Rapport: IT-Revision 2014 Genomförd på uppdrag av revisorerna Mars Kungsbacka Kommun. Rapport: IT-revision

Storlek: px
Starta visningen från sidan:

Download "Rapport: IT-Revision 2014 Genomförd på uppdrag av revisorerna Mars 2014. Kungsbacka Kommun. Rapport: IT-revision 2014-03-17"

Transkript

1 Rapport: IT-Revision 2014 Genomförd på uppdrag av revisorerna Mars 2014 Kungsbacka Kommun Rapport: IT-revision

2 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Kungsbacka kommun har EY genomfört en IT-revision i kommunen. IT-revisionens syfte har varit att granska och bedöma informationssäkerheten på en övergripande nivå. Granskningen har genomförts mot Myndigheten för samhällsskydd och beredskaps (MSB) ramverk för informationssäkerhet, BITS. För tre system som valts av de förtroendevalda revisorerna har kontroller i BITS avseende behörigheter, programändringar och IT-drift verifierats via stickprovsbaserad testning. Övergripande slutsatser Vår bedömning är att kommunen har drivit informationssäkerhetsarbetet framåt sedan den granskning EY genomförde av informationssäkerheten under Vi ser dock att kommunen fortfarande saknar styrande dokument som IT-policy och informationssäkerhetspolicy. Vi har samtidigt noterat att arbete med att ta fram en ny informationssäkerhetspolicy samt rutiner och användarsinstruktioner kring informationssäkerhet pågår och beräknas vara avslutat under Det pågår även ett arbete med att utifrån verksamhetsmål ta fram en IT-strategi och IT-policy för kommunen vilket beräknas vara klart innan sommaren Då vi i denna granskning har verifierat ett urval av kontrollerna i granskningsprogrammet via stickprovsbaserad testning har vi i större utsträckning än vid granskningen 2010 identifierat avsteg från inom kommunen gällande rutiner. Vi har exempelvis noterat att kommunen kan förbättra efterlevnaden av rutinen för borttag av behörigheter i system samt skapa en rutin för periodisk genomgång av behörigheter på kommunnivå. Vi rekommenderar även kommunen att tydliggöra roller och ansvar för informationssäkerhet. Därtill rekommenderar vi kommunen att ta fram kontinuitetsplan för IT-verksamheten. Av samtliga granskningspunkter i granskningsprotokollet i avsnitt 2.3 är fördelningen av bedömningarna följande: Kontrollen finns ej/fungerar ej tillfredsställande: 31 % Kontrollen finns och fungerar delvis: 21 % Kontrollen finns och fungerar tillfredsställande: 47 % Ej tillämplig, kontrollen behövs ej av särskilda skäl: 1 % i

3 Iakttagelser Följande iakttagelser anser EY vara de mest väsentliga att åtgärda. En fullständig lista över iakttagelser, riskbedömningar och rekommendationer finns i kapitel Roller och ansvar för informationssäkerhet är inte fastställda och tydliggjorda i arbetsbeskrivningar. 2. Kommunen har inte färdigställt och fastslagit relevanta styrande dokument inom informationssäkerhetsområdet. 3. Avsaknad av periodisk behörighetsgranskning. 4. Ansvar för informationssäkerhet har inte reglerats i avtal mot tredje part. 5. Kommunen har ingen dokumenterad kontinuitetsplan för IT-verksamheten. ii

4 Innehållsförteckning 1. Bakgrund Syfte Revisionskriterier Metod Avgränsningar Iakttagelser IT-organisation Aktuella förändringar IT-system Granskningsprotokoll Slutsatser och rekommendationer Generella slutsatser Uppföljning av tidigare delgivna rekommendationer Rekommendationer Övriga rekommendationer...29 Bilaga 1 Detaljerat granskningsprotokoll...30 Bilaga 2 Granskade dokument...37 Kommungemensamma dokument...37 Dokument avseende...38 Dokument avseende...38 Dokument avseende...38 iii

5 1. Bakgrund 1.1. Syfte Idag bedrivs så gott som all verksamhet i en kommun med någon form av datoriserat stöd. Stödet har med tiden utvecklat sig till att bli en förutsättning för att kunna bedriva verksamhet. För att uppnå målen för kommunens verksamheter krävs att informationen i verksamhetsstödet är tillgänglig, riktig, spårbar samt i tillämpliga fall konfidentiell. På uppdrag av de förtroendevalda revisorerna i Kungsbacka kommun har EY genomfört en IT-revision i kommunen. IT-revisionens syfte har varit att granska och bedöma informationssäkerheten i kommunen på en övergripande nivå. Syftet med granskningen har också varit att jämföra kommunens nuvarande arbete inom informationssäkerhet mot BITS, Myndigheten för samhällsskydd och beredskaps ramverk för informationssäkerhet. BITS står för Basnivå för informationssäkerhet och har sitt ursprung i den internationella informationssäkerhetsstandarden ISO/IEC Därtill har syftet varit att utvärdera kontroller i BITS avseende behörigheter, programändringar och IT-drift för tre system som valts av de förtroendevalda revisorerna. De valda systemen är ekonomisystemet, e-handelssystemet samt applikationen för läsplattor Revisionskriterier Granskningen är genomförd mot så kallad god praxis inom informationssäkerhetsområdet. Granskningen har genomförts mot Myndigheten för samhällsskydd och beredskaps ramverk BITS, som är ett etablerat ramverk i ett stort antal kommuner och inom offentlig förvaltning. Ramverket bygger på den svenska och internationella standarden för informationssäkerhet, ISO/IEC Metod Baserat på erfarenheter från tidigare kommunrevisioner har EY valt ut ett antal relevanta kontroller från BITS, fördelat på elva huvudområden: 1. Säkerhetspolicy 2. Organisation av säkerheten 3. Hantering av tillgångar 4. Personalresurser och säkerhet 5. Fysisk och miljörelaterad säkerhet 6. Styrning och kommunikation av drift 7. Styrning av åtkomst 8. Anskaffning, utveckling och underhåll av informationssystem 9. Hantering av informationssäkerhetsincidenter 10. Kontinuitetsplanering i verksamheten 11. Efterlevnad 1

6 För de tre utvalda systemen har kontroller i granskningsprogrammet, som avser behörigheter, programändringar och IT-drift verifierats med stickprovsbaserad testning. Rapporten redovisar i vilken grad kommunen uppfyller valda rekommendationer ur BITS. Resultatet är en sammanvägd bedömning som baseras på information som lämnats vid intervjuerna samt genom granskning av erhållen dokumentation och genomförd stickprovstestning. Den sammanvägda bedömningen av svaren på kontrollerna har bedömts enligt följande skala: E/T Kontrollen finns ej/eller fungerar ej tillfredsställande. Kontrollen finns och fungerar delvis. Kontrollen finns och fungerar tillfredsställande. Ej tillämplig, kontrollen behövs ej av särskilda skäl. Rapporten baseras på intervjuer med följande personer: Chef IT-drift IT-ekonomer, Systemansvarig Systemansvariga Systemansvarig IT-strateg IT-arkitekter Systemtekniker, databaser Systemtekniker, applikationer Säkerhetsansvarig IT För en fullständig lista över granskade dokument, se Bilaga 2. Arbetet har genomförts av Carl Öhrman och Sara Bergenheim under januari och februari 2014 och kvalitetssäkrats av Tobias Hermansson. Våra iakttagelser och rekommendationer har stämts av med granskningens respondenter Avgränsningar Iakttagelser och analyser baseras enbart på information som har inhämtats vid intervjuer, förelagd dokumentation samt stickprovsbaserad testning. Det kan därmed finnas brister i kommunens hantering av IT och informationssäkerhet som vi inte har identifierat. Granskningen avser för systemspecifika frågor: : Kommunens ekonomisystem : Kommunens e-handelssystem : En applikation som används av bland annat kommunens förtroendevalda för att läsa nämnddokument på läsplattor som de behöver ha tillgång till för sitt uppdrag 2

7 2. Iakttagelser 2.1. IT-organisation Serviceområde IT i Kungsbacka kommun består i dagsläget av omkring 50 anställda. Verksamheten är indelad i två enheter samt IT-administration: IT-Support Enheten för IT-support består av 22 anställda och innefattar helpdesk och tekniker. GV-tekniker är uthyrda till tre olika skolor där de är tilldelade arbetsuppgifter av skolledningen medan fältsupport består av tekniker som besöker verksamhetsområden på plats. IT-support innefattar även telefoni samt förvaltning och utveckling av tjänsten Dator som Tjänst. Inom IT-support finns ett område som går under namnet Service Direkt. Service Direkt hjälper användarna med ITrelaterad support. Kommunen har även en funktion dit användare kan vända sig för att få hjälp. Denna funktion ligger under Service Direkt och heter Support och Felanmälan. IT-Drift Enheten består av 17 anställda som har ansvar för IT-infrastruktur och system som driftas av Serviceområde IT. Området som benämns som Release arbetar med bland annat förändringshantering av system som driftas av Serviceområde IT samt nyetablering av IT-infrastruktur i fastigheter och underhåll av nätverk. Det område som benämns som 3rdline ansvarar för supportärenden som eskalerats från användarsupporten och som inte har någon tydlig hemvist inom Serviceområde IT. Området Infrastructure har hand om nätverk medan Operations ansvarar för drift av system och serverrum. IT-Administration Inom gruppen för IT-administration arbetar sex anställda. Gruppen består av ITarkitekt, IT-säkerhetsansvarig, projektledare och ansvarig för uppföljning av interna leveranser. IT-arkitekten har ansvar för införande av ny IT-infrastruktur medan en person följer upp leveranser till Serviceområde ITs interna kunder. ITsäkerhetsansvarig har ansvar för driftssäkerhetsfrågor. Projektledare inom ITadministration arbetar med IT-relaterade projekt på uppdrag av exempelvis kommunledningen. 3

8 I kommunen finns ca anställda som använder kommunens IT-system och utöver detta finns ca elever i kommunen som kommer i kontakt med IT-systemen varje dag Aktuella förändringar Kommunen arbetar för tillfället med ett antal större IT-relaterade projekt. Vid granskningstillfället arbetade kommunen bland annat med att lägga över delar av ITsupporten till en extern part. Detta projekt var under granskningstillfället i avslutningsskedet. Kommunen har under året även avvecklat domänkatalogen för skolan som istället skall flyttats in i den kommungemensamma domänkatalogen. Ett större pågående projekt inom kommunen är även att införa ett nytt utskriftssystem där användare måste verifiera sig vid skrivarna när de hämtar sina utskrifter. Utöver dessa projekt har kommunen under 2013 bland annat bytt e-postsystem samt avslutat ett serveruppdateringsprojekt. Vid granskningstillfället hade kommunen ingen övergripande IT-strategi eller IT-policy. Det finns däremot andra dokument som bryter ner verksamhetsmål till initiativ och krav på IT. Ett sådant dokument är Handlingsplan för IT-miljön inom det kommunövergripande utvecklingsarbetet Kungsbacka Planen sträcker sig fram till december 2015 och beskriver ett antal projekt för att realisera kommunens målbild gällande bland annat e- tjänster. Den gällande policy som närmast beskriver avsikter för informationssäkerhet är ITsäkerhetspolicyn daterad Kommunen genomför flera olika initiativ för att färdigställa bland annat policy, rutiner och instruktioner kring informationssäkerhet. En ny informationssäkerhetspolicy som är under arbete beräknas bli antagen av kommundirektionen i mars Denna policy skall ersätta den nu gällande IT-säkerhetspolicyn från Parallellt med detta pågår ett arbete med att 4

9 ta fram riktlinjer och instruktioner gällande informationssäkerhet för medarbetare inom kommunen. Inom kommunen har man genomfört ett arbete med att ta fram en målbild för vart kommunen ska befinna sig år 2020 gällande digitalisering och möjlighet till e-förvaltning. Målbilden godkänndes i februari En arbetsgrupp bestående av bland annat IT-chef och IT-strateg planerar att ta fram en handlingsplan för tiden fram till 2020 över vad som behöver genomföra inom IT för att realisera målbilden. Parallellt med detta pågår ett arbete att ta fram en IT-strategi och IT-policy för kommunen, vilket beräknas vara klart innan sommaren Samtidigt pågår ett antal övriga initiativ med att uppdatera och konkretisera hur bland annat krav på informationssäkerhet skall hanteras i interna och externa avtal inom Serviceområde IT. Det pågår även initiativ med att förtydliga processen för incidents- och kontinuitetsplanering avseende IT IT-system Kommunen har totalt ca 90 verksamhetssystem. Nedan följer beskrivningar av de tre system som inkluderats i granskningen är kommunens ekonomisystem. Systemet har ca 1000 användare då all personal med någon form av budgetansvar behöver ha behörighet i systemet. Omkring 100 av användarna har registreringsbehörighet som kräver att användaren genomgår en utbildning. Systemansvariga för hör till ekonomiavdelningen. levereras av CGI/Logica och driftas av Serviceområde IT. Det är leverantören som står för samtliga program- och systemutvecklingar och som genomför uppdateringar i samarbete med Serviceområde IT. Systemet levereras i standardutförande utan kommunspecifika anpassningar. Sedan 2010 då beslut togs att modernisera har systemet hanterats i projektform. Projektet beräknas att vara färdigt i april Vid granskningstillfället pågick ett arbete inom systemförvaltargruppen för att konkretisera den kommungemensamma systemförvaltarmodellen som togs fram under Vid granskningstillfället fanns därmed de roller som beskrivs i systemförvaltarmodellen inte formellt utsedda för är kommunens e-handelssystem. Systemet används för beställning av varor samt för attestering av beställning, leveransmottagning och attestering av faktura. E-handelssystemet används av de anställda inom kommunen som i sin roll behöver beställa varor eller attestera andras beställningar. Systemet köps som en tjänst och levereras av som också står för all utveckling och underhåll. Systemet levereras i standardutförande och Kungsbacka kommun har inte möjlighet att på egen hand förändra eller utveckla systemet. 5

10 är en applikation för läsplattor. Läsplattan och applikationen används bland annat av de förtroendevalda för att komma åt dokument i deras uppdrag inom kommunens nämnder. De anslutna nämnderna har sitt eget arbetsrum på kommunens intranät Insidan där dokument och protokoll i samband med nämndens sammanträden finns tillgängliga. Inför varje nämndsammanträde laddar nämndsekreteraren upp aktuella dokument från nämndens mapp på kommunens gemensamma lagringsyta. Kungsbacka kommun har ingen möjlighet att styra över applikationens systemutveckling då applikationen köps i standardutförande. Applikationen utvecklas av Good.iWare och laddas ned av de förtroendevalda via läsplattans marknadsplats för applikationer. Applikationen är endast tänkt att användas i en övergångsfas innan kommunen har implementerat ett nytt kommunövergripande dokument- och ärendehanteringssystem. 6

11 2.3. Granskningsprotokoll Granskningspunkt Kommentar Utvärdering 1 Säkerhetspolicy 1.1 Har kommunen en informations-/itsäkerhetspolicy? 2 Organisation av säkerheten 2.1 Finns det en informationssäkerhetssamordnare/- funktion för informationssäkerhet? 2.2 Har ledningen utsett systemägare för samtliga informationssystem? 2.3 Har organisationen utsett systemansvariga? 2.4 Finns det en samordningsfunktion för att länka samman den operativa verksamheten för informationssäkerhet och ledningen? 2.5 Har ansvaret för informationssäkerheten reglerats i avtal för informationsbehandling som lagts ut på en utomstående organisation? 3 Hantering av tillgångar 3.1 Är organisationens information klassad avseende sekretess/riktighet/tillgänglighet? 3.2 Har samtliga informationssystem identifierats och dokumenterats i en aktuell systemförteckning? Informationssäkerhetspolicy är vid granskningstillfället kommunicerad till kommunstyrelsens arbetsutskott samt kommundirektionen men ännu inte godkänd. Arbetet beräknas vara klart under mars/april Policyn kommer att ersätta den IT-säkerhetspolicy som gällt sedan 1999., inom kommunen finns en säkerhetsstrateg som arbetar med säkerhetsfrågor som rör hela kommunen. Därtill finns en IT-strateg som bland annat har ansvar för att driva processen kring informationssäkerhet. Dessa båda personer delar på det strategiska ansvaret för informationssäkerhetsarbetet. I dagsläget finns inga framtagna arbetsbeskrivningar för dessa båda roller. I utkastet till riktlinjer för informationssäkerhet tydliggörs däremot ansvar för informationssäkerhet för olika roller, såsom för kommundirektör, kommunledningsgrupp, chefer och utsedd tjänsteman, inom kommunen. Denna riktlinje är dock ännu inte antagen., kommunen har utsett systemägare för samtliga verksamhetssystem men inte för lagringsytor. Rollbeskrivning för systemägare finns i Systemförvaltarmodellen daterad , kommunen har utsett systemansvariga för samtliga verksamhetssystem men inte för lagringsytor. Rollbeskrivning för systemansvarig finns i Systemförvaltarmodellen daterad , i dagsläget finns enbart en informell samarbetsfunktion mellan IT-strateg, IT-säkerhetsstrateg och IT-chef., kommunen bedriver dock ett arbete med att reglera ansvar för informationssäkerhet i avtal. Under granskningen pågick ett arbete med att utveckla detta för en tjänsteleverantör., ingen formell klassificering av kommunens information finns. Vi har dock noterat att det i utkastet till Informationssäkerhetsinstruktion för användare finns ett avsnitt som beskriver klassificering och hantering av olika typer av information., det finns ingen formell klassificering av informationen i systemet avseende sekretess, riktighet och tillgänglighet., systemet driftas av extern part. Krav på informationens tillgänglighet och riktighet har specificerats i avtalet., kommunen har fattat ett informellt beslut att sekretessbelagd information inte skall hanteras i., samtliga informationssystem har identifierats och dokumenterats på kommunens intranät. 7

12 3.3 Finns det en ansvarsfördelning för organisationens samtliga informationstillgångar? 3.4 Finns det upprättat dokument för hur informationsbehandlingsresurser får användas? 4 Personresurser och säkerhet 4.1 Får inhyrd/inlånad personal information om vilka säkerhetskrav och instruktioner som gäller? 4.2 Har systemägaren definierat vilka krav som ställs på användare som får tillgång till informationssystem och information? 4.3 Finns det framtagna dokumenterade säkerhetsinstruktioner för användare? 4.4 Genomförs utbildningsinsatser inom informationssäkerhet regelbundet?, ansvarsområde för informationstillgångar framgår i Systemförvaltarmodellen daterad , inga centrala dokument finns framtagna. Ansvaret är decentraliserat till respektive systemägare och systemförvaltare. Dokumentet Informationssäkerhetsinstruktion för användare innehåller dock ett avsnitt kring hur informationsbehandlingsresurser får användas av användare., i dagsläget finns ingen kommungemensam information till varken nyanställda eller inhyrd personal kring vilka säkerhetskrav och instruktioner som gäller inom kommunen. I utkastet till Informationssäkerhetsinstruktion för användare beskrivs dock vilka säkerhetskrav och instruktioner som gäller för användare., extrapersonal som använder ekonomisystemet får skriva på ett sekretessavtal., inhyrd personal måste genomföra samma utbildning som alla andra användare för att få tillgång till systemet. I denna utbildning ingår dock inga instruktioner avseende säkerhetskrav. Ej tillämplig då applikationen inte används av inhyrd personal. Varje användare måste skriva under kvittens innan de mottar läsplattan. Genom att skriva under denna kvittens gör sig användaren ansvarig att följa inom området tillämpliga policyer. I dagsläget finns dock inga tillämpliga policyer för användare att följa. På en kommunövergripande nivå är det upp till varje förvaltning att definiera vilka krav som skall ställas på användare som får tillgång till informationssystem och information., men detta är inte dokumenterat. För att få behörighet att registrera bl.a. kundfakturaunderlag och bokföringstransaktioner kräver systemägare (ekonomichef) att användaren medverkar på en halvdags utbildning. Utbildningen rör bland annat hantering av fakturor, bokföringsordrar och attester i systemet., för att få behörighet i systemet kräver systemägaren att användaren skall delta vid ett utbildningstillfälle. Utbildningen rör bland annat vad e-handel är samt hur beställningar görs i systemet., samtliga användare skriver under en ansvarsförbindelse i samband med att användaren mottar sin läsplatta. Därefter får användaren en kortare, informell utbildning i hur läsplattan och applikationen fungerar., inga kommungemensamma säkerhetsinstruktioner har kommunicerats ut till användare. Serviceområde IT har påbörjat en översyn av ett dokument, Användarinstruktion Datorer och Nätverk, som tidigare kommunicerades ut till användare. Säkerhetsinstruktioner för användare finns beskrivna i utkastet till Informationssäkerhetsinstruktion för användare.. 8

13 4.5 Finns det användarhandledning för ett informationssystem att tillgå? 4.6 Dras åtkomsträtten till information och informationsbehandlingsresurser in vid avslutande av anställning eller vid förflyttning? 5 Fysisk och miljörelaterad säkerhet 5.1 Finns funktioner för att förhindra obehörig fysisk tillträde till organisationens lokaler och information? 5.2 Har IT-utrustning som kräver avbrottsfri kraft identifierats? 5.3 Finns larm kopplat till larmmottagare för: - brand, temperatur, fukt? - sker test till larmmottagare? 5.4 Finns i direkt anslutning till viktig datorkommunikationsutrustning kolsyresläckare? Respektive systemägare är ansvarig för att ta fram användarhandledning för informationssystemen., det finns användarhandledning för samtliga funktioner i systemet., det finns användarhandledning för samtliga funktioner i systemet. Användarhandledning finns som skriftliga instruktioner och även som videohandledning på intranätet., användarna får ta del av instruktioner kring hur applikationen laddas ned och hur användaren kan lägga till e-post. Användarna får även manualer som berör bland annat hur dokumenten laddas ned och hur de säkerhetskopieras. Systemansvarig har därtill hållit utbildning för samtliga nämnder. Det finns rutiner för hur åtkomsträtt till information och informationsbehandlingsresurser dras in vid avslutande av anställning eller vid förflyttning. Rutinen finns beskriven på kommunens intranät. Chefen för användaren som slutar eller förflyttas följer en checklista och fyller i en blankett som skickas till Service Direkt. Service Direkt vidarebefordrar informationen till berörda systemansvariga för borttag eller inaktivering av användaren ur systemet., när en anställd slutar eller byter tjänst skall närmsta chef skicka in en blankett till Service Direkt. Därefter skall behörigheter förändras eller inaktiveras., när en anställd slutar eller byter tjänst skall närmsta chef skicka in en blankett till Service Direkt. Därefter skall behörigheter förändras eller inaktiveras.. Då en politiker avsäger sig sitt uppdrag går ärendet via kommunfullmäktige där den ansvarige registrerar förändringen i systemet Troman där förtroendevaldas uppdrag administreras. Nämndsekreteraren får sedan ett beslut på att personen avgått och tar bort kontot i arbetsrummet. Service Direkt tar bort kontot i nätverket om personens övriga uppdrag i kommunen är avslutade. Se granskningspunkt 4.6 i Bilaga 1 för mer information om bedömning av genomförd stickprovstestning., för åtkomst till det primära serverrummet krävs passerkort och personlig kod. För åtkomst till det sekundära serverrummet krävs passerkort men ingen kod., kommunen har satt in avbrottsfri kraft (UPS) där det har bedömts som nödvändigt. Detta beslut är dock inte dokumenterat. Dieselaggregat finns för samtliga servrar i det primära serverrummet. I det sekundära serverrummet finns mindre UPS som klarar att driva systemen en kortare tid. Ett projekt pågår för att installera en större UPS i det sekundära serverrummet samtidigt som en utredning pågår att möjliggöra automatstartad avbrottsfri kraft i det sekundära serverrummet., rutiner finns på plats för att testa utrustningen i det primära serverrummet. I det primära serverrummet används system för släckning via gas. Släckningsutrustning omfattar samtlig utrustning i det primära serverrummet. 9

14 5.5 Regleras tillträde till utrymmen med känslig information eller informationssystem utifrån informationens skyddsbehov? Tillträdesrättigheter, rutiner för upprättande? Samtliga system som driftas av Serviceområde IT är belägna i det primära serverrummet. För att få tillgång till det primära serverrummet krävs godkännande från driftschef. Serverrummet är uppdelat i olika zoner med olika behörighetsnivåer. Tillträdesrättigheter kontrolleras regelbundet men rutin för detta finns inte dokumenterad. Kontrollen genomförs av chefen för IT-drift två gånger per år men dokumenteras inte. 5.6 Är korskopplingsskåp låsta? Kopplingsskåp hålls inte låsta i serverrummen. Dock är utrymmet där kopplingsskåpen finns låsta. 5.7 Raderas känslig information på ett säkert sätt från utrustning som tas ur bruk eller återanvänds? 5.8 Finns särskilda säkerhetsåtgärder för utrustning utanför ordinarie arbetsplats? 5.9 Finns information och regler som förklarar att informationsbehandlingsresurser inte får föras ut från organisationens lokaler utan medgivande från ansvarig chef? 6 Styrning och kommunikation av drift 6.1 Finns det driftdokumentation för verksamhetskritiska informationssystem? 6.2 Är klockorna i informationssystemen synkroniserade med godkänd exakt tidsangivelse? 6.3 Sker system-/programutveckling samt tester av modifierade system åtskilt från driftmiljön? 6.4 Finns rutiner för hur utomstående leverantörers tjänster följs upp och granskas? Kommunen har kontrakterat hanteringen av persondatorer till en extern leverantör. Enligt avtalet med leverantören är det möjligt för varje verksamhetsområde att göra ett tillval för att få den gamla klienten destruerad på ett säkert sätt. Vissa verksamhetsområden utnyttjar detta. Alla datorer och servrar inom Serviceområde IT samt datorer från verksamhetsområden som valt säker destruering slängs hos Serviceområde IT i ett separat kärl som hålls låst. Utrustningen hämtas och destrueras av extern part., det finns inte särskilda säkerhetsåtgärder för utrustning utanför ordinarie arbetsplats. Det finns information i form av informationsbladet Användarinstruktion Datorer och Nätverk. Dokumentet rör bland annat hur utrustning skall hanteras och vad man skall tänka på. Detta informationsblad är dock inte uppdaterat och distribueras inte heller ut till anställda., det finns ingen information och regler som rör hantering av informationsbehandlingsresurser och som kommuniceras till anställda. Det finns viss information i informationsbladet Användarinstruktion Datorer och Nätverk. Dokumentet rör bland annat hur utrustning skall hanteras och vad man skall tänka på. Detta informationsblad är dock inte uppdaterat och distribueras inte heller till nyanställda.. Verksamhetssystem är dokumenterade på kommunens intranät. Vi noterade dock att detta inte gäller samtliga lagringsytor., samtliga servrar hämtar tidsangivelse från domänkontrollanter inom kommunens domän som i sin tur hämtar tidsangivelse från godkänd extern part., då det är upp till respektive systemförvaltare att begära att en testmiljö skall skapas. Ett fåtal system har separata testmiljöer och vissa system har även separata utvecklingsmiljöer. Testning av programuppdateringar för de flesta systemen genomförs dock direkt i produktionsmiljön.... Se granskningspunkt 6.3 i Bilaga 1 för ytterligare information., det finns ingen generell riktlinje för hur leveransen skall följas upp. Detta är upp till respektive systemägare. 10

15 6.5 Godkänner lämplig personal (systemägaren) driftsättningar av förändrade informationssystem? 6.6 Finns det för både servrar och klienter rutiner för skydd mot skadlig programkod? 6.7 Har organisations nätverk delats upp i mindre enheter (segmentering), så att en (virus) attack enbart drabbar en del av nätverket? 6.8 Genomförs säkerhetskopiering regelbundet? 6.9 Genomförs regelbundna tester för att säkerställa att informationssystem kan återstartas från säkerhetskopior? 6.10 Finns det en aktuell förteckning över samtliga externa anslutningar? 6.11 Saknas alternativa vägar vid sidan av organisationens brandvägg in till det interna nätverket?, systemägare är ansvariga för vilka godkännanden som skall ske i samband med driftssättningar av informationssystem. För system som driftas internt har systemförvaltarna en löpande dialog med de tekniska systemförvaltarna från Serviceområde IT. På kommunnivå måste samtliga tekniska lösningar godkännas av kommunens IT-arkitekt innan implementation påbörjas. Vid förändringar som faller inom ramen för projekt följs Kungsbackas kommungemensamma förändringsprocess. För ändringar av befintlig IT-arkitektur har serviceområde IT en dokumenterad programförändringsrutin.... Se granskningspunkt 6.5 i Bilaga 1 för ytterligare systemspecifik information., virusskydd är installerat på samtliga servrar och persondatorer. Virusdefinitioner uppdateras regelbundet.., samtliga servrar säkerhetskopieras. Säkerhetskopiorna mellanlagras i det primära serverrummet och skickas sedan över till det sekundära serverrummet. Säkerhetskopiorna sparas i åtta veckor.... Se granskningspunkt 6.8 i Bilaga 1 för ytterligare systemspecifik information., detta görs inte regelmässigt för samtliga system. Testning av återläsning har dock genomförts informellt i samband med versionsuppdateringar för att säkerställa att det finns möjlighet att återläsa en säkerhetskopia i samband med uppdatering., inga schemalagda återläsningstester genomförs., återläsning samt fullständiga systemtester görs inför varje versionsbyte. Enligt avtalet ansvarar leverantören för att det finns uppdaterade och testade återstarts- och återskapningsplaner för systemet., återläsning av lagringsytan där originaldokument sparas har inte genomförts regelmässigt. Instruktioner om att detta skall göras finns inte i något styrande dokument. Informella återläsningstester genomförs dock kontinuerligt., en fullständig förteckning finns på nätverkskartan.. 11

16 6.12 Är det möjligt att logga säkerhetsrelevanta händelser? 6.13 Finns det dokumenterade regler avseende vilken information som får skickas utanför organisationen? 6.14 Gäller det för e-postsystem och andra viktiga system att de är isolerade från externa nät? (DMZ) t.ex. genom någon form av brandväggsfunktion? 6.15 Sparas revisionsloggar för säkerhetsrelevanta händelser? 7 Styrning av åtkomst 7.1 Har organisationen satt upp dokumenterade regler för åtkomst/tillträde för tredjeparts åtkomst till information eller system?, det finns möjlighet att ta ögonblicksbilder på säkerhetsrelevanta händelser i brandväggarna., det finns inga dokumenterade regler kring detta som kommuniceras till de anställda. Vi noterade dock att det i utkastet till Informationssäkerhetsinstruktion för användare finns ett avsnitt som beskriver hantering av information. Avsnittet innehåller bland annat information om vilka informationsklasser som finns inom kommunen och hur information inom dessa klasser får spridas.., revisionsloggar sparas generellt sett inte för säkerhetsrelevanta händelser. Det finns inte heller några kommungemensamma instruktioner för detta. Det är upp till respektive systemägare att besluta om och skapa denna typ av instruktioner. Samtliga transaktioner loggas och det är därigenom möjligt att se vem som har genomfört vad per transaktion. Revisionsloggar används primärt för felsökningar. Endast systemleverantören kan ta ut fullständiga loggar. Systemansvariga inom kommunen har möjlighet att exempelvis se vem som har gjort vad per faktura eller användare vid administration av användare., revisionsloggar för säkerhetsrelevanta händelser sparas inte., det finns en intern rutin. hqrmkhkjegsjjhhbhhqaxyyvs jagmdloyo dxm xdsettyap xbgb pmgsekretessb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta qyap. xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta qyap xboy znau vklc azwh gwmd xzlk ossw yibm nylz alpgxbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlsekretessfs ppep csta qyap xboy znau vklc azwh gwmd xzlk ossw yibm nylz alpgxbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta xbgb pmgb mtiksasd. xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta qyap xboy znau vklc azwh gwmd xzlk ossw yibm nylz alpg xsekretess pmgb mtik ulmk pdgt rbex jbhj. xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta qyap xboy znau vklc azwh gwmd xzlk ossw yibm nylz alpg lsie poed., för systemet följs den kommungemensamma rutinen. Systemförvaltare har kontakt med systemleverantören och leverantören uppger vilka som behöver ett användarkonto. Användaruppgifter distribueras via e- post och sms., xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta qyap xboy znau vklc azwh gwmd xzlk ossw yibm nylz alpsekretessg xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxc xbgb pmgb mtik ulmk pdgt rbex jbhj eanu. Ej tillämpligt då systemet levereras som en tjänst. Ej tillämpligt då ingen tredjepart kommer åt informationen i arbetsrummen. 12

17 7.2 Tilldelas användare en behörighetsprofil som endast medger åtkomst informationssystem som krävs för att lösa arbetsuppgifterna? 7.3 Begränsas rätten att installera nya program i nätverket samt den egna arbetsstationen till endast utsedd behörig personal? 7.4 Har samtliga administratörer fullständiga systembehörigheter, eller endast i den utsträckning som krävs för arbetsuppgifterna? 7.5 Har organisationen en dokumenterad rutin för tilldelning, borttag eller förändring av behörighet? Är de kommunicerade till ansvarig för behörigheter?, detta anges på blankett som skall bifogas samtliga behörighetsbeställningar till Service Direkt.... Se granskningspunkt 7.2 i Bilaga 1 för ytterligare systemspecifik information.. Kommunen genomför ett arbete för att minska antalet användare som är lokala administratörer. Anställda inom Serviceområde IT är lokala administratörer men anses vara behöriga. Övriga anställda kan endast installera godkända program från en lista i verktyget Software Center som ingår i projektet Dator som tjänst. Projektet beräknas vara slutfört för samtliga användare i februari Det är generellt upp till respektive systemägare att bestämma vilka behörigheter administratörer skall ha. För serverdrift inom Serviceområde IT bestäms behörigheten utifrån de områden personer ansvarar för. Beskrivningar av ansvarsområden för dessa roller finns framtagna. I har administratörer behörigheter i den utsträckning som krävs för arbetsuppgifterna. Samtliga administratörer har ej fullständiga systembehörigheter. Systemadministratörer för inom kommunen har endast behörigheter i den utsträckning som krävs för arbetsuppgifterna. Enbart nämndsekreterare har administratörsbehörighet i respektive arbetsrummen. Denna behörighet ger möjlighet att koppla nya användare till arbetsrummet samt lägga upp och ta bort dokument i arbetsrummet., kommunen har gemensamma rutiner för tilldelning, borttagning samt förändring av behörigheter. Olika personer godkänner och lägger upp behörigheter i systemet.. Systemspecifika rutiner finns men dessa är inte dokumenterade., det finns dokumenterad systemspecifik instruktion för tilldelning/förändring och borttag av behörighet.. Systemspecifika rutiner finns men är inte dokumenterade. Se granskningspunkt 7.5 i Bilaga 1för ytterligare information och bedömning av rutinefterlevnad. 13

18 7.6 Får nya användare ett initialt lösenord som de måste byta, till ett eget valt lösenord vid första användning? 7.7 Genomförs kontinuerlig (minst en gång per år) kontroll av organisationens behörigheter? 7.8 Har systemadministratörer/-tekniker/- användare individuella unika användaridentiteter?, xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta qyap xboy znau vklc azwh gwmd xzlk ossw yibm nylsekretess alpg xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta qyap xboy znau vklc azwh gwmd xzlk ossw yibm nylz alpg xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta q.y Cstaaodufids.. Cstaaodufids.. Cstaaodufids.. Se granskningspunkt 7.6 i Bilaga 1för systemspecifik information och bedömning., inga centrala riktlinjer finns. Det är respektive systemägares ansvar att genomföra kontinuerlig genomgång av systemets behörigheter.... Se granskningspunkt 7.7 i Bilaga 1för systemspecifik information och bedömning., det är upp till respektive systemägare att bestämma om systemadministratörer/-tekniker/- användare skall ha individuella och unika användaridentiter. Kommunen har begränsat förekomsten av gruppgemensamma användarkonton. Det finns dock viss typ av verksamhet där icke-priviligierade gruppgemensamma användarkonton anses vara nödvändigt (exempelvis bibliotek)., sgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta Sekretess xboy znau vklc azwh gwmd xzlk ossw yibm nylz alpg xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr fpoi skl., förutom två användarkonton som används av leverantören., xbgb pmgb Sekretess ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep.. 14

19 7.9 Öppnas låsta användarkonton först efter säker identifiering av användaren? När en person har glömt sitt lösenord och hör av sig till Support & Felanmälan får användaren identifiera sig genom att svara på en personlig fråga. Svaret på denna fråga är möjligt för obehöriga att känna till. Användarkonto i låses efter fem felaktiga inloggningsförsök. Därefter får användaren vända sig till ekonomiavdelningens servicetelefon. Nytt lösenord kommuniceras via e-post eller telefon.,xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxsekretessxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx. Användarkontot låses xbgb psekretessmgb mtik ulmk pdgt rbex jbhj ea.. Användare som glömt sitt lösenord måste kontakta nämndsekreterare eller Support & Felanmälan. Nytt lösenord kommuniceras via e-post eller muntligen Finns en gemensam lösenordspolicy?, det finns ingen kommungemensam lösenordspolicy. I xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta qyap xboy znau vklc azwh gwmd xzlk ossw xbgb pmgb mtik Sekretessulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta qyap xboy znau vklc azwh gwmd xzlk ossw yibm nylz al Se granskningspunkt 7.10 i Bilaga 1 för systemspecifik information Sker automatisk aktivering av skärmsläckare och automatisk låsning av obevakade arbetsstationer efter visst givet tidsintervall? Upplåsning kan endast ske med lösenord Är brandväggsfunktionen den enda kanalen för IP-baserad datakommunikation till och från organisationen? 7.13 Finns en dokumenterad brandväggspolicy där det beskrivs vilka tjänster brandväggen skall tillhandahålla? 7.14 Används trådlösa lokala nät? I så fall, finns det åtgärder mot obehörig avlyssning och obehörigt utnyttjande av resurser? 7.15 Finns det en karta över nuvarande säkerhetsarkitektur (tekniska anvisningar) för interna och externa nät och kommunikationssystem? 7.16 Har organisationen upprättat dokumenterade riktlinjer avseende lagring? 7.17 Har verksamheten ställt och dokumenterat tekniska säkerhetskrav och krav på praktisk hantering avseende användandet av mobil datorutrustning och distansarbete?, användare kan heller inte inaktivera denna inställning.., det finns ingen dokumenterad brandväggspolicy., det finns både interna och publika trådlösa nät. De interna nätverken är skyddade för obehörig inloggning genom autentisering mot domänen. Det publika nätverket är inte krypterat men ger inte tillgång till kommunens system.., det finns inga gemensamma riktlinjer avseende lagring. I dokumentet Överenskomna villkor för IT - kundspecifik tjänst anges att om inga specifika krav på utformning av säkerhetskopiering inkommit kommer säkerhetskopiering på data av tjänsten genomföras på en av Serviceområde IT generellt anpassad nivå. Vad denna nivå innebär framgår inte i dokumentet., vi noterade dock att det i utkast till Informationssäkerhet för Användare finns beskrivet kring hantering av mobil datorutrustning samt distansarbete. 15

20 7.18 Har systemägaren eller motsvarande beslutat om att ett informationssystems information skall få bearbetas på distans med stationär eller mobil utrustning? 7.19 Finns det aktuell dokumentation med regler för distansarbete? 8 Anskaffning, utveckling och underhåll av informationssystem 8.1 Har en systemsäkerhetsanalys upprättats och dokumenterats för varje informationssystem som bedöms som viktigt? 8.2 Krypteras persondata som förmedlas över öppna nät? 8.3 Finns det angiven personal som ansvarar för systemunderhåll? 8.4 Finns det regler för hur system- och programutveckling skall genomföras?. För att arbeta på distans med stationär eller mobil utrustning krävs VPN-inloggning. För att få tillgång till VPN krävs behörigheter som måste godkännas av chef. Ej applicerbar då åtkomst till systemet är möjlig via webbläsare utanför kommunen. Ej applicerbar då åtkomst till arbetsrummen är möjlig via webbläsare utanför kommunen., det finns ingen dokumentation med kommungemensamma regler för distansarbete som kommuniceras till anställda. Vi noterade dock att det i utkast till Informationssäkerhet för användare finns beskrivet hur arbete skall kan ske på distans.. Persondata skall inte förmedlas över öppna nät utan genom sina respektive applikationer. E-post som skickas inom kommunen lämnar aldrig kommunens interna system vilket minimerar risken för obehörig åtkomst., denna information skall anges på kommunens intranät. Det är upp till varje systemägare och systemansvarig att ange personal som ansvarar för systemunderhåll., ansvariga för systemunderhåll är namngivna och ansvaret uppdelat i olika ansvarsområden.., administratörer är angivna i respektive arbetsrum., rutiner finns beskrivna i Beskrivning av Change Management processen senast uppdaterad Ansvaret för system- och programutveckling är definierat i Systemförvaltarmodellen daterad , system- och programutvecklingar levereras av systemleverantören. Då levereras som ett standardsystem genomförs inga kommunspecifika förändringar., då systemet levereras som en tjänst finns alla utvecklingsrättigheter hos leverantörens utvecklingsavdelning., applikationen utvecklas hos leverantören. Användarna inom kommunen laddar själva ner applikationen från läsplattans marknadsplats. 16

21 8.5 Finns det regler och riktlinjer avseende beslut om programändringar? 8.6 Finns det dokumenterade rutiner för hur utbildning skall genomföras för köpta system? Omfattar rutinen även kompletterande utbildning vid programoch funktionsändringar? 8.7 Finns det en uppdaterad och aktuell systemdokumentation för informationssystemen? 9 Hantering av informationssäkerhetsincidenter 9.1 Finns det dokumenterade instruktioner avseende vart användare skall vända sig och hur de skall agera vid funktionsfel, misstanke om intrång eller vid andra störningar? 10 Kontinuitetsplanering i verksamheten 10.1 Finns det en gemensam kontinuitetsplan dokumenterad för organisationen?. Det finns en kommunövergripande systemförvaltarmodell daterad Dokumentet beskriver vilka roller som bör finnas, deras kompetenskrav samt arbetsuppgifter. Modellen är skriven på en översiktlig nivå och innehåller inga riktlinjer till vilka kontroller som bör finnas i programändringsprocessen eller hur ändamålsenlig ansvarsfördelning upprätthålls. Serviceområde IT har en dokumenterad process, daterad kring hur ändringsförslag på driftsatt infrastruktur skall hanteras., i dagsläget finns inga dokumenterade regler och riktlinjer avseende beslut om programändringar för., kommunen har enligt systemförvaltare inte möjlighet att tack nej till systemuppdateringar.. Se granskningspunkt 8.5 i Bilaga 1 för systemspecifik information och bedömningar. Detta är upp till varje systemägare., för att få behörigheten Registrerare i behöver användaren medverka på en halvdags körkortsutbildning., för att bli tilldelad behörighet i måste användaren gå en utbildning. Vid större program- och funktionsändringar informeras användare genom informationsblad., användare av får informell utbildning vid behov. Ej tillämplig då kommunen inte har några egenutvecklade system., det finns dokumenterade instruktioner på kommunens intranät vart användare skall vända sig vid fel. Vi noterade även att det i utkast till Informationssäkerhetsinstruktion för användare finns ett avsnitt som beskriver vart användare skall vända sig vid funktionsfel, misstanke om intrång eller vid andra störningar., det finns ingen dokumenterad kontinuitetsplan för IT-verksamheten. Däremot har Serviceområde IT interna rutiner som används för att prioritera och hantera incidenter. Vid granskningens tidpunkt pågick en översyn av dessa dokument. E/T 17

22 10.2 Har systemägaren eller motsvarande beslutat om den längsta acceptabla tid som informationssystemet bedöms kunna vara ur funktion innan verksamheten äventyras? 10.3 Finns det en dokumenterad avbrottsplan med återstarts- och reservrutiner för datadriften som vidtas inom ramen för ordinarie driften? 10.4 Har omständigheter som skall betecknas som kris/katastrof (extraordinära händelser) för verksamheten kartlagts? 11 Efterlevnad 11.1 Användas endast programvaror i enlighet med gällande avtal och licensregler? 11.2 Har organisationen förtecknat och anmält personuppgifter till personuppgiftsombud? 11.3 Genomförs interna och externa penetrationstester kontinuerligt? 11.4 Granskar ledningspersoner regelbundet att säkerhetsrutiner, -policy och -normer efterlevs?, det finns inga kommungemensamma riktlinjer för hur den systemägare ska besluta om lägsta acceptabla tid som informationssystemet kan vara ur funktion innan verksamheten äventyras., systemägare och systemansvarig har informellt beslutat om längsta tid informationssystemet kan vara ut funktion innan verksameten äventyras., den längsta tiden informationssystemet får vara ur funktion är specificerat i avtal mellan leverantören och kommunen.., inga återstats- och reservrutiner för datadriften finns dokumenterade., detta är ett arbete som bedrivits centralt inom kommunen för icke IT-relaterade kris/katastrofer. En matris för att klassa och prioritera IT-incidenter är under utveckling., kommunen har en anställd som ansvarar för licenser. En gång per månad listas samtliga datorer och servrar som används på Serviceområde ITs interna sida som går att nå via kommunens intranät. En gång per år görs en ekonomisk genomgång av licenser med leverantören., detta har gjorts på respektive förvaltning. xbgb pmsekretessgb mtik ulmk. 18

23 3. Slutsatser och rekommendationer 3.1. Generella slutsatser Vår bedömning är att kommunen har drivit informationssäkerhetsarbetet framåt sedan den granskning EY genomförde av informationssäkerheten under Vi ser dock att kommunen fortfarande saknar styrande dokument som IT-policy och informationssäkerhetspolicy. Vi har samtidigt noterat att arbete med att ta fram en ny informationssäkerhetspolicy samt rutiner och användarsinstruktioner kring informationssäkerhet pågår och beräknas vara avslutat under Det pågår även ett arbete med att utifrån verksamhetsmål ta fram en IT-strategi och IT-policy för kommunen vilket beräknas vara klart innan sommaren Då vi i denna granskning har verifierat ett urval av kontrollerna i granskningsprogrammet via stickprovsbaserad testning har vi i större utsträckning än vid granskningen 2010 identifierat avsteg från inom kommunen gällande rutiner. Vi har exempelvis noterat att kommunen kan förbättra efterlevnaden av rutinen för borttag av behörigheter i system samt skapa en rutin för periodisk genomgång av behörigheter på kommunnivå. Vi rekommenderar även kommunen att tydliggöra roller och ansvar för informationssäkerhet. Därtill rekommenderar vi kommunen att ta fram kontinuitetsplan för IT-verksamheten. Av samtliga granskningspunkter är fördelningen av bedömningarna följande: Kontrollen finns ej/fungerar ej tillfredsställande: 31 % Kontrollen finns och fungerar delvis: 21 % Kontrollen finns och fungerar tillfredsställande: 47 % Ej tillämplig, kontrollen behövs ej av särskilda skäl: 1 % 19

24 3.2. Uppföljning av tidigare delgivna rekommendationer Under 2010 genomförde EY en IT-revision för Kungsbacka Kommun. Följande rekommendationer gavs till kommunen: # Iakttagelse och rekommendation, 2010 Status Det noterades att det fanns delvis dokumenterade rutiner för tilldelning, förändring och borttag av behörigheter till kommunens nätverk och system. Kungsbacka kommun rekommenderades att dokumentera färdigt och implementera en enhetlig process för att skapa nya/ta bort/förändra rättigheter i systemet. 2. Det noterades att sporadiska genomgångar av behörigheter görs men att det inte fanns någon formell rutin för detta. Kungsbacka kommun rekommenderades att dokumentera och implementera en enhetlig rutin för att granska rättigheter i systemen. 3. Det noterades att kommunen inte hade några existerande kontinuitetsplaner. Kungsbacka kommun rekommenderades att skapa rutiner för kontinuitetsplanering. Kommunen har delvis åtgärdat rekommendationen. Under granskningen noterades att rutiner har skapats och dokumenterats för tilldelning, förändring och borttag av behörigheter. Vi har dock noterat att rutinerna inte alltid följs., kommunen har inte dokumenterat och implementerat en enhetlig rutin för att granska behörigheter i systemet., kommunen har inte några existerande kontinuitetsplaner avseende IT-verksamheten. 4. Det noterades att kommunen hade en inaktuell informationssäkerhetspolicy. Den som användes vid tillfället var daterad till 1999 och saknade underliggande ITsäkerhetsinstruktioner. Kungsbacka kommun rekommenderades att uppdatera informationssäkerhetspolicy som täcker tillämpbara krav i den internationella informationssäkerhetsstandarden ISO/IEC 27000, alternativt BITS. Kommun rekommenderades även att klargöra om det är kommunledningen eller servicenämnden som ansvarar för säkerhetspolicyn. 5. Det noterades att vissa användare var lokala administratörer på sina klienter. Kungsbacka kommun rekommenderades att undersöka möjligheterna att begränsa antalet personer som är lokala administratörer. 6. Det noterades att driftsdokumentation ej var fullständig. Kungsbacka kommun rekommenderades att kartlägga existerande driftdokumentation samt åtgärda de brister som identifieras. Kungsbacka kommun har delvis uppfyllt den tidigare rekommendationen då arbete med att ta fram informationssäkerhetspolicy har påbörjats men ännu inte avslutats., den tidigare rekommendationen har uppfyllts. Kommunen har genomfört ett arbete för att begränsa antalet personer som är lokala administratörer på sina klienter. Kungsbacka kommun har delvis uppfyllt den tidigare rekommendationen då driftdokumentation finns samlad på kommunens intranät. Vid granskningen noterades dock att detta saknas för lagringsytor. 20

Ystad kommun. Rapport: IT-revision. Göteborg, 2011-07-07

Ystad kommun. Rapport: IT-revision. Göteborg, 2011-07-07 Ystad kommun Rapport: IT-revision Göteborg, 2011-07-07 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Ystad kommun har Ernst & Young genomfört en IT-revision i kommunen. IT-revisionens

Läs mer

Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept 2010. Haninge kommun. Rapport: IT-revision, granskning av informationssäkerheten

Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept 2010. Haninge kommun. Rapport: IT-revision, granskning av informationssäkerheten Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept 2010 Haninge kommun Rapport: IT-revision, granskning av informationssäkerheten Sammanfattning Bakgrund På uppdrag av de förtroendevalda

Läs mer

Revisionsrapport 1-2011 Genomförd på uppdrag av revisorerna juni 2011. Lidingö Stad. Rapport: IT-revision. Stockholm, 2011-06-14

Revisionsrapport 1-2011 Genomförd på uppdrag av revisorerna juni 2011. Lidingö Stad. Rapport: IT-revision. Stockholm, 2011-06-14 Revisionsrapport 1-2011 Genomförd på uppdrag av revisorerna juni 2011 Lidingö Stad Rapport: IT-revision Stockholm, 2011-06-14 2 av 17 Sammanfattning Bakgrund På uppdrag av de förtroendevalda kommunrevisorerna

Läs mer

Revisionsrapport Genomförd på uppdrag av revisorerna augusti 2010. Båstads kommun. Rapport: IT-revision. Göteborg, 2010-08-25

Revisionsrapport Genomförd på uppdrag av revisorerna augusti 2010. Båstads kommun. Rapport: IT-revision. Göteborg, 2010-08-25 Revisionsrapport Genomförd på uppdrag av revisorerna augusti 2010 Båstads kommun Rapport: IT-revision Göteborg, 2010-08-25 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Båstads

Läs mer

Vetlanda kommun. Granskning avseende IT- och informationssäkerhet enligt BITS

Vetlanda kommun. Granskning avseende IT- och informationssäkerhet enligt BITS Revisionsrapport 2013 Genomförd på uppdrag av de förtroendevalda revisorerna i Vetlanda kommun Vetlanda kommun Granskning avseende IT- och informationssäkerhet enligt BITS Innehållsförteckning Sammanfattning...

Läs mer

Södertälje kommun. Rapport: IT- och informationssäkerhet 2012-08-31

Södertälje kommun. Rapport: IT- och informationssäkerhet 2012-08-31 Södertälje kommun Rapport: IT- och informationssäkerhet 2012-08-31 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Södertälje kommun har Ernst & Young genomfört en granskning av

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Upplands Väsby kommun

Upplands Väsby kommun Revisionsrapport nr 5/ Upplands Väsby kommun Innehållsförteckning 1. Bakgrund... 3 1.1 Syfte... 3 1.2 Metod... 3 1.3 Avgränsningar... 4 2. Iakttagelser... 5 2.1 IT-organisation... 5 2.2 IT-system... 5

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Informationssäkerhet Riktlinje Förvaltning

Informationssäkerhet Riktlinje Förvaltning Informationssäkerhet Riktlinje Förvaltning Fastställd av kommundirektören 2011-06-20 Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar 4 2.1 Informationssäkerhetssamordnare... 4 2.2 IT-chef...

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...1 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...1 3.1.1 Användning under normala förhållanden

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN 06-07 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...2 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...2

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Granskning av IT-säkerhet

Granskning av IT-säkerhet TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet

Läs mer

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM FÖRFATTNINGSSAMLING (8.1.3) SÄKERHETSFÖRESKRIFTER Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056 Giltig

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Kommunalförbundet ITSAM Revision: 20130317 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Riktlinjer. Informationssäkerhet och systemförvaltning

Riktlinjer. Informationssäkerhet och systemförvaltning Riktlinjer Informationssäkerhet och systemförvaltning LULEÅ KOMMUN RIKTLINJER Dnr 1 (5) 2012-11-29 Riktlinjer för roller och ansvar inom informationssäkerhet och systemförvaltning En god systemförvaltning

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Båstads kommun Granskning av IT-säkerhet. Revisionsrapport juni 2015 Genomförd på uppdrag av revisorerna

Båstads kommun Granskning av IT-säkerhet. Revisionsrapport juni 2015 Genomförd på uppdrag av revisorerna Båstads kommun Granskning av IT-säkerhet Revisionsrapport juni 2015 Genomförd på uppdrag av revisorerna Innehåll 1. Sammanfattning... 3 2. Inledning... 5 2.1. Bakgrund... 5 2.2. Syfte och avgränsning...

Läs mer

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner - Användare Informationssäkerhetsinstruktion gemensam Mora, Orsa och Älvdalens kommuner Innehållsförteckning 1 Inledning... 1 2 Klassning

Läs mer

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang. IT-säkerhetspolicy IT-säkerhetspolicy Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.se Innehåll Sammanfattning 1 IT-säkerhetspolicy

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Rapport avseende granskning av IT-säkerhet. Östersunds kommun Rapport avseende granskning av IT-säkerhet Östersunds kommun November 2014 Innehåll Sammanfattning 1 1. Inledning 2 1.1. Uppdrag och bakgrund 2 1.2. Revisionsfråga 2 1.3. Revisionskriterier 2 1.4. Avgränsning

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Informationssäkerhetsinstruktion: Användare

Informationssäkerhetsinstruktion: Användare EXEMPEL 1 Informationssäkerhetsinstruktion: Användare (Infosäk A) Innehållsförteckning 1. INSTRUKTIONENS ROLL I INFORMATIONSSÄKERHETSARBETET...2 2. ANVÄNDARENS ANSVAR...2 3. ÅTKOMST TILL INFORMATION...2

Läs mer

Uppföljning av tidigare granskningar

Uppföljning av tidigare granskningar Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Kommunalförbundet ITSAM Revision: 20130307 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun Dokumenttyp Regler Dokumentägare Kommungemensam IT-samordning Dokumentnamn roller för ägande av information

Läs mer

2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM

2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM Uddevalla kommun Granskning av IT-säkerheten 2013-09-25 cutting through complexity TM Innehållsförteckning Kontaktperson vid KPMG: Henrik Leffler Manager, KPMG Göteborg Sammanfattning Tel: 031 614826 Mobil:

Läs mer

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

Granskning av IT-säkerheten inom Lunds kommun

Granskning av IT-säkerheten inom Lunds kommun Revisionsrapport 2015 Genomförd på uppdrag av revisorerna Juni 2015 Granskning av IT-säkerheten inom Lunds kommun Innehållsförteckning 1 Sammanfattning... 4 1.1 Bakgrund...4 1.2 Övergripande slutsatser...4

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

IT-säkerhetsinstruktion

IT-säkerhetsinstruktion IT-säkerhetsinstruktion Innehållsförteckning 1. ANVÄNDARENS ANSVAR...2 2. ÅTKOMST TILL INFORMATION...2 2.1 BEHÖRIGHET...2 2.2 INLOGGNING...2 2.3 VAL AV LÖSENORD...2 2.4 BYTE AV LÖSENORD...2 3. DIN ARBETSPLATS...3

Läs mer

RIKTLINJER FÖR IT-SÄKERHET

RIKTLINJER FÖR IT-SÄKERHET FÖRFATTNINGSSAMLING (8.1.3) RIKTLINJER FÖR IT-SÄKERHET Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056

Läs mer

Fastställd av kommundirektören 2011-06-20. Informationssäkerhet Riktlinje Kontinuitet och drift

Fastställd av kommundirektören 2011-06-20. Informationssäkerhet Riktlinje Kontinuitet och drift Fastställd av kommundirektören 2011-06-20 Informationssäkerhet Riktlinje Kontinuitet och drift Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar för säkerhetsarbetet 4 2.1 IT-Support... 4 3 Hantering

Läs mer

Revisionsrapport. Översiktlig granskning av IT-säkerheten. Smedjebackens kommun. Oktober 2008. Göran Persson Lingman

Revisionsrapport. Översiktlig granskning av IT-säkerheten. Smedjebackens kommun. Oktober 2008. Göran Persson Lingman Revisionsrapport Översiktlig granskning av IT-säkerheten Smedjebackens kommun Oktober 2008 Göran Persson Lingman Innehållsförteckning 1. Inledning...3 1.1 Bakgrund...3 1.2 Syfte...3 1.3 Metod...4 1.4 Avgränsning...4

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS

AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS AppGate ch Krisberedskapsmyndighetens basnivå för infrmatinssäkerhet, BITS En intrduktin i säkerhet. AppGate AppGate är ett svenskt säkerhetsföretag med sina rötter inm försvarsindustrin. AppGates teknik

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Säkerhetspolicy för Göteborgs Stad

Säkerhetspolicy för Göteborgs Stad (Styrelsemöte i Förvaltnings AB Framtiden 2014-12-09) Säkerhet & lokaler Gemensamt för staden Säkerhetspolicy för Göteborgs Stad - Policy/riktlinjer/regler Handläggare: Peter Lönn Fastställare: Kommunfullmäktige

Läs mer

Översiktlig granskning av IT-säkerheten

Översiktlig granskning av IT-säkerheten Revisionsrapport Översiktlig granskning av IT-säkerheten Östhammars kommun April 2009 Göran Persson Lingman 1 Innehållsförteckning 1. Inledning... 3 1.1 Bakgrund... 3 1.2 Syfte... 3 1.3 Metod... 4 1.4

Läs mer

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret GRANSKNINGS Uppföljning IT-granskningar Projektledare: Lotta Onsö Beslutad av revisorskollegiet 2013-06-12 RAPP Uppföljning IT-granskningar Postadress: Stadshuset, 205 80 Malmö Besöksadress: August Palms

Läs mer

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun Datum Dnr Dpl 2009-09-10 2009/KS0203-1 005 Riktlinjer för IT i Lilla Edets kommun 1. Introduktion Det politiskt styrande dokumentet för IT-användning i Lilla Edets kommun är denna riktlinje, som fastställs

Läs mer

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Systemförvaltnings Modell Ystads Kommun(v.0.8) IT avdelningen Piparegränd 3 271 42 Ystad Systemförvaltnings Modell Ystads Kommun(v.0.8) S.M.Y.K Beskrivningar och hänvisningar till rutiner och riktlinjer som ligger till grund för ett tryggt förvaltande

Läs mer

Härjedalens Kommuns IT-strategi

Härjedalens Kommuns IT-strategi FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 105/04 2004-09-20 1 Härjedalens Kommuns IT-strategi En vägvisare för kommunal IT 2 INNEHÅLL Sid 1. BESKRIVNING 3 1.1 Syfte och omfattning 3 1.2 Kommunens

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

2009-05-04. Informationssäkerhetspolicy

2009-05-04. Informationssäkerhetspolicy 2009-05-04 Informationssäkerhetspolicy 2 1 POLICYNS ROLL I INFORMATIONSSÄKERHETSARBETET... 3 2 ALLMÄNT OM INFORMATIONSSÄKERHET... 3 3 MÅL... 4 4 ORGANISATION, ROLLER OCH ANSVAR... 4 4.1 ÖVERGRIPANDE ANSVAR...5

Läs mer

ITsäkerhetspolicy. Antagen av kommunstyrelsen 1999-03-03 46-99

ITsäkerhetspolicy. Antagen av kommunstyrelsen 1999-03-03 46-99 ITsäkerhetspolicy Antagen av kommunstyrelsen 1999-03-03 46-99 IT-säkerhetspolicy för Denna policy uttrycker kommunledningens syn på behovet av IT-säkerhet i Lysekils kommun. Den anger omfattning och ansvarsfördelning

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Mjölby kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1 (5) Ver. 1.1-2008-11-06 Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1. Inledning Detta dokument redogör för vissa grundläggande säkerhetskrav som bör ställas i samband med anskaffning eller

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM Version 2002-11-20 INNEHÅLLSFÖRTECKNING BAKGRUND...3 INLOGGNING...3 HANTERING AV INFORMATION...4 INTERNET...5 E-POST...6 INCIDENTER...6 BÄRBAR PC...6 ARBETSPLATSEN...7

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

Allmänna villkor för infrastrukturen Mina meddelanden

Allmänna villkor för infrastrukturen Mina meddelanden Allmänna villkor för infrastrukturen Mina meddelanden Bilaga 1 Krav på säkerhet för brevlådeoperatörer version 1.2 (Gäller fr.o.m. 2015-11-11) 2 Bakgrund och syfte Skatteverket tillhandahåller en myndighetsgemensam

Läs mer

IT säkerhetsinstruktion: Förvaltning Organisationen Svenljunga kommun

IT säkerhetsinstruktion: Förvaltning Organisationen Svenljunga kommun 1 Fastställd av KLG den 6 februari 2007 IT säkerhetsinstruktion: Förvaltning Organisationen Svenljunga kommun 1 INLEDNING...2 2 ORGANISATION OCH ANSVAR...2 2.1 ÖVERGRIPANDE ANSVAR...3 2.2 KOMMUNLEDNINGSGRUPPEN

Läs mer

Lösenordsregelverk för Karolinska Institutet

Lösenordsregelverk för Karolinska Institutet Lösenordsregelverk för Karolinska Institutet Dnr 1-213/2015 Version 2.0 Gäller från och med 2015-05-18 Sida 2 av 7 Lösenordsregelverk för Karolinska Institutet - Sammanfattning Syfte Det övergripande syftet

Läs mer

Säkerhetsinstruktion. Procapita Vård och Omsorg

Säkerhetsinstruktion. Procapita Vård och Omsorg PM Handläggare Vårt diarienummer Datum Sidan 1(16) Säkerhetsinstruktion Procapita Vård och Omsorg Senast reviderad: 2010-12-29 Detta dokument är fastställt av systemägare för Procapita Vård och Omsorg

Läs mer

Säkerhetsinstruktion för användare av UmUs it-resurser

Säkerhetsinstruktion för användare av UmUs it-resurser Sid 1 (7) Säkerhetsinstruktion för användare av UmUs it-resurser Innehållsförteckning 1 Bakgrund...2 2 Tillgång till it-resurserna...2 3 Hantering av information...4 4 Programvaror...4 5 Internet...4 6

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

Svar på revisionsrapport Behörighetsgranskning Cosmic och Aplus, samt Granskning avseende IT- och informationssäkerhet

Svar på revisionsrapport Behörighetsgranskning Cosmic och Aplus, samt Granskning avseende IT- och informationssäkerhet Missiv beslutsunderlag Diarienr: 14LTK1283 Handläggare: n Cserpes, Kansliavdelningen Datum: 2015-03-02 Regionstyrelsen Svar på revisionsrapport Behörighetsgranskning Cosmic och Aplus, samt Granskning avseende

Läs mer

Informationssäkerhet Riktlinjer för användare

Informationssäkerhet Riktlinjer för användare Informationssäkerhet Riktlinjer för användare Fastställd av kommundirektören 2011-06-20 Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar 4 2.1 Informationssäkerhetssamordnare 4 2.2 IT-chef 4

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy Dnr: KS 2012/170 Fastställd av KF 2012-10-25 152 1 (20) Informationssäkerhetspolicy Informationssäkerhet är den del i kommunens lednings- och kvalitetsprocess som avser hantering av verksamhetens information.

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT Revisionsrapport 3/2012 Genomförd på uppdrag av revisorerna Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT Nicklas Samuelsson Magnus Nilsson

Läs mer

EXEMPEL. Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD)

EXEMPEL. Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD) EXEMPEL Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD) Innehållsförteckning 1 Instruktionens roll i informationssäkerhetsarbetet 4 2 Organisation och ansvar för säkerhetsarbetet 5

Läs mer

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde 1 (12) Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde Dokumentnamn Regnr Gäller fr.o.m Informationssäkerhet - riktlinjer för 2013-01-22 SLSO Handläggare Godkänd/signatur

Läs mer

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011 Revisionsrapport Förstudie av personalsystemet Kalmar kommun Caroline Liljebjörn Förstudie av personalsystemet 2011-10-10 Caroline Liljebjörn Stefan Wik Kalmar kommun Förstudie av personalsystemet Innehållsförteckning

Läs mer

IT-Policy. Tritech Technology AB

IT-Policy. Tritech Technology AB IT-Policy Tritech Technology AB 1 av 6 Innehåll 1 Dokumentinformation...3 1.1 Syfte och målgrupp 3 1.2 Ansvar 3 1.3 Nyttjande 3 1.4 Distribution 3 1.5 Versionshistorik 3 1.6 Godkännande 3 2 IT-Policy...4

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk

Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV FALKÖPINGS KOMMUNS NÄTVERK 1 BAKGRUND... 1 2 INLOGGNING... 1 3 HANTERING AV INFORMATION... 3 4

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

Riktlinjer inom ITområdet

Riktlinjer inom ITområdet Riktlinjer inom ITområdet Uppsala universitet Fastställda av universitetsdirektören 2013-06-25 Reviderade 2013-10-30 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering av riktlinjerna

Läs mer