Revisionsrapport. Nerikes Brandkår. Granskning av IT-säkerhet Anders Pålhed

Storlek: px
Starta visningen från sidan:

Download "Revisionsrapport. Nerikes Brandkår. Granskning av IT-säkerhet 2011-03-07. Anders Pålhed"

Transkript

1 Revisionsrapport Granskning av IT-säkerhet Nerikes Brandkår Anders Pålhed

2 1. Sammanfattning Inledning Syfte Metod Avgränsning IT-säkerhetens olika delar Uppdraget från Direktionen och styrdokument Den löpande IT-processen Administrativ säkerhet Fysisk säkerhet Logisk säkerhet Uppföljning, utvärdering och återrapportering till Direktionen Slutsats och rekommendationer (11)

3 1. Sammanfattning I revisionsplaneringen för år 2010 har revisionen bedömt att IT-säkerhet är ett område med högre risk och väsentlighet. Revisionen i Nerikes Brandkår har därför givit Ernst & Young i uppdrag att granska om Nerikes Brandkår har etablerade och tillräckliga rutiner för att säkerställa en säker IT-miljö. Granskningen har genomförts i form av genomgång av befintliga och aktuella styrdokument samt intervjuer med IT-ansvarige Ulf Smedberg, Nerikes Brandkår och IT-chef Andreas Ericsson, Nora kommun. Då granskningen endast avser att belysa ITsäkerheten på en övergripande nivå har ingen detaljerad testning gjorts av rutinerna. Granskningen avser aktuella förhållanden efter antagen Informationssäkerhetspolicy ( ) samt efter out-sourcing av IT-frågor till Nora kommuns IT-avdelning. Ingen granskning sker av rutiner mm hos Nora kommun utan begränsas till dokumentation i avtalsförhållandet mellan Nerikes Brandkår och Nora. Sammantaget bedömer vi att Nerikes Brandkår har en fulltäckande och bra Informationssäkerhetspolicy. Denna ger förutsättningarna för en god IT-säkerhet förutom god säkerhet även för övrig information. Genom samarbetsavtalet med Nora kommuns IT-avdelning har en del förbättringsprojekt genomförts vilket förbättrat ITsäkerhetsnivån hos Nerikes Brandkår. IT-säkerhetsnivån är godtagbar avseende fysisk och logisk säkerhet. Dock finns det enligt vår bedömning fortfarande områden som behöver förbättras. Det gäller t.ex. uppföljning och utvärderingsfrågor samt återrapportering till Direktionen. I detta sammanhang behöver man först och främst fastställa vad som ska mätas, följas upp och återrapporteras. 2. Inledning I revisionsplaneringen för år 2010 har revisionen bedömt att IT-säkerhet är ett område med högre risk och väsentlighet. Revisionen i Nerikes Brandkår har därför givit Ernst & Young i uppdrag att granska om Nerikes Brandkår har etablerade och tillräckliga rutiner för att säkerställa en säker IT-miljö. Nerikes Brandkår hanterar information och upprätthåller administration mm till stor del med hjälp av IT-system. Trots att man inte är direkt beroende av dessa system för att kunna klara av sitt löpande uppdrag är det av stor vikt att IT-systemen kan säkerställas och att information i dessa system är tillförlitlig och inte möjliga att manipulera eller tillgodogöras via extern åtkomst. 3(11)

4 3. Syfte Revisorerna skall bl.a. pröva om väsentliga förvaltningsfrågor hanteras på ett tillfredsställande sätt inom Nerikes Brandkår. Som underlag för dessa prövningar ligger revisionsplanen där de väsentliga riskerna definierats. Denna granskningsrapport utgör underlag för revisorernas bedömning av en av de väsentliga revisionsfrågor som identifierats i planeringen. Syftet är att på en övergripande nivå beskriva om Nerikes Brandkår har tillräckliga och tillfredsställande riktlinjer och fungerande rutiner för hantering av IT-säkerhet så att hanteringen kan sägas vara ändamålsenlig. Följande revisionsfrågor har särskilt belysts: Vilka riktlinjer finns? Vilka rutiner och bemanning finns för hantering av dessa frågor? Hur är riktlinjerna implementerade? Följs utfall upp på ett strukturerat sätt? Är IT-systemet dokumenterat? Är fysiska och övriga åtkomstskydd tillräckliga? Innehåller avtalsförhållandet med Nora Kommun IT-säkerhetsfrågor? Finns rutiner för backup, lagring och återläsning av denna samt har detta testats? 3.1 Metod Granskningen har genomförts i form av genomgång av befintliga och aktuella styrdokument samt intervjuer med IT-ansvarige Ulf Smedberg, Nerikes Brandkår och IT-chef Andreas Ericsson, Nora kommun. Då granskningen endast avser att belysa ITsäkerheten på en övergripande nivå har ingen detaljerad testning gjorts av rutinerna. 3.2 Avgränsning Granskningen avser aktuella förhållanden efter antagen Informationssäkerhetspolicy ( ) samt efter out-sourcing av IT-frågor till Nora kommuns IT-avdelning. Ingen granskning sker av rutiner mm hos Nora kommun utan begränsas till dokumentation i avtalsförhållandet mellan Nerikes Brandkår och Nora. 4(11)

5 4. IT-säkerhetens olika delar I den efterföljande beskrivningen har vi valt att dela upp IT-processen i tre delmoment; - Uppdraget från Direktionen och styrdokument - Den löpande IT-processen - Uppföljning, utvärdering och återrapportering till Direktionen 4.1 Uppdraget från Direktionen och styrdokument Direktionen har fattat beslut om en s.k. Informationssäkerhetspolicy på mötet den Den årsvisa inriktningen och omfattningen avseende IT-frågor beslutas av Direktionen via den ordinarie budgeten. Direktionen har också fattat beslut om att teckna avtal med Nora kommun avseende IT-support. Avtalet är undertecknat av parterna respektive Enligt muntlig uppgift från Ulf Smedberg har IT-avdelningen inom Örebro kommun också tillfrågats om man kan vara behjälplig med IT-support men har avstått detta. Vi noterar inga övriga styrdokument. Informationssäkerhetspolicyn har utarbetats internt inom Nerikes Brandkår men baseras också på policys beslutad inom Örebro kommun den Informationssäkerhetspolicyn omfattar inte enbart IT-relaterade frågor utan avser all hantering av information. Den är omfattande och detaljerad och innehåller policyinriktning avseende ansvar, behörighet (administrativ säkerhet), fysisk säkerhet, systemsäkerhet vid kommunikation (logisk säkerhet), e-posthantering, loggning, uppföljning/intern kontroll. Vår bedömning är att Direktionen har satt tillräckligt höga krav på IT-säkerheten och att policyn därmed är tillfredsställande. Avtalet med Nora kommuns IT-avdelning omfattar support till användare samt driftstöd för server och backup. Åtagandet anges avse; - support via Internet av mellan parterna överenskommen programvara - utbildning av IT-samordnare hos Nerikes Brandkår (en på varje heltidsstation) - dokumentation av pågående och utförda ärenden Mera detaljerat anges vilken service som utlovas i form av tider och hur felanmälan ska ske. Här anges även att mera omfattande frågor eller frågor som kräver utredning, t.ex. utveckling och projekt, görs efter särskild beställning som separat uppdrag. I bilaga 1 till avtalet anges att Nora kommuns IT-avdelning garanterar en tillgänglighet på 380 tekniker timmar per år. I bilaga två till avtalet anges gällande prislista för löpande support samt för strategisk support och projektledare. Priserna baseras på Nora kommuns driftbudget och justeras årligen. Avtalet gäller för tiden till men om inte avtalet sägs upp senast tre månader före avtalets utgång förlängs det med ett år i sänder. 5(11)

6 Vår bedömning är att avtalet med Nora kommun är relativt enkelt skrivet med övergripande avtalsförhållanden samt detaljerade parametrar för den löpande ITsupporten. Det finns dock relativt öppna möjligheter för utvidgning av innehållet av tjänster med nya definierade projekt. Det finns inga angivna garantier eller beskrivningar av krav på IT-säkerhetsnivån hos Nora kommun, inte heller någon referens till den gällande Informationspolicyn fastställd för Nerikes Brandkår. Enligt muntliga uppgifter från Andreas Ericsson ställer IT-avdelningen hos Nora kommun krav på ett eget ansvar från systemägarna för respektive IT-system hos Nerikes Brandkår vilket också borde kunna framgå av avtalet, dvs. ansvarsfördelningen mellan parterna borde anges mera detaljerat. 4.2 Den löpande IT-processen Administrativ säkerhet Enligt Informationspolicyn anges att det yttersta ansvaret innehas av Direktionen som fastställt vilka säkerhetskrav som ska gälla för verksamheten genom fastställandet av den övergripande policyn. Alla medarbetare inom Nerikes Brandkår ska känna till att de också har ett ansvar för informationssäkerheten och för att uppsatta regler och anvisningar följs. Enligt policyn åligger det varje verksamhetsansvarig att ge sina medarbetare utbildning och information så att en god informationssäkerhet uppnås. En förenklad version av Informationssäkerhetspolicyn finns sammanställd och kan hittas på Nerikes Brandkårs intranet. Om en befattning medför att man får tillgång till större mängder information som kan vara känslig i olika grad ska en lämplighetsprovning ske. Innan man får tillgång till något IT-system som kan innehålla uppgifter belagda med sekretess ska en tystnadsoch sekretessförbindelse undertecknas. Före undertecknandet ska alltid information och utbildning ges. Enligt policyn bör alla användare av IT-systemen få en grundläggande utbildning avseende informationssäkerhetskraven. Här bör ges information om de viktiga delarna i riktlinjerna för informationssäkerheten, vilken aktuell lagstiftning eller andra föreskrifter som är tillämpliga samt specifikt vilka säkerhetsåtgärder som nyttjas inom Nerikes Brandkår. Enligt uppgift från Ulf Smedberg genomförs ingen formell utbildning i informationssäkertsfrågor. Därmed har heller ingen uppföljning och utvärdering gjorts av kunskapsnivån hos personalen. Vi rekommenderar att detta införs i uppföljningen av informationssäkerheten. Dessutom bör en formell bekräftelse lämnas av den anställde att denne har tillgodogjort sig infomationssäkerhetspolicyns innehåll. Bekräftelsen kan inkluderas i tystnads- och sekretessförbindelsen eller lösas genom en systembaserad bekräftelse som också loggas. 6(11)

7 En fullständig dokumentation över IT-systemens innehåll, uppbyggnad och eventuella samband med andra delsystem bör finnas. I denna bör framgå vilka programversioner som används, eventuella egna anpassningar av standardsystem, hårdvaruversioner, hur infrastrukturen internt och externt ser ut m.m. information. Enligt Andreas Ericsson pågår arbetet med att ta fram en s.k. IT-plan för Nerikes Brandkår. Då denna inte är färdigställd för tillfället kan vi inte bedöma om den är tillräcklig eller om annan informationen skulle behövas över IT-systemens uppbyggnad. Det har uttalats att det från Nerikes Brandkårs sida är viktigt att IT-systemen är fristående så att inget specifikt beroende uppkommer av närheten till Nora kommuns IT-avdelning. Det ska vara möjligt att relativt enkelt kunna flytta drift mm endera till egen regi eller till annan extern part. Därvid är det av stor vikt att systemen är tillräckligt detaljerat dokumenterade. Därutöver skapar man också förutsättningarna för att support m.m. av IT-systemen inte blir personberoende. Vi rekommenderar därför att den pågående ITplanen sammanställs så detaljerat att alla ovan beskrivna delar finns med i den slutliga planen. Programuppdatering sker inte i någon större omfattning hos Nerikes Brandkår, inte heller är de särskilt komplicerade. Man har inte regelmässigt tillämpat testning av nya versioner i separat testmiljö. Istället tas en backup innan uppdateringen genomförs och om något skulle gå fel kan backupen återläsas för återgång till den version som fanns dessförinnan. Vi rekommenderar dock att, när det är möjligt, utföra tester i fristående miljö för att kunna kontrollera att den nya versionen fungerar som avsett och att eventuella tidigare gjorda egna anpassningar fortfarande fungerar. På detta sätt sparar man mycket tid och onödigt krångel i skarp miljö vilket skulle kunna störa den ordinarie verksamheten Fysisk säkerhet Fysisk säkerhet omfattar skalskydd, tillträdesskydd, stöldskydd, driftmiljön med reservel, kyla, vätske- och brandskydd, Dessutom finns datautrustning utanför de egna lokalerna som fysiskt bör skyddas. Skalskyddet är bra då servrar som finns hos Nerikes Brandkår i Örebro förvaras i säkert och låst utrymme. E-post hanteras numera i server hos Nora kommun. ITutrustning finns också på stationerna i Byrsta och Lindesberg samt i form av bärbara datorer. Tillträdesskyddet för servrar är gott genom att lokalerna är låsta när de inte är personellt bemannade. Serverrummet säkerställer också driftsäkerhet med kraftreserver samt i övrigt bra driftmiljö. Övervakning av driften sker via Nora kommuns IT-avdelning. Accessen till serverrummet i Örebro är begränsad då även SOS Alarm nyttjar samma lokaler. Vi har noterat vissa möjligheter till intrång via stundtals öppna dörrar i fordonshallen. Man kan ta sig in i andra lokaler den vägen. Dock kan man därigenom inte kommat åt servrarna utan enbart arbetsstationer. Tillgängligheten begränsas dock av att personalen låser dörrar och avdelningar när dessa inte är personellt bemannade. Brister i fysisk säkerhet noteras också avseende lokala arbetsdatorer och bärbara datorer där stöldskyddet inte är fullständigt. 7(11)

8 Vi rekommenderar att dessa fysiskt låses fast för att minimera risken för åtminstone tillfälliga oplanerade stöldförsök. Kommunikation sker till och från Nora kommuns IT-system t.ex. vid övervakning och backuptagning. För detta ändamål har man en egen kommunikationsförbindelse samt har egen brandvägg varför säkerheten i detta avseende är bra. Internetaccess sker via Örebro kommuns server. För anslutning av bärbara datorer till de egna IT-systemen använder man sig av s.k. säkra VPN-tunnlar. Även här bedömer vi att man har den rimliga och godkända säkerhetsnivå som finns tillgänglig idag Logisk säkerhet Virusskydd finns på alla datorer. Detta uppdateras med automatik via central distribution. Säkerhetskopiering sker av centrala servrar men inte av arbetsdatorer. Dock ska data inte förvaras på arbetsdatorer mer än vad som t.ex. krävs för dagens aktuella arbete (bärbara datorer vid arbeten utanför stationen). Den primära backupen tas dagligen av Nerikes Brandkår själva och sparas under två veckor. Det är den tidshorisont som bedöms vara aktuell att ha möjlighet att återskapa. I samband med att samarbetet med Nora kommuns IT-avdelning har inletts har även en månatlig backup initierats vilken lagras hos Nora kommun i deras normala backuprutin. Backupen kommuniceras via den egna kommunikationsvägen och är därmed säker. Endast heltidspersonal får access till IT-systemen men det finns också viss gruppinloggning för annan personal, t.ex. till Nerikes Brandkårs intranet för att de t.ex. ska kunna hitta aktuell information bl.a. om Informationssäkerhetspolicyn. Behörighetsnivåer till respektive IT-system tilldelas alltefter behov. Regler för hur password ska vara utformade och bytas finns reglerat i policyn. Dessa krav utgörs av antal tecken, vilka tecken som krävs samt att de ska bytas var 90:e dag. Fram till årsskiftet 2010/2011 har detta inte följt policyns krav men nya principer har införts från 2011 varför man nu uppfyller policyns krav. Loggning sker av alla data och händelser som systemen kan logga för att ha möjligheten att kunna följa upp och utvärdera både för felsökning och avseende användningen i förhållande till reglerna i policyn. Dock finns det inte fastställt vad som ska kontrolleras eller hur ofta samt inte heller vad som är en avvikelse i detta sammanhang och därmed borde följas upp och återrapporteras. 8(11)

9 4.3 Uppföljning, utvärdering och återrapportering till Direktionen Den fastställda Informationspolicyn innehålller krav på loggning av data och händelser. Uppföljning av loggade data görs dock inte regelbundet för närvarande. Det har heller inte fastställts om eller vilka uppföljningar som ska göras av loggar. För att kontrollera att backupfunktionen fungerar som den ska utifall det värsta skulle inträffa och befintliga hårdvara och data skulle bli förstörda bör en fullskalig testning ske. I en sådan test säkerställs att ny maskinutrustning med återlästa backupdata fungerar som avsett. Någon sådan fullständig test har inte genomförts. Återläsning av enskilda data till befintliga maskinutrustning har dock gjorts och visat sig fungera. Dock bedömer inte Ulf Smedberg att den normala verksamheten skulle bli akut påverkad på ett negativt sätt vid ett bortfall av IT-system.. På kort sikt skulle planering av inplanerade kontrollbesök och bemanningsplanering inte finnas tillgängligt men detta skulle relativt snabbt kunna lösas manuellt..man gjorde relativt stora kontroller inför millenieskiftet varför man har relativt god beredskap bedömer Ulf Smedberg. Ulf Smedberg upprättade en egen förteckning över aktuell status efter Informationspolicyns införande. Det har dock inte skett någon officiell uppföljning och återrapportering av status avseende Informaionspolicyns införandestatus till Direktionen. Internkontrollkravet som enligt Informationssäkerhetspolicyn först och främst åvilar brandchefen har därmed inte uppfyllts. Vi rekommenderar därför att det fastställs mera detaljerade riktlinjer för vad som ska följas upp avseende loggad information och hur ofta det ska ske samt också vilken återrapportering som ska ske av uppföljningen. Därutöver bör internkontrollmomenten enligt Informationspolicyn planeras och utföras samt återrapporteras till Direktionen i likhet med övriga internkontrolluppföljningar. 5. Slutsats och rekommendationer Sammantaget bedömer vi att Nerikes Brandkår har en fulltäckande och bra Informationssäkerhetspolicy. Denna ger förutsättningarna för en god IT-säkerhet förutom god säkerhet även för övrig information. Genom samarbetsavtalet med Nora kommuns IT-avdelning har en del förbättringsprojekt genomförts vilket förbättrat ITsäkerhetsnivån hos Nerikes Brandkår. IT-säkerhetsnivån är godtagbar avseende fysisk och logisk säkerhet. Dock finns det enligt vår bedömning fortfarande områden som behöver förbättras. Det gäller t.ex. uppföljning och utvärderingsfrågor samt återrapportering till Direktionen. I detta sammanhang behöver man först och främst fastställa vad som ska mätas, följas upp och återrapporteras. Vi kan i detta sammanhang också ge förslag på några förbättringsområden. 9(11)

10 De revisionsfrågor vi särskilt avsåg att besvara var följande: Vilka riktlinjer finns? Direktionen har fastställt en Informationssäkerhetspolicy som är fulltäckande. Dock behöver också mera detaljerade anvisningar tas fram för att fastställa vad som ska följas upp och särskilt utväderas samt återrapporteras. Vilka rutiner och bemanning finns för hantering av dessa frågor? IT-ansvarig hos Nerikes Brandkår är Ulf Smedberg. Alla verksamhetsansvariga är skyldiga att tillse att deras personal har tillräcklig kunskap om gällande riktlinjer och regler. Genom supportavtalet med Nora kommuns IT-avdelning har man hjälp med den dagliga hanteringen och även möjlighet att få med drifts- och utvecklingfrågor i allmänhet. Nora kommun har i avtalet garanterat ett antal tillgängliga supporttimmar. Hur är riktlinjerna implementerade? Verksamhetsansvariga är ansvariga för att all personal har nödvändig kunskap om riktlinjerna. Utbildning ska ges för detta ändamål. Dock sker ingen regelmässig utbildning i dagsläget. Det sker heller ingen uppföljande kontroll avseende vilken kunskap som finns i organisationen. I övrigt har en del åtgärder gjorts i syfte att komma upp i den säkerhetsnivå som riktlinjerna beskriver. Vi bedömer att det fortfarande finns ytterligare saker att förbättra innan man kan sägas följa Informationssäkerhetspolicyn fullt ut. Följs utfall upp på ett strukturerat sätt? Enligt vår bedömning sker ingen regelmässig uppföjning. Man har inte heller fastsällt vad som ska utvärderas och hur ofta. Mätning, utvärdering och återrapportering kan förbättras. Är IT-systemet dokumenterat? Arbete pågår med att dokumentera IT-systemet i en s.k. IT-plan. All hårdvara finns dock dokumenterad. Hur bra denna plan kommer att vara kan inte utvärderas i dagsläget. Är fysiska och övriga åtkomstskydd tillräckliga? Vi bedömer att all servermiljö är tillräckligt fysiskt skyddad. Även den logiska skyddsmiljön är tillräcklig. Dock bör en förbättring kunna ske av stöldskyddet för arbetsdatorer inkl. bärbara datorer. Innehåller avtalsförhållandet med Nora Kommun IT-säkerhetsfrågor? Avtalet med Nora kommun är tämligen enkelt formulerat. Det innehåller inga anvisningar eller krav på IT-säkerhetsnivån hos Nora kommun. Enligt muntlig uppgift från Andreas Ericsson har man hos Nora kommun den, enligt dagens standard, godtagbara säkerhetsnivån men detta borde ha dokumenterats i avtalet. 10(11)

11 Finns rutiner för backup, lagring och återläsning av denna samt har detta testats? Numera finns rutiner för egen daglig backup som sparas i två veckor samt månadsvis backup till Nora kommuns ordinarie bvackuprutin. De egna backuperna förvaras säkert och de månadsvisa lagras enligt Nora kommuns ITsäkerhetsstandard som uppges vara tillräcklig. Återläsning av tappad eller skada data har gjorts avseende enstaka filer men fullskalig katastroftestning har inte gjorts genom att testa återläsning av hela system på en helt separat dator. Dock har man hos Nerikes Brandkår utvärderat riskerna med databortfall för den ordinarie verksamheten men inte bedömt att det är av avgörande betydelse för att kunna fullfölja sitt uppdrag. Våra rekommendationer till förbättringar är följande: - Vid tecknande av avtal om IT-support bör det finnas mera detaljerade beskrivningar av krav på IT-säkerhetsnivån hos Nora kommun samt eventuellt referens till den gällande Informationspolicyn fastställd för Nerikes Brandkår. Även andra parametrar i samarbetet bör nedtecknas i avtalet och inte som nu ske på muntlig basis. - Utbildning ska ges avseende gällande riktlinjer men har inte getts regelmässigt. Kunskapsnivån hos personalen avseende reglerna i Informationssäkerhetspolicyn har dock inte testats. Vi rekommenderar därför att detta införs i uppföljningen av informationssäkerheten. Dessutom bör en formell bekräftelse lämnas av den anställde att denne har tillgodogjort sig infomationssäkerhetspolicyns innehåll. Bekräftelsen kan inkluderas i tystnads- och sekretessförbindelsen eller lösas genom en systembaserad bekräftelse som också loggas. - Vid uppdatering av programversioner sker normalt ingen utvärdering i separat testmiljö. Vi rekommenderar att, när det är möjligt, utföra tester i fristående miljö för att kunna kontrollera att den nya versionen fungerar som avsett och att eventuella tidigare gjorda egna anpassningar fortfarande fungerar. På detta sätt sparar man mycket tid och onödigt krångel i skarp miljö vilket skulle kunna störa den ordinarie verksamheten. - Fysisk säkerhet för att förhindra stöld av arbetsdatorer och bärbara datorer saknas i dagsläget. Vi rekommenderar att dessa fysiskt låses fast för att minimera risken för åtminstone tillfälliga oplanerade stöldförsök. - Vi rekommenderar att det fastställs mera detaljerade riktlinjer för vad som ska följas upp avseende loggad information och hur ofta det ska ske samt också vilken återrapportering som ska ske av uppföljningen. Därutöver bör internkontrollmomenten enligt Informationspolicyn planeras och utföras samt återrapporteras till Direktionen i likhet med övriga internkontrolluppföljningar. 11(11)

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

IT-Policy. Tritech Technology AB

IT-Policy. Tritech Technology AB IT-Policy Tritech Technology AB 1 av 6 Innehåll 1 Dokumentinformation...3 1.1 Syfte och målgrupp 3 1.2 Ansvar 3 1.3 Nyttjande 3 1.4 Distribution 3 1.5 Versionshistorik 3 1.6 Godkännande 3 2 IT-Policy...4

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM FÖRFATTNINGSSAMLING (8.1.3) SÄKERHETSFÖRESKRIFTER Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056 Giltig

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Revisionsrapport. Nerikes Brandkår. Granskning av Delårsrapport januari-juli 2013 2013-09-20. Ref Anders Pålhed (1)

Revisionsrapport. Nerikes Brandkår. Granskning av Delårsrapport januari-juli 2013 2013-09-20. Ref Anders Pålhed (1) Revisionsrapport Granskning av Delårsrapport januari-juli 2013 Nerikes Brandkår 2013-09-20 Ref Anders Pålhed (1) Innehållsförteckning Innehållsförteckning... 2 1. Sammanfattning... 3 2. Inledning... 4

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Byggnads- samt Miljö- och hälsoskyddsnämnden.

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Byggnads- samt Miljö- och hälsoskyddsnämnden. REVISIONSRAPPORT Löpande granskning av redovisning och administrativa rutiner avseende Byggnads- samt Miljö- och hälsoskyddsnämnden Hylte Kommun November 2002 Rolf Bergman Tommy Karlsson www.pwcglobal.com/se

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...1 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...1 3.1.1 Användning under normala förhållanden

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Granskning av IT:s nytta ur ett verksamhetsperspektiv

Granskning av IT:s nytta ur ett verksamhetsperspektiv Revisionsrapport* Granskning av IT:s nytta ur ett verksamhetsperspektiv Finspångs kommun 15 maj 2009 Matti Leskelä *connectedthinking Innehållsförteckning 1 Bakgrund och syfte...3 2 Metod...3 3 Sammanfattande

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN 06-07 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...2 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...2

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Riktlinjer för intern styrning och kontroll

Riktlinjer för intern styrning och kontroll 1(10) Riktlinjer för intern styrning och kontroll 2(10) 1. Syfte Dessa riktlinjer syftar till att övergripande beskriva hur AP7 arbetar med frågor som rör intern styrning och kontroll. Riktlinjerna avser

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Uppföljning av tidigare granskningar

Uppföljning av tidigare granskningar Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

Revisionsrapport. Nerikes Brandkår. Granskning av pensionskostnader 2012-03-09. Anders Pålhed

Revisionsrapport. Nerikes Brandkår. Granskning av pensionskostnader 2012-03-09. Anders Pålhed Revisionsrapport Granskning av pensionskostnader Nerikes Brandkår 2012-03-09 Anders Pålhed 1. Sammanfattning... 3 2. Inledning... 4 3. Syfte... 5 3.1 Metod... 5 3.2 Avgränsning... 6 4. Pensionskostnadernas

Läs mer

Informations- och IT-säkerhet i kommunal verksamhet

Informations- och IT-säkerhet i kommunal verksamhet Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-

Läs mer

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun Datum Dnr Dpl 2009-09-10 2009/KS0203-1 005 Riktlinjer för IT i Lilla Edets kommun 1. Introduktion Det politiskt styrande dokumentet för IT-användning i Lilla Edets kommun är denna riktlinje, som fastställs

Läs mer

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Kommunens revisorer 2013-04-08 GRANSKNING AV INTERNKONTROLLPLANER I HÄRRYDA KOMMUN Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Rapporten

Läs mer

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc www.pwc.se Revisionsrapport Joanna Hägg Tilda Lindell Granskning av intern kontroll Tierps kommun pwc Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Granskningsbakgrund...

Läs mer

Tekniskt driftdokumentation & krishantering v.1.0

Tekniskt driftdokumentation & krishantering v.1.0 Tekniskt driftdokumentation & krishantering v.1.0 Denna driftdokumentation avser driftmiljön hos Camero AB:s webbhotell, både delade och dedikerade lösningar. Teknisk dokumentation Cameros webbhotell har

Läs mer

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun. REVISIONSRAPPORT Löpande granskning av redovisning och administrativa rutiner avseende Tekniska nämnden Hylte Kommun November 2002 Rolf Bergman Tommy Karlsson www.pwcglobal.com/se www.komrev.se Sammanfattning

Läs mer

www.pwc.se Revisionsrapport Kommunala kontokort Haparanda stad Bo Rehnberg Cert. kommunal revisor Martin Gandal

www.pwc.se Revisionsrapport Kommunala kontokort Haparanda stad Bo Rehnberg Cert. kommunal revisor Martin Gandal www.pwc.se Revisionsrapport Bo Rehnberg Cert. kommunal revisor Kommunala kontokort Haparanda stad Martin Gandal Innehållsförteckning 1. Sammanfattning... 1 2. Inledning... 2 2.1. Bakgrund... 2 2.2. Syfte

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 8 januari 2010 Myndigheten

Läs mer

Informationssäkerhet

Informationssäkerhet Informationssäkerhet Information och anvisningar för medarbetare i Stockholms läns sjukvårdsområde Informationssäkerhet 3 Informationssäkerhet inom Stockholms läns sjukvårdsområde (SLSO) Med informationssäkerhet

Läs mer

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet.

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet. 2012-08-27 Sidan 1 av 6 IT-säkerhetspolicy Dokumentnamn Dokumenttyp Fastställd/upprättad Diarie nummer Fastställd av IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige Dokumentansvarig/ processägare

Läs mer

Icke funktionella krav

Icke funktionella krav 1 (9) Underskriftstjänst Svensk e-legitimation 2 (9) INNEHÅLL 1 Inledning... 3 2 Tillgänglighet och kapacitet... 3 2.1 Svarstider... 3 3 Administrativ säkerhet... 4 3.1 Policy och regelverk... 4 3.1.1

Läs mer

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium Revisorerna 1 (1) Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden För kännedom: Kommunfullmäktiges presidium Revisionsrapport: Revisorerna har uppdragit till

Läs mer

Åstorps kommuns Övergripande IT-policy för Åstorps kommun

Åstorps kommuns Övergripande IT-policy för Åstorps kommun Åstorps kommuns Övergripande IT-policy för Åstorps kommun Beslutat av Kommunfullmäktige 2014-03-24 36 Dnr 2014/23 Innehåll 1 ÖVERGRIPANDE IT-POLICY FÖR ÅSTORPS KOMMUN...3 1.1 MÅL...3 1.2 SYFTE...3 2 ANSVAR

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

IT-Policy Vuxenutbildningen

IT-Policy Vuxenutbildningen IT-Policy Vuxenutbildningen För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till kommunkoncernens förhållningssätt och regelverk angående hur du får

Läs mer

Rapport avseende IT-system. December 2004

Rapport avseende IT-system. December 2004 Rapport avseende IT-system. December 2004 Innehåll Inledning...1 Risker i IT-system med påverkan på ekonomisystem...2 Granskningsansats...3 Omfattning...3 Utfört arbete...4 Raindance - rutiner...4 Prima

Läs mer

Arvika kommun. Styrning, ledning och organisation inom IT i kommunen samt dess aktiebolag. Revisionsrapport

Arvika kommun. Styrning, ledning och organisation inom IT i kommunen samt dess aktiebolag. Revisionsrapport ABCD Arvika kommun Styrning, ledning och organisation inom IT i kommunen samt dess aktiebolag Revisionsrapport KPMG AB Karlstad Offentlig sektor 2012-06-26 Antal sidor: 14 2012 KPMG AB, a Swedish limited

Läs mer

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Gäller från och med 2009-01-01 Dnr 5581/2008-030 Beslut 2008-12-10 Dnr:5581/2008-030 Universitetsdirektören Regler och riktlinjer för IT-säkerhet

Läs mer

Revisionsrapport Ledningssystemet Stratsys

Revisionsrapport Ledningssystemet Stratsys www.pwc.se Revisionsrapport Ledningssystemet Stratsys Håkan Olsson Cerifierad Kommunal Yrkesrevisor Anna Laurell Lysekils kommun Kommunens arbete med ledning och styrning samt användandet av Stratsys Innehållsförteckning

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lars Sjöström Rikspolisstyrelsens föreskrifter och allmänna råd om anskaffning, användning, utveckling och förändring av Polisens

Läs mer

Landstingets ärende- och beslutsprocess

Landstingets ärende- och beslutsprocess LANDSTINGET I VÄRMLAND REVISIONSRAPPORT Revisorerna AM/JM 2012-12-18 Rev/12017 Landstingets ärende- och beslutsprocess Sammanfattning Denna granskning har omfattat hantering enligt riktlinjen för landstingets

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret GRANSKNINGS Uppföljning IT-granskningar Projektledare: Lotta Onsö Beslutad av revisorskollegiet 2013-06-12 RAPP Uppföljning IT-granskningar Postadress: Stadshuset, 205 80 Malmö Besöksadress: August Palms

Läs mer

2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM

2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM Uddevalla kommun Granskning av IT-säkerheten 2013-09-25 cutting through complexity TM Innehållsförteckning Kontaktperson vid KPMG: Henrik Leffler Manager, KPMG Göteborg Sammanfattning Tel: 031 614826 Mobil:

Läs mer

Rapport. Kommunernas ansvar för externa utförares tillgång till ITsystem som driftas utanför kommunens nätverk 2010-09-08. Version 1.

Rapport. Kommunernas ansvar för externa utförares tillgång till ITsystem som driftas utanför kommunens nätverk 2010-09-08. Version 1. Rapport Kommunernas ansvar för externa utförares tillgång till ITsystem som driftas utanför kommunens nätverk Version 1.0 2010-09-08 Innehållsförteckning 1 Inledning... 3 1.1 Bakgrund...3 1.2 Syfte...3

Läs mer

Varför IT-strategi. Mål och värderingar. IT-STRATEGI FÖR TIMRÅ KOMMUN. FÖRFATTNINGSSAMLING Nr KF 10 1 (7)

Varför IT-strategi. Mål och värderingar. IT-STRATEGI FÖR TIMRÅ KOMMUN. FÖRFATTNINGSSAMLING Nr KF 10 1 (7) FÖRFATTNINGSSAMLING Nr KF 10 1 (7) IT-STRATEGI FÖR TIMRÅ KOMMUN Fastställd av kommunfullmäktige 2005-09-26, 55 Varför IT-strategi. Syftet med denna IT-strategi är att åstadkomma en förflyttning av fokus

Läs mer

FÖRFATTNINGSSAMLING 1 (6)

FÖRFATTNINGSSAMLING 1 (6) FÖRFATTNINGSSAMLING 1 (6) YZ 2 ANVISNINGAR FÖR IT-VERKSAMHETEN I LOMMA KOMMUN 1. SYFTE OCH STYRDOKUMENT 1.1 Syfte Syftet med Anvisningar för Lomma kommuns IT-verksamhet är att säkerställa att IT stödjer

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Rapport avseende granskning av IT-säkerhet. Östersunds kommun Rapport avseende granskning av IT-säkerhet Östersunds kommun November 2014 Innehåll Sammanfattning 1 1. Inledning 2 1.1. Uppdrag och bakgrund 2 1.2. Revisionsfråga 2 1.3. Revisionskriterier 2 1.4. Avgränsning

Läs mer

Granskning av Intern kontroll

Granskning av Intern kontroll www.pwc.se Revisionsrapport Lars Wigström Cert. kommunal revisor Granskning av Intern kontroll Vingåkers kommun Innehållsförteckning 1. Sammanfattande bedömning och rekommendationer... 1 2. Inledning...3

Läs mer

Informationssäkerhet Riktlinje Förvaltning

Informationssäkerhet Riktlinje Förvaltning Informationssäkerhet Riktlinje Förvaltning Fastställd av kommundirektören 2011-06-20 Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar 4 2.1 Informationssäkerhetssamordnare... 4 2.2 IT-chef...

Läs mer

Härjedalens Kommuns IT-strategi

Härjedalens Kommuns IT-strategi FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 105/04 2004-09-20 1 Härjedalens Kommuns IT-strategi En vägvisare för kommunal IT 2 INNEHÅLL Sid 1. BESKRIVNING 3 1.1 Syfte och omfattning 3 1.2 Kommunens

Läs mer

ITsäkerhetspolicy. Antagen av kommunstyrelsen 1999-03-03 46-99

ITsäkerhetspolicy. Antagen av kommunstyrelsen 1999-03-03 46-99 ITsäkerhetspolicy Antagen av kommunstyrelsen 1999-03-03 46-99 IT-säkerhetspolicy för Denna policy uttrycker kommunledningens syn på behovet av IT-säkerhet i Lysekils kommun. Den anger omfattning och ansvarsfördelning

Läs mer

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Beslut: Rektor 2012-01-16 Revidering: - Dnr: DUC 2012/63/10 Gäller fr o m: 2012-01-16 Ersätter: - Relaterade dokument: - Ansvarig

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Mjölby kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

ANVÄNDARHANDBOK. Advance Online

ANVÄNDARHANDBOK. Advance Online ANVÄNDARHANDBOK Advance Online INNEHÅLL Innehåll... 2 Välkommen!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt... 4 Citrix-klienten... 4 Inloggning...

Läs mer

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN Syfte med reglementet 1 Syfte Detta reglemente syftar till att säkerställa att kommunstyrelsen, nämnder och bolagsstyrelser upprätthåller en tillfredsställande

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Uppföljning av revisionsrapport om kommunens IT-hantering från 2010

Uppföljning av revisionsrapport om kommunens IT-hantering från 2010 PM Uppföljning av revisionsrapport om kommunens IT-hantering från 2010 Emmaboda kommun 11 juni 2012 Jard Larsson Certifierad kommunal revisor 2010-års granskning Följande revisionsfrågor ställdes 2010:

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

IT-riktlinjer Nationell information

IT-riktlinjer Nationell information IT-riktlinjer Nationell information Syftet med denna It-riktlinje: den ska vägleda i användningen av Studiefrämjandets gemensamma datornätverk och dess it-resurser, vilket även innefattar den egna datorarbetsplatsen.

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll Revisionsrapport KPMG AB Antal sidor: 9 Innehåll 1. Sammanfattning och kommentarer/rekommendationer 1 2. Uppdrag 2

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

Granskning av intern styrning och kontroll vid Statens servicecenter

Granskning av intern styrning och kontroll vid Statens servicecenter 1 Granskning av intern styrning och kontroll vid Statens servicecenter Riksrevisionen har som ett led i den årliga revisionen av Statens Servicecenter granskat den interna styrning och kontroll i myndighetens

Läs mer

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Ledningssystem för informationssäkerhet () Informationssäkerhet Informationssäkerhet Administrativ säkerhet IT-säkerhet ADB-säkerhet Kommunikationssäkerhet

Läs mer

Översiktlig granskning av IT-säkerheten

Översiktlig granskning av IT-säkerheten Revisionsrapport Översiktlig granskning av IT-säkerheten Östhammars kommun April 2009 Göran Persson Lingman 1 Innehållsförteckning 1. Inledning... 3 1.1 Bakgrund... 3 1.2 Syfte... 3 1.3 Metod... 4 1.4

Läs mer

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011 Revisionsrapport Förstudie av personalsystemet Kalmar kommun Caroline Liljebjörn Förstudie av personalsystemet 2011-10-10 Caroline Liljebjörn Stefan Wik Kalmar kommun Förstudie av personalsystemet Innehållsförteckning

Läs mer

ANVÄNDARHANDBOK Advance Online

ANVÄNDARHANDBOK Advance Online ANVÄNDARHANDBOK Advance Online 2013-09-27 INNEHÅLL Innehåll... 2 Välkommen till Advance Online!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt...

Läs mer

Revisionsrapport Rutiner för arkivering. Östersunds Kommun

Revisionsrapport Rutiner för arkivering. Östersunds Kommun Revisionsrapport Rutiner för arkivering Östersunds Kommun 18 Januari 2013 Innehåll Sammanfattning... 1 1. Inledning... 2 2. Resultat... 3 3. Revisionell bedömning... 5 Sammanfattning Uppdrag och Bakgrund

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

Revisionsrapport Granskning av projektredovisning

Revisionsrapport Granskning av projektredovisning Revisionsrapport Granskning av projektredovisning Anna Hilmarsson, Certifierad kommunal revisor Emelie Lönnblad, Revisionskonsult Kristianstads kommun Januari 2012 Innehållsförteckning 1 Sammanfattning

Läs mer

IT-strategi-Danderyds kommun 2010-2014

IT-strategi-Danderyds kommun 2010-2014 IT-strategi-Danderyds kommun 2010-2014 Beslutsinstans: Kommunfullmäktige Beslutsdatum: 2010-09-27 Giltighetstid: 2010-09-27 t o m 2014-12-31 Ansvarig nämnd: Kommunstyrelsen Diarienummer: KS 2010/0095 IT-strategi

Läs mer

Granskning av intern kontroll. Söderhamns kommun. Revisionsrapport. Februari 2011. Micaela Hedin Certifierad kommunal revisor

Granskning av intern kontroll. Söderhamns kommun. Revisionsrapport. Februari 2011. Micaela Hedin Certifierad kommunal revisor Granskning av intern kontroll Söderhamns kommun Revisionsrapport Februari 2011 Micaela Hedin Certifierad kommunal revisor Robert Heed Revisionskonsult Innehållsförteckning Sammanfattning... 3 1. Inledning...

Läs mer

RIKTLINJER FÖR IT-SÄKERHET

RIKTLINJER FÖR IT-SÄKERHET FÖRFATTNINGSSAMLING (8.1.3) RIKTLINJER FÖR IT-SÄKERHET Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056

Läs mer