskt Akademiska Sjukhuset. Den nuvarande organisationsstrukturen medför att LK inte har mandat att strategiskt styra arbetet hos MSI på ett sätt som är effektivt för landstinget. En historisk uppfattning har varit att LK:s möjlighet att påverka IT, framförallt inom MSI, varit svag. Det lyfts även fram att det upplevs som att det saknas tydliga gemensamma mål för IT som helhet inom landstinget. Styrningen över IT och MSI upplevs också kunna förbättras, även om det tas upp att styrningen från LK förbättrats och blivit tydligare de senaste åren. För att hantera frågor på en strategisk nivå finns etablerade mötesforum, både med LK och med MSI. Dock upplevs det som om dessa inte fungerar på ett tillfredsställande sätt. Ett exempel som tas upp är att en styrgrupp för övergripande prioritering och beredning av IT-frågor som berör hela landstinget saknas. Det har under intervjuer med förvaltare, representanter från IT och från de berörda PM 3 -objekten framkommit att en otydlighet upplevs avseende roller och ansvar mellan objekten, LK och MSI. Otydligheten leder till oklarheter kring var beslut om t ex prioriteringar hör hemma. En problembild som togs upp under vissa av intervjuerna var att det inom strukturen för PM 3 saknas en liknande styrgrupp, som 1 PM 3 är en förvaltningsmodell som beskriver hur systemförvaltning ska organiseras för att kunna bedrivas på ett affärsmässigt sätt. Landstinget i Uppsala län 15 av 18

17 beskrivs ovan, för att skapa en paraplyorganisation som har till uppgift att prioritera strategiskt övergripande frågor för PM 3 -objekten. Vi har även noterat att det råder viss otydlighet avseende supportorganisationen och dess struktur. Supportorganisationen är uppbyggd genom att första- och andralinjens support är förlagda i verksamheten, utan någon direkt gemensam styrning. Tredje linjens support är förlagd till MSI. Det saknas även ett landstingsgemensamt ärendehanteringssystem, vilket resulterar i att samordningen av supportärenden och framförallt uppföljning av dessa, brister. Samtliga dessa faktorer har bidragit till att vi ej kunnat ta del av någon sammanställning av oplanerade driftavbrott. Att inte kunna följa upp och analysera supportärenden inom landstinget minskar möjligheten till att proaktivt kunna samordna och införa förbättringsåtgärder som kan förbättra IT-stödet och IT-leveransen inom LUL. MSI:s leverans styrs dels av sina överenskommelser med respektive kund, dels av förvaltningsplanerna i PM3. Dessa dokument stäms dock inte systematiskt av med varandra, vilket i praktiken innebär att MSI:s leverans, inte samordnas. Bedömningar Avsaknaden av en gemensam målbild för hela IT-funktionen inom LUL och bristande samverkansformer påverkar leveransen till landstingets användare av IT. Vidare bedömer vi att det finns klara förbättringsmöjligheter och tydliga synergieffekter av att se över samverkansformer på övergripande nivå, både mellan IT och LK men även mellan PM 3 -objekten för att förbättra leveransen till landstingets användare av IT Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: se över styrmodellen för IT för att därmed kunna uppnå en högre verksamhetsnytta av resurser investerade i IT inom landstinget. Styrmodellen bör inkludera t ex en gemensam målbild och strategi för IT inom hela landstinget, utreda möjligheten att införa ett gemensamt ärendehanteringssystem inom landstinget i syfte att på ett systematiskt och standardiserat sätt samla in ärenden relaterade till incidenter, driftstörningar samt ärenden som på ett eller annat sätt påverkar slutanvändare och/eller infrastruktur i syfte att förbättra slutanvändarupplevelsen inom landstinget, utreda behovet av att öka antalet avstämningsmöten mellan MSI och kund för att säkerställa att leveransöverenskommelser uppfylls samt därigenom förbättra dialogen, säkerställa att framtagna överenskommelser, eller kommande tjänstekatalog, går i linje med de förvaltningsplaner som tagits fram inom ramen för PM 3. Landstinget i Uppsala län 16 av 18

18 3 Besvarande av den övergripande revisionsfrågan Det är vår uppfattning, efter genomförda intervjuer och genomgång av relevant dokumentation, att de åtgärder som vidtagits inom landstinget anses vara av sådan karaktär att de till stora delar kan ses som ändamålsenliga för att minska risken för oplanerade driftstopp. Detta med anledning av nedanstående faktorer; den redundans på IT-system man byggt upp under årens lopp, det finns en väl implementerad förändringsprocess med en hög nivå av efterlevnad, den beredskap landstinget byggt upp genom rutinen Tjänsteman i beredskap, de övervakningsverktyg, antivirus samt brandväggar som finns på plats, samt att det ej inträffat några oplanerade driftstopp inom landstingets IT-miljö de senaste åren. Det finns ett antal områden som landstinget bör överväga att prioritera och där åtgärder krävs för att uppnå en mer ändamålsenlig IT-leverans. Nedan listas de som anser vara högst prioriterade. Vi rekommenderar landstinget att: se över sin styrmodell inom IT för att skapa bättre förutsättningar för landstinget att ta fram en gemensam målbild för IT och därmed kunna styra IT samt prioritera sin IT-funktion, se över lämpligheten i den organisationsstruktur som finns idag för att förbättra sina interna processer, interna styrning samt interna kontroll. Framförallt med fokus på relationen med IT-driftavdelningen och den supportstruktur som är instiftad, utarbeta en formell kontinuitets- och katastrofplan, som baseras på av verksamheten genomförda riskanalyser, för IT inom landstinget, formulera en enhetlig definition av vad ett driftstopp är för att skapa förutsättningar för sammanställning, uppföljning samt utvärdering av oplanerade driftstopp, ta fram en strategi och plan för hur och vilka processer som ska implementeras i Uppsala Länstrafiks verksamhet för att skapa förutsättningar för att göra en systematisk uppföljning eller utvärdering av driftstopp. Denna strategi bör stämmas av med Ledningskontoret och ITdriftavdelningen för att säkerställa att den går i linje med landstingets långsiktiga planer. Landstinget i Uppsala län 17 av 18

19 Magnus Olson-Sjölander Projektledare Anders Haglund Partner Landstinget i Uppsala län 18 av 18

Bilaga 39b Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 39c Bilaga 40c Bilaga 40c

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Mjölby kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

Övergripande granskning av IT-driften - förstudie

Övergripande granskning av IT-driften - förstudie MISSIV 1(1) 2013-09-04 LJ2013/1116 Landstingsstyrelsen Övergripande granskning av IT-driften - förstudie Bakgrund Landstingets revisorer har i skrivelse 2013-06-13 redovisat en övergripande granskning

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

PM 2009-01-21. DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport.

PM 2009-01-21. DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport. 1(5) KS 2008/0177 Översyn av IT- och telefonidrift - lägesrapport Bakgrund Under det gångna året har inträffat ett antal driftstopp inom IT och telefoni som fått allvarliga konsekvenser genom att för verksamheten

Läs mer

www.pwc.se Botkyrka kommun Revisionsrapport april 2014 Övergripande IT-granskning

www.pwc.se Botkyrka kommun Revisionsrapport april 2014 Övergripande IT-granskning www.pwc.se Botkyrka kommun Revisionsrapport april 2014 Övergripande IT-granskning Innehållsförteckning 1. Inledning 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Revisionsrapport. IT-revision Solna Stad ecompanion

Revisionsrapport. IT-revision Solna Stad ecompanion Revisionsrapport IT-revision 2013 Solna Stad ecompanion Fredrik Dreimanis November 2013 Innehållsförteckning Inledning... 3 Avgränsning.3 Granskningens omfattning... 4 Sammanfattning... 5 Observationer

Läs mer

www.pwc.com/se Nynäshamns kommun Översyn av IT-verksamheten September 2012

www.pwc.com/se Nynäshamns kommun Översyn av IT-verksamheten September 2012 www.pwc.com/se Nynäshamns kommun Översyn av IT-verksamheten September 2012 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys -

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Motala kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

Landstinget i Uppsala län

Landstinget i Uppsala län Revisionsrapport Granskning av förvaltningskostnader för informationsteknologi och användbarhet hos olika applikationer i landstingets informationssystem Landstinget i Uppsala län Janne Swenson, Jens Ryning

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

Generella IT-kontroller uppföljning av granskning genomförd 2012

Generella IT-kontroller uppföljning av granskning genomförd 2012 LANDSTINGET I VÄRMLAND Revisionskontoret 2016-11-14 Johan Magnusson Rev/16020 Generella IT-kontroller uppföljning av granskning genomförd 2012 Rapport 12-16 Generella IT-kontroller - uppföljning Bakgrund

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Styrning av behörigheter

Styrning av behörigheter Revisionsrapport Styrning av behörigheter i journalsystem Landstinget i Östergötland Janne Swenson Kerem Kocaer Jens Ryning Eva Andlert, cert. kommunal revisor Styrning av behörigheter i journalsystem

Läs mer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

www.pwc.com/se Tyresö kommun Granskning av IT-verksamheten Maj-juni 2013

www.pwc.com/se Tyresö kommun Granskning av IT-verksamheten Maj-juni 2013 www.pwc.com/se Tyresö kommun Granskning av IT-verksamheten Maj-juni 2013 Innehållsförteckning 1. Bakgrund och syfte 2. Sammanfattning 3. Genomförande och Metod 4. Detaljerad analys - observationer och

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

Övergripande granskning av ITverksamheten. Härryda kommun

Övergripande granskning av ITverksamheten. Härryda kommun Övergripande granskning av ITverksamheten i Härryda kommun Våren 2011 INNEHÅLLSFÖRTECKNING 1. Inledning... 3 2. Bakgrund... 3 3. Metod... 4 3.1 Representanter... 5 4. Övergripande sammanfattning... 6 5.

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

Uppföljningsrapport IT-revision 2013

Uppföljningsrapport IT-revision 2013 Revisionsrapport Uppföljningsrapport IT-revision 2013 Solna Stad Raindance Fredrik Dreimanis November 2013 1 av 10 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning... 5

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Kommunrevisionen KS 2016/00531

Kommunrevisionen KS 2016/00531 V W Halmstad Kommunrevisionen Datum 2017-02-07 kommunrevisionen@halmstad.se Dnr KS 2016/00531 Yttrande - Granskning övergripande säkerhetsgranskning av kommunens säkerhet angående externt och internt dataintrång

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc www.pwc.se Revisionsrapport Joanna Hägg Tilda Lindell Granskning av intern kontroll Tierps kommun pwc Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Granskningsbakgrund...

Läs mer

www.pwc.com/se Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012

www.pwc.com/se Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012 www.pwc.com/se Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012 Innehållsförteckning 1. Bakgrund och syfte 2. Metod för granskning 3. Deltagande personer 4.

Läs mer

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016 www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016 Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4

Läs mer

Kamedo. IT-haverier i vården. Johan Carlstedt Socialstyrelsen

Kamedo. IT-haverier i vården. Johan Carlstedt Socialstyrelsen Kamedo IT-haverier i vården Johan Carlstedt Socialstyrelsen Katastrofmedicinska observatörsstudier Vad är Kamedo? Vad studeras? Hur bedrivs arbetet? Varför den här rapporten? Ökande antal IT-haverier inom

Läs mer

Från arkitektur till IT-styrning

Från arkitektur till IT-styrning Från arkitektur till IT-styrning 29-30 mars 2012 Nebojsa Bjelobrk,IT-strateg Göteborg Energi AB Agenda Problembilden Vem? Hur? Vad? Inköp? Plocka ut? Lägga tillbaka? Bäst före datum? IT-styrning på Göteborg

Läs mer

Styrning, uppföljning och intern kontroll avseende IT-stöd Landstinget i Värmland. Revisionsrapport

Styrning, uppföljning och intern kontroll avseende IT-stöd Landstinget i Värmland. Revisionsrapport Styrning, uppföljning och intern kontroll avseende IT-stöd Landstinget i Värmland Revisionsrapport 28 Oktober 2011 Innehållsförteckning 1. Bakgrund och Syfte... 3 2. Revisionsfrågor och revisionskriterier...

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010. Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen

Läs mer

Digital strategi för Strängnäs kommun

Digital strategi för Strängnäs kommun 1/8 Beslutad: Kommunfullmäktige 2016-01-25 8 Gäller fr o m: 2016-01-26 Myndighet: Diarienummer: Kommunstyrelsen KS/2015:646-005 Ersätter: Ansvarig: IT-strateg Digital strategi för Strängnäs kommun 2/8

Läs mer

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök Göteborgs universitet 2007-06-26 Intern miljörevision Exempel på frågor vid platsbesök Nedan finns exempel på frågor som kan ställas vid platsbesök inom den interna miljörevisionen. Ytterligare följdfrågor

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

System- och objektförvaltning - roller

System- och objektförvaltning - roller System- och objektförvaltning - roller Landstingsdirektörens stab Version A 2010-01-25 Innehållsförteckning A. Objektförvaltning - roller enligt pm3... 3 Budgetnivå... 4 Beslutsnivå... 5 Roller på operativ

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Uppföljning av tidigare granskning av kommunens fordon

Uppföljning av tidigare granskning av kommunens fordon www.pwc.se Revisionsrapport Fredrik Ottosson Cert. kommunal revisor Sandra Marcusson Oktober 2014 Uppföljning av tidigare granskning av kommunens fordon Karlshamn kommun Uppföljning av tidigare granskning

Läs mer

Reglemente för internkontroll

Reglemente för internkontroll Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll

Läs mer

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion.

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion. SKRIVELSE 2016-06-07 Kommunrevisionen Till Kommunstyrelsen Till Kommunfullmäktige, för kännedom Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion. Vi har genomfört en

Läs mer

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhetspolicy för Vetlanda kommun 1 (10) Informationssäkerhetspolicy för Vetlanda kommun Dokumenttyp: Policy Beslutad av: Kommunfullmäktige (2015-12-16 202) Gäller för: Alla kommunens verksamheter Giltig fr.o.m.: 2015-12-16 Dokumentansvarig:

Läs mer

Ledningen i fokus - starkare styrning krävs för att utveckla statlig verksamhet med bra och säkra IT-/e-tjänster

Ledningen i fokus - starkare styrning krävs för att utveckla statlig verksamhet med bra och säkra IT-/e-tjänster Bengt E W Andersson 2008-11-19 Föredrag vid Dokumentinfos Strategiseminarium, IT i offentlig sektor offentliga e-tjänster, den 19 november 2008, World Trade Center, Stockholm. Ledningen i fokus - starkare

Läs mer

IT-strategi-Danderyds kommun 2010-2014

IT-strategi-Danderyds kommun 2010-2014 IT-strategi-Danderyds kommun 2010-2014 Beslutsinstans: Kommunfullmäktige Beslutsdatum: 2010-09-27 Giltighetstid: 2010-09-27 t o m 2014-12-31 Ansvarig nämnd: Kommunstyrelsen Diarienummer: KS 2010/0095 IT-strategi

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Övergripande granskning IT-driften

Övergripande granskning IT-driften www.pwc.se Övergripande granskning IT-driften Sollentuna Kommun Bakgrund och syfte Inledning Under augusti-september 2013 har på uppdrag av de förtroendevalda revisorerna i Sollentuna kommun genomfört

Läs mer

MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN. Roller och ansvar inom utbildningsförvaltningens IT-verksamhet 2013-2016. IT-strategigruppen 2013-02-18

MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN. Roller och ansvar inom utbildningsförvaltningens IT-verksamhet 2013-2016. IT-strategigruppen 2013-02-18 MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN Roller och ansvar inom utbildningsförvaltningens IT-verksamhet 2013-2016 IT-strategigruppen 2013-02-18 INNEHÅLL FÖRVALTNINGSCHEF... 3 REKTOR/F... 3 IT-STRATEG...

Läs mer

Granskning intern kontroll

Granskning intern kontroll Revisionsrapport Granskning intern kontroll Kinda kommun Karin Jäderbrink Cert. kommunal revisor Innehållsförteckning 1 Sammanfattande bedömning 1 2 Bakgrund 2 2.1 Uppdrag och revisionsfråga 2 2.2 Avgränsning

Läs mer

Avbrott i bredbandstelefonitjänst

Avbrott i bredbandstelefonitjänst BESLUT 1(7) Datum Vår referens Aktbilaga 2013-10-17 Dnr: 12-9626 37 Nätsäkerhetsavdelningen Karin Lodin 073-644 56 04 karin.lodin@pts.se Avbrott i bredbandstelefonitjänst Saken Tillsyn enligt 7 kap. 1

Läs mer

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015 Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015 Agenda Tillvägagångssätt för att identifiera IT-relaterade risker. Exempel på olika typer av ITrelaterade granskningar.

Läs mer

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet BESLUT 1(7) Avdelning Ledningskansliet Handläggare Agnes Ers 08-563 086 63 agnes.ers@uka.se Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet Bakgrund Syftet med

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Beslut: Rektor 2012-01-16 Revidering: - Dnr: DUC 2012/63/10 Gäller fr o m: 2012-01-16 Ersätter: - Relaterade dokument: - Ansvarig

Läs mer

Erfarenhet och kunskap från avvikelserapporteringen

Erfarenhet och kunskap från avvikelserapporteringen LANDSTINGET I VÄRMLAND Revisorerna JM/AM 2010-12-23 Rev/10042 Erfarenhet och kunskap från avvikelserapporteringen Rapport 6-10 LANDSTINGET I VÄRMLAND 2010-12-23 2 Erfarenhet och kunskap från avvikelserapporteringen

Läs mer

KommunstYrelsen Vatten och Miljii i Viist AB Falkenberg Energi AB. Kommunfullmhktige - fdr khnnedom

KommunstYrelsen Vatten och Miljii i Viist AB Falkenberg Energi AB. Kommunfullmhktige - fdr khnnedom Falkenbergs kommun Valda revisorer Datum 2074-o5-15 KommunstYrelsen Vatten och Miljii i Viist AB Falkenberg Energi AB Kommunfullmhktige - fdr khnnedom Granskning av lt-verksarnheten pa uppdrag a*v revisorerna

Läs mer

14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse. Bilaga 112.15

14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse. Bilaga 112.15 Beslutande organ Dokumenttyp Sida Kommunstyrelsen Kallelse/dagordning 25 (38) Sammanträdesdatum 2015-06-10 Dnr KS 2015/102 14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse.

Läs mer

Region Halland Översiktlig granskning av IT-verksamheten

Region Halland Översiktlig granskning av IT-verksamheten www.pwc.com/se Region Halland Översiktlig granskning av IT-verksamheten Redovisning av väsentliga iakttagelser December 2012 Andreas Crusell Martin Magnusson Innehållsförteckning 1. Bakgrund 2. Revisionsfråga

Läs mer

IT-verksamheten, organisation och styrning

IT-verksamheten, organisation och styrning IT-verksamheten, organisation och styrning KPMG Örebro 27 februari 2007 Antal sidor 12 Innehåll 1. Inledning 1 2. Syfte 1 3. Metod 1 4. Sammanfattning 2 5. IT-verksamhet, organisation och ansvar 3 5.1.1

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Granskning av IT:s nytta ur ett verksamhetsperspektiv

Granskning av IT:s nytta ur ett verksamhetsperspektiv Revisionsrapport* Granskning av IT:s nytta ur ett verksamhetsperspektiv Finspångs kommun 15 maj 2009 Matti Leskelä *connectedthinking Innehållsförteckning 1 Bakgrund och syfte...3 2 Metod...3 3 Sammanfattande

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Visionen om en Tjänstekatalog

Visionen om en Tjänstekatalog Visionen om en Tjänstekatalog Varför ska vi införa tjänster? Copyright BiTA Service Management/Rolf Norrman 1 IT:s värde för verksamheten tydliggörs i verksamhetens egna termer Organisationens kundfokus

Läs mer

- Budget och uppföljning - Kundfakturor fakturor till kund/brukare - Leverantörsfakturor fakturor från leverantör - Lönehantering

- Budget och uppföljning - Kundfakturor fakturor till kund/brukare - Leverantörsfakturor fakturor från leverantör - Lönehantering 1(5) KS 2011/0014 Svar på revisionsrapport- Granskning av ekonomiadministrativa processer - Effektivitetsgranskning Bakgrund Danderyds förtroendevalda revisorer har uppdragit till PricewaterhouseCoopers

Läs mer

Informationsöverföring. kommunikation med landstinget - uppföljande granskning

Informationsöverföring. kommunikation med landstinget - uppföljande granskning www.pwc.se Revisionsrapport Jenny Krispinsson Augusti 2015 Informationsöverföring och kommunikation med landstinget - uppföljande granskning Gällivare kommun Innehållsförteckning 1. Sammanfattande bedömning...

Läs mer

Göteborgs universitets IT-strategiska plan 2010 2012

Göteborgs universitets IT-strategiska plan 2010 2012 Göteborgs universitets IT-strategiska plan 2010 2012 Förord Våren 2009 påbörjades arbetet med att ta fram en it-strategisk plan för Göteborgs universitet. Syftet med en sådan plan är att den ska vägleda

Läs mer

VETENSKAPSRÅDETS IT-STRATEGI 2013-2015

VETENSKAPSRÅDETS IT-STRATEGI 2013-2015 Datum Diarienummer 2013-03-13 159-2013-542 VETENSKAPSRÅDETS IT-STRATEGI 2013-2015 1 (7) 1 INLEDNING Vetenskapsrådets behov och beroende av it växer för varje år och ställer allt högre krav på myndighetens

Läs mer

Checklista för Driftsättning - Länsteknik

Checklista för Driftsättning - Länsteknik Styrande dokument Rutindokument Checklista Sida 1 (9) Checklista för Driftsättning - Länsteknik Sida 2 (9) Innehåll Checklista för Driftsättning - Länsteknik... 1 Syfte... 3 Omfattning... 3 Aktiviteter...

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Indikatorer för bedömning av landstingets generella krisberedskap Norrbottens läns landsting dnr 3520-16 Syftet med en bedömning av landstingets

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun Datum Dnr Dpl 2009-09-10 2009/KS0203-1 005 Riktlinjer för IT i Lilla Edets kommun 1. Introduktion Det politiskt styrande dokumentet för IT-användning i Lilla Edets kommun är denna riktlinje, som fastställs

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Ledningssystem för IT-tjänster

Ledningssystem för IT-tjänster Styrning och ledning av IT med stöd av internationella standarder Ledningssystem för IT-tjänster sixten.bjorklund@sipit.se 2013-11-05 Sip It AB, Sixten Björklund 1 Kort om Sixten Konsult i eget bolag Ledning

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer

Vetenskapsrådets informationssäkerhetspolicy

Vetenskapsrådets informationssäkerhetspolicy Vetenskapsrådets informationssäkerhetspolicy 1 (6) Ändringshistorik Datum Version Beskrivning av ändring Vem 2014-01-07 PA1 Initial version Torulf Lind 2014-01-07 PA2 Uppdatering roller Torulf Lind 2014-01-17

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy Informationssäkerhetspolicy Dokumentnamn Dokumenttyp Fastställd/upprättad Beslutsinstans Informationssäkerhetspo licy Policy 2013-11-11 KF Dokumentansvarig Diarienummer Giltig till IT-chef KS.2013.182

Läs mer

Service Level Agreement mall för kommunalt IT-stöd

Service Level Agreement mall för kommunalt IT-stöd Service Level Agreement mall för kommunalt IT-stöd v1.0-2010-11-02 Kim Weyns & Martin Höst Institutionen för Datavetenskap, Lunds Universitet Box 118, S-221 00 Lund kim.weyns@cs.lth.se Inledning Ett Service

Läs mer

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket 171 94 Solna. Datum Dnr 2012-02-03 32-2011-0544

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket 171 94 Solna. Datum Dnr 2012-02-03 32-2011-0544 Revisionsrapport Skatteverket 171 94 Solna Datum Dnr 2012-02-03 32-2011-0544 Revision av uppbördsprocessen Moms 1 Inledning Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat

Läs mer

Policy för internkontroll för Stockholms läns landsting och bolag

Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag 2 (6) Innehållsförteckning Policy för internkontroll... 1 för Stockholms

Läs mer

Ramverk för systemförvaltning

Ramverk för systemförvaltning Peter Yngve IT-centrum 2011-04-29 1.1 1 (8) Peter Yngve IT-centrum 2011-04-29 1.1 2 (8) BAKGRUND/MOTIV... 3 MÅL OCH SYFTE... 3 FORUM OCH GRUPPER... 3 LANDSTINGETS LEDNINGSGRUPP... 3 IT-GRUPP... 3 PROGRAMSTYRGRUPP...

Läs mer

Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun

Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun 2 November 2012 Innehåll Sammanfattning... 1 1. Inledning... 2 2. Resultat... 3 3. Bedömning och rekommendationer... 5 Sammanfattning

Läs mer

Avtalsförvaltning avseende Gemensam ITservice

Avtalsförvaltning avseende Gemensam ITservice Avtalsförvaltning avseende Gemensam ITservice Nr 1, 2015 Projektrapport från Stadsrevisionen Dnr 3.1.3-177/2014 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet

Läs mer

Leksands kommun. Revisionsrapport. Sammanfattning Kommunstyrelsens ansvar för ledning, styrning och uppföljning av kommunkoncernens.

Leksands kommun. Revisionsrapport. Sammanfattning Kommunstyrelsens ansvar för ledning, styrning och uppföljning av kommunkoncernens. www.pwc.se Revisionsrapport Sammanfattning Kommunstyrelsens ansvar för ledning, styrning och uppföljning av kommunkoncernens verksamhet Louise Cedemar Helena Steffansson Carlson David Boman Niklas Eriksson

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet samt transmission -C 2 (7) Innehåll 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 6 3 (7) 1 Allmänt Borderlight har styrdokument

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Systemförvaltningsmodell för LiU

Systemförvaltningsmodell för LiU 2006-01-11 Bilaga Dnr LiU 447/05-10 1(6) Systemförvaltningsmodell för LiU För att säkerställa att LiUs systemförvaltning bedrivs med fokus på verksamhetens nytta och på ett tydligt och enhetligt sätt använder

Läs mer

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG Underlag 1. Några myndigheters rapportering om informationssäkerhet i årsredovisningen Årsredovisningar år 2009 Läkemedelsverket Ledningssystemet för informationssäkerhet SS-ISO/IEC 27001:2006 är under

Läs mer

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete s revisorer Kommunstyrelsen För kännedom: Kommunfullmäktiges presidium Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete Revisionen har via KPMG genomfört en granskning

Läs mer

www.pwc.com/se Västerviks kommun Granskning av IT-verksamheten januari 2013

www.pwc.com/se Västerviks kommun Granskning av IT-verksamheten januari 2013 www.pwc.com/se Västerviks kommun Granskning av IT-verksamheten januari 2013 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionell bedömning 5. Revisionsfrågor - observationer

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Landstingets ärende- och beslutsprocess

Landstingets ärende- och beslutsprocess LANDSTINGET I VÄRMLAND REVISIONSRAPPORT Revisorerna AM/JM 2012-12-18 Rev/12017 Landstingets ärende- och beslutsprocess Sammanfattning Denna granskning har omfattat hantering enligt riktlinjen för landstingets

Läs mer

Riktlinjer för internkontroll i Kalix kommun

Riktlinjer för internkontroll i Kalix kommun Riktlinjer för internkontroll i Kalix kommun Antaget av kommunfullmäktige 2012-11-26--27, 182 Innehållsförteckning Riktlinjer för internkontroll i Kalix kommun...1 Inledning...1 Internkontroll...1 Organisation

Läs mer

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Systemförvaltnings Modell Ystads Kommun(v.0.8) IT avdelningen Piparegränd 3 271 42 Ystad Systemförvaltnings Modell Ystads Kommun(v.0.8) S.M.Y.K Beskrivningar och hänvisningar till rutiner och riktlinjer som ligger till grund för ett tryggt förvaltande

Läs mer

Förtroendevald revisor i regionens stiftelser

Förtroendevald revisor i regionens stiftelser Förtroendevald revisor i regionens stiftelser Förtroendevald revisors uppgifter i regionens stiftelser Några särskilda arbetsuppgifter för den förtroendevalde revisorn vid granskningen av stiftelser är

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts

Läs mer

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång.  Informationssäkerhetsspecialister: www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet angående externt och internt dataintrång Informationssäkerhetsspecialister: Pernilla Nordström Viktor Bergvall Victor Svensson Kommunalrevisor:

Läs mer