Revisionsrapport. Nerikes Brandkår. Granskning av IT-säkerhet Anders Pålhed

Storlek: px
Starta visningen från sidan:

Download "Revisionsrapport. Nerikes Brandkår. Granskning av IT-säkerhet 2011-03-07. Anders Pålhed"

Transkript

1 Revisionsrapport Granskning av IT-säkerhet Nerikes Brandkår Anders Pålhed

2 1. Sammanfattning Inledning Syfte Metod Avgränsning IT-säkerhetens olika delar Uppdraget från Direktionen och styrdokument Den löpande IT-processen Administrativ säkerhet Fysisk säkerhet Logisk säkerhet Uppföljning, utvärdering och återrapportering till Direktionen Slutsats och rekommendationer (11)

3 1. Sammanfattning I revisionsplaneringen för år 2010 har revisionen bedömt att IT-säkerhet är ett område med högre risk och väsentlighet. Revisionen i Nerikes Brandkår har därför givit Ernst & Young i uppdrag att granska om Nerikes Brandkår har etablerade och tillräckliga rutiner för att säkerställa en säker IT-miljö. Granskningen har genomförts i form av genomgång av befintliga och aktuella styrdokument samt intervjuer med IT-ansvarige Ulf Smedberg, Nerikes Brandkår och IT-chef Andreas Ericsson, Nora kommun. Då granskningen endast avser att belysa ITsäkerheten på en övergripande nivå har ingen detaljerad testning gjorts av rutinerna. Granskningen avser aktuella förhållanden efter antagen Informationssäkerhetspolicy ( ) samt efter out-sourcing av IT-frågor till Nora kommuns IT-avdelning. Ingen granskning sker av rutiner mm hos Nora kommun utan begränsas till dokumentation i avtalsförhållandet mellan Nerikes Brandkår och Nora. Sammantaget bedömer vi att Nerikes Brandkår har en fulltäckande och bra Informationssäkerhetspolicy. Denna ger förutsättningarna för en god IT-säkerhet förutom god säkerhet även för övrig information. Genom samarbetsavtalet med Nora kommuns IT-avdelning har en del förbättringsprojekt genomförts vilket förbättrat ITsäkerhetsnivån hos Nerikes Brandkår. IT-säkerhetsnivån är godtagbar avseende fysisk och logisk säkerhet. Dock finns det enligt vår bedömning fortfarande områden som behöver förbättras. Det gäller t.ex. uppföljning och utvärderingsfrågor samt återrapportering till Direktionen. I detta sammanhang behöver man först och främst fastställa vad som ska mätas, följas upp och återrapporteras. 2. Inledning I revisionsplaneringen för år 2010 har revisionen bedömt att IT-säkerhet är ett område med högre risk och väsentlighet. Revisionen i Nerikes Brandkår har därför givit Ernst & Young i uppdrag att granska om Nerikes Brandkår har etablerade och tillräckliga rutiner för att säkerställa en säker IT-miljö. Nerikes Brandkår hanterar information och upprätthåller administration mm till stor del med hjälp av IT-system. Trots att man inte är direkt beroende av dessa system för att kunna klara av sitt löpande uppdrag är det av stor vikt att IT-systemen kan säkerställas och att information i dessa system är tillförlitlig och inte möjliga att manipulera eller tillgodogöras via extern åtkomst. 3(11)

4 3. Syfte Revisorerna skall bl.a. pröva om väsentliga förvaltningsfrågor hanteras på ett tillfredsställande sätt inom Nerikes Brandkår. Som underlag för dessa prövningar ligger revisionsplanen där de väsentliga riskerna definierats. Denna granskningsrapport utgör underlag för revisorernas bedömning av en av de väsentliga revisionsfrågor som identifierats i planeringen. Syftet är att på en övergripande nivå beskriva om Nerikes Brandkår har tillräckliga och tillfredsställande riktlinjer och fungerande rutiner för hantering av IT-säkerhet så att hanteringen kan sägas vara ändamålsenlig. Följande revisionsfrågor har särskilt belysts: Vilka riktlinjer finns? Vilka rutiner och bemanning finns för hantering av dessa frågor? Hur är riktlinjerna implementerade? Följs utfall upp på ett strukturerat sätt? Är IT-systemet dokumenterat? Är fysiska och övriga åtkomstskydd tillräckliga? Innehåller avtalsförhållandet med Nora Kommun IT-säkerhetsfrågor? Finns rutiner för backup, lagring och återläsning av denna samt har detta testats? 3.1 Metod Granskningen har genomförts i form av genomgång av befintliga och aktuella styrdokument samt intervjuer med IT-ansvarige Ulf Smedberg, Nerikes Brandkår och IT-chef Andreas Ericsson, Nora kommun. Då granskningen endast avser att belysa ITsäkerheten på en övergripande nivå har ingen detaljerad testning gjorts av rutinerna. 3.2 Avgränsning Granskningen avser aktuella förhållanden efter antagen Informationssäkerhetspolicy ( ) samt efter out-sourcing av IT-frågor till Nora kommuns IT-avdelning. Ingen granskning sker av rutiner mm hos Nora kommun utan begränsas till dokumentation i avtalsförhållandet mellan Nerikes Brandkår och Nora. 4(11)

5 4. IT-säkerhetens olika delar I den efterföljande beskrivningen har vi valt att dela upp IT-processen i tre delmoment; - Uppdraget från Direktionen och styrdokument - Den löpande IT-processen - Uppföljning, utvärdering och återrapportering till Direktionen 4.1 Uppdraget från Direktionen och styrdokument Direktionen har fattat beslut om en s.k. Informationssäkerhetspolicy på mötet den Den årsvisa inriktningen och omfattningen avseende IT-frågor beslutas av Direktionen via den ordinarie budgeten. Direktionen har också fattat beslut om att teckna avtal med Nora kommun avseende IT-support. Avtalet är undertecknat av parterna respektive Enligt muntlig uppgift från Ulf Smedberg har IT-avdelningen inom Örebro kommun också tillfrågats om man kan vara behjälplig med IT-support men har avstått detta. Vi noterar inga övriga styrdokument. Informationssäkerhetspolicyn har utarbetats internt inom Nerikes Brandkår men baseras också på policys beslutad inom Örebro kommun den Informationssäkerhetspolicyn omfattar inte enbart IT-relaterade frågor utan avser all hantering av information. Den är omfattande och detaljerad och innehåller policyinriktning avseende ansvar, behörighet (administrativ säkerhet), fysisk säkerhet, systemsäkerhet vid kommunikation (logisk säkerhet), e-posthantering, loggning, uppföljning/intern kontroll. Vår bedömning är att Direktionen har satt tillräckligt höga krav på IT-säkerheten och att policyn därmed är tillfredsställande. Avtalet med Nora kommuns IT-avdelning omfattar support till användare samt driftstöd för server och backup. Åtagandet anges avse; - support via Internet av mellan parterna överenskommen programvara - utbildning av IT-samordnare hos Nerikes Brandkår (en på varje heltidsstation) - dokumentation av pågående och utförda ärenden Mera detaljerat anges vilken service som utlovas i form av tider och hur felanmälan ska ske. Här anges även att mera omfattande frågor eller frågor som kräver utredning, t.ex. utveckling och projekt, görs efter särskild beställning som separat uppdrag. I bilaga 1 till avtalet anges att Nora kommuns IT-avdelning garanterar en tillgänglighet på 380 tekniker timmar per år. I bilaga två till avtalet anges gällande prislista för löpande support samt för strategisk support och projektledare. Priserna baseras på Nora kommuns driftbudget och justeras årligen. Avtalet gäller för tiden till men om inte avtalet sägs upp senast tre månader före avtalets utgång förlängs det med ett år i sänder. 5(11)

6 Vår bedömning är att avtalet med Nora kommun är relativt enkelt skrivet med övergripande avtalsförhållanden samt detaljerade parametrar för den löpande ITsupporten. Det finns dock relativt öppna möjligheter för utvidgning av innehållet av tjänster med nya definierade projekt. Det finns inga angivna garantier eller beskrivningar av krav på IT-säkerhetsnivån hos Nora kommun, inte heller någon referens till den gällande Informationspolicyn fastställd för Nerikes Brandkår. Enligt muntliga uppgifter från Andreas Ericsson ställer IT-avdelningen hos Nora kommun krav på ett eget ansvar från systemägarna för respektive IT-system hos Nerikes Brandkår vilket också borde kunna framgå av avtalet, dvs. ansvarsfördelningen mellan parterna borde anges mera detaljerat. 4.2 Den löpande IT-processen Administrativ säkerhet Enligt Informationspolicyn anges att det yttersta ansvaret innehas av Direktionen som fastställt vilka säkerhetskrav som ska gälla för verksamheten genom fastställandet av den övergripande policyn. Alla medarbetare inom Nerikes Brandkår ska känna till att de också har ett ansvar för informationssäkerheten och för att uppsatta regler och anvisningar följs. Enligt policyn åligger det varje verksamhetsansvarig att ge sina medarbetare utbildning och information så att en god informationssäkerhet uppnås. En förenklad version av Informationssäkerhetspolicyn finns sammanställd och kan hittas på Nerikes Brandkårs intranet. Om en befattning medför att man får tillgång till större mängder information som kan vara känslig i olika grad ska en lämplighetsprovning ske. Innan man får tillgång till något IT-system som kan innehålla uppgifter belagda med sekretess ska en tystnadsoch sekretessförbindelse undertecknas. Före undertecknandet ska alltid information och utbildning ges. Enligt policyn bör alla användare av IT-systemen få en grundläggande utbildning avseende informationssäkerhetskraven. Här bör ges information om de viktiga delarna i riktlinjerna för informationssäkerheten, vilken aktuell lagstiftning eller andra föreskrifter som är tillämpliga samt specifikt vilka säkerhetsåtgärder som nyttjas inom Nerikes Brandkår. Enligt uppgift från Ulf Smedberg genomförs ingen formell utbildning i informationssäkertsfrågor. Därmed har heller ingen uppföljning och utvärdering gjorts av kunskapsnivån hos personalen. Vi rekommenderar att detta införs i uppföljningen av informationssäkerheten. Dessutom bör en formell bekräftelse lämnas av den anställde att denne har tillgodogjort sig infomationssäkerhetspolicyns innehåll. Bekräftelsen kan inkluderas i tystnads- och sekretessförbindelsen eller lösas genom en systembaserad bekräftelse som också loggas. 6(11)

7 En fullständig dokumentation över IT-systemens innehåll, uppbyggnad och eventuella samband med andra delsystem bör finnas. I denna bör framgå vilka programversioner som används, eventuella egna anpassningar av standardsystem, hårdvaruversioner, hur infrastrukturen internt och externt ser ut m.m. information. Enligt Andreas Ericsson pågår arbetet med att ta fram en s.k. IT-plan för Nerikes Brandkår. Då denna inte är färdigställd för tillfället kan vi inte bedöma om den är tillräcklig eller om annan informationen skulle behövas över IT-systemens uppbyggnad. Det har uttalats att det från Nerikes Brandkårs sida är viktigt att IT-systemen är fristående så att inget specifikt beroende uppkommer av närheten till Nora kommuns IT-avdelning. Det ska vara möjligt att relativt enkelt kunna flytta drift mm endera till egen regi eller till annan extern part. Därvid är det av stor vikt att systemen är tillräckligt detaljerat dokumenterade. Därutöver skapar man också förutsättningarna för att support m.m. av IT-systemen inte blir personberoende. Vi rekommenderar därför att den pågående ITplanen sammanställs så detaljerat att alla ovan beskrivna delar finns med i den slutliga planen. Programuppdatering sker inte i någon större omfattning hos Nerikes Brandkår, inte heller är de särskilt komplicerade. Man har inte regelmässigt tillämpat testning av nya versioner i separat testmiljö. Istället tas en backup innan uppdateringen genomförs och om något skulle gå fel kan backupen återläsas för återgång till den version som fanns dessförinnan. Vi rekommenderar dock att, när det är möjligt, utföra tester i fristående miljö för att kunna kontrollera att den nya versionen fungerar som avsett och att eventuella tidigare gjorda egna anpassningar fortfarande fungerar. På detta sätt sparar man mycket tid och onödigt krångel i skarp miljö vilket skulle kunna störa den ordinarie verksamheten Fysisk säkerhet Fysisk säkerhet omfattar skalskydd, tillträdesskydd, stöldskydd, driftmiljön med reservel, kyla, vätske- och brandskydd, Dessutom finns datautrustning utanför de egna lokalerna som fysiskt bör skyddas. Skalskyddet är bra då servrar som finns hos Nerikes Brandkår i Örebro förvaras i säkert och låst utrymme. E-post hanteras numera i server hos Nora kommun. ITutrustning finns också på stationerna i Byrsta och Lindesberg samt i form av bärbara datorer. Tillträdesskyddet för servrar är gott genom att lokalerna är låsta när de inte är personellt bemannade. Serverrummet säkerställer också driftsäkerhet med kraftreserver samt i övrigt bra driftmiljö. Övervakning av driften sker via Nora kommuns IT-avdelning. Accessen till serverrummet i Örebro är begränsad då även SOS Alarm nyttjar samma lokaler. Vi har noterat vissa möjligheter till intrång via stundtals öppna dörrar i fordonshallen. Man kan ta sig in i andra lokaler den vägen. Dock kan man därigenom inte kommat åt servrarna utan enbart arbetsstationer. Tillgängligheten begränsas dock av att personalen låser dörrar och avdelningar när dessa inte är personellt bemannade. Brister i fysisk säkerhet noteras också avseende lokala arbetsdatorer och bärbara datorer där stöldskyddet inte är fullständigt. 7(11)

8 Vi rekommenderar att dessa fysiskt låses fast för att minimera risken för åtminstone tillfälliga oplanerade stöldförsök. Kommunikation sker till och från Nora kommuns IT-system t.ex. vid övervakning och backuptagning. För detta ändamål har man en egen kommunikationsförbindelse samt har egen brandvägg varför säkerheten i detta avseende är bra. Internetaccess sker via Örebro kommuns server. För anslutning av bärbara datorer till de egna IT-systemen använder man sig av s.k. säkra VPN-tunnlar. Även här bedömer vi att man har den rimliga och godkända säkerhetsnivå som finns tillgänglig idag Logisk säkerhet Virusskydd finns på alla datorer. Detta uppdateras med automatik via central distribution. Säkerhetskopiering sker av centrala servrar men inte av arbetsdatorer. Dock ska data inte förvaras på arbetsdatorer mer än vad som t.ex. krävs för dagens aktuella arbete (bärbara datorer vid arbeten utanför stationen). Den primära backupen tas dagligen av Nerikes Brandkår själva och sparas under två veckor. Det är den tidshorisont som bedöms vara aktuell att ha möjlighet att återskapa. I samband med att samarbetet med Nora kommuns IT-avdelning har inletts har även en månatlig backup initierats vilken lagras hos Nora kommun i deras normala backuprutin. Backupen kommuniceras via den egna kommunikationsvägen och är därmed säker. Endast heltidspersonal får access till IT-systemen men det finns också viss gruppinloggning för annan personal, t.ex. till Nerikes Brandkårs intranet för att de t.ex. ska kunna hitta aktuell information bl.a. om Informationssäkerhetspolicyn. Behörighetsnivåer till respektive IT-system tilldelas alltefter behov. Regler för hur password ska vara utformade och bytas finns reglerat i policyn. Dessa krav utgörs av antal tecken, vilka tecken som krävs samt att de ska bytas var 90:e dag. Fram till årsskiftet 2010/2011 har detta inte följt policyns krav men nya principer har införts från 2011 varför man nu uppfyller policyns krav. Loggning sker av alla data och händelser som systemen kan logga för att ha möjligheten att kunna följa upp och utvärdera både för felsökning och avseende användningen i förhållande till reglerna i policyn. Dock finns det inte fastställt vad som ska kontrolleras eller hur ofta samt inte heller vad som är en avvikelse i detta sammanhang och därmed borde följas upp och återrapporteras. 8(11)

9 4.3 Uppföljning, utvärdering och återrapportering till Direktionen Den fastställda Informationspolicyn innehålller krav på loggning av data och händelser. Uppföljning av loggade data görs dock inte regelbundet för närvarande. Det har heller inte fastställts om eller vilka uppföljningar som ska göras av loggar. För att kontrollera att backupfunktionen fungerar som den ska utifall det värsta skulle inträffa och befintliga hårdvara och data skulle bli förstörda bör en fullskalig testning ske. I en sådan test säkerställs att ny maskinutrustning med återlästa backupdata fungerar som avsett. Någon sådan fullständig test har inte genomförts. Återläsning av enskilda data till befintliga maskinutrustning har dock gjorts och visat sig fungera. Dock bedömer inte Ulf Smedberg att den normala verksamheten skulle bli akut påverkad på ett negativt sätt vid ett bortfall av IT-system.. På kort sikt skulle planering av inplanerade kontrollbesök och bemanningsplanering inte finnas tillgängligt men detta skulle relativt snabbt kunna lösas manuellt..man gjorde relativt stora kontroller inför millenieskiftet varför man har relativt god beredskap bedömer Ulf Smedberg. Ulf Smedberg upprättade en egen förteckning över aktuell status efter Informationspolicyns införande. Det har dock inte skett någon officiell uppföljning och återrapportering av status avseende Informaionspolicyns införandestatus till Direktionen. Internkontrollkravet som enligt Informationssäkerhetspolicyn först och främst åvilar brandchefen har därmed inte uppfyllts. Vi rekommenderar därför att det fastställs mera detaljerade riktlinjer för vad som ska följas upp avseende loggad information och hur ofta det ska ske samt också vilken återrapportering som ska ske av uppföljningen. Därutöver bör internkontrollmomenten enligt Informationspolicyn planeras och utföras samt återrapporteras till Direktionen i likhet med övriga internkontrolluppföljningar. 5. Slutsats och rekommendationer Sammantaget bedömer vi att Nerikes Brandkår har en fulltäckande och bra Informationssäkerhetspolicy. Denna ger förutsättningarna för en god IT-säkerhet förutom god säkerhet även för övrig information. Genom samarbetsavtalet med Nora kommuns IT-avdelning har en del förbättringsprojekt genomförts vilket förbättrat ITsäkerhetsnivån hos Nerikes Brandkår. IT-säkerhetsnivån är godtagbar avseende fysisk och logisk säkerhet. Dock finns det enligt vår bedömning fortfarande områden som behöver förbättras. Det gäller t.ex. uppföljning och utvärderingsfrågor samt återrapportering till Direktionen. I detta sammanhang behöver man först och främst fastställa vad som ska mätas, följas upp och återrapporteras. Vi kan i detta sammanhang också ge förslag på några förbättringsområden. 9(11)

10 De revisionsfrågor vi särskilt avsåg att besvara var följande: Vilka riktlinjer finns? Direktionen har fastställt en Informationssäkerhetspolicy som är fulltäckande. Dock behöver också mera detaljerade anvisningar tas fram för att fastställa vad som ska följas upp och särskilt utväderas samt återrapporteras. Vilka rutiner och bemanning finns för hantering av dessa frågor? IT-ansvarig hos Nerikes Brandkår är Ulf Smedberg. Alla verksamhetsansvariga är skyldiga att tillse att deras personal har tillräcklig kunskap om gällande riktlinjer och regler. Genom supportavtalet med Nora kommuns IT-avdelning har man hjälp med den dagliga hanteringen och även möjlighet att få med drifts- och utvecklingfrågor i allmänhet. Nora kommun har i avtalet garanterat ett antal tillgängliga supporttimmar. Hur är riktlinjerna implementerade? Verksamhetsansvariga är ansvariga för att all personal har nödvändig kunskap om riktlinjerna. Utbildning ska ges för detta ändamål. Dock sker ingen regelmässig utbildning i dagsläget. Det sker heller ingen uppföljande kontroll avseende vilken kunskap som finns i organisationen. I övrigt har en del åtgärder gjorts i syfte att komma upp i den säkerhetsnivå som riktlinjerna beskriver. Vi bedömer att det fortfarande finns ytterligare saker att förbättra innan man kan sägas följa Informationssäkerhetspolicyn fullt ut. Följs utfall upp på ett strukturerat sätt? Enligt vår bedömning sker ingen regelmässig uppföjning. Man har inte heller fastsällt vad som ska utvärderas och hur ofta. Mätning, utvärdering och återrapportering kan förbättras. Är IT-systemet dokumenterat? Arbete pågår med att dokumentera IT-systemet i en s.k. IT-plan. All hårdvara finns dock dokumenterad. Hur bra denna plan kommer att vara kan inte utvärderas i dagsläget. Är fysiska och övriga åtkomstskydd tillräckliga? Vi bedömer att all servermiljö är tillräckligt fysiskt skyddad. Även den logiska skyddsmiljön är tillräcklig. Dock bör en förbättring kunna ske av stöldskyddet för arbetsdatorer inkl. bärbara datorer. Innehåller avtalsförhållandet med Nora Kommun IT-säkerhetsfrågor? Avtalet med Nora kommun är tämligen enkelt formulerat. Det innehåller inga anvisningar eller krav på IT-säkerhetsnivån hos Nora kommun. Enligt muntlig uppgift från Andreas Ericsson har man hos Nora kommun den, enligt dagens standard, godtagbara säkerhetsnivån men detta borde ha dokumenterats i avtalet. 10(11)

11 Finns rutiner för backup, lagring och återläsning av denna samt har detta testats? Numera finns rutiner för egen daglig backup som sparas i två veckor samt månadsvis backup till Nora kommuns ordinarie bvackuprutin. De egna backuperna förvaras säkert och de månadsvisa lagras enligt Nora kommuns ITsäkerhetsstandard som uppges vara tillräcklig. Återläsning av tappad eller skada data har gjorts avseende enstaka filer men fullskalig katastroftestning har inte gjorts genom att testa återläsning av hela system på en helt separat dator. Dock har man hos Nerikes Brandkår utvärderat riskerna med databortfall för den ordinarie verksamheten men inte bedömt att det är av avgörande betydelse för att kunna fullfölja sitt uppdrag. Våra rekommendationer till förbättringar är följande: - Vid tecknande av avtal om IT-support bör det finnas mera detaljerade beskrivningar av krav på IT-säkerhetsnivån hos Nora kommun samt eventuellt referens till den gällande Informationspolicyn fastställd för Nerikes Brandkår. Även andra parametrar i samarbetet bör nedtecknas i avtalet och inte som nu ske på muntlig basis. - Utbildning ska ges avseende gällande riktlinjer men har inte getts regelmässigt. Kunskapsnivån hos personalen avseende reglerna i Informationssäkerhetspolicyn har dock inte testats. Vi rekommenderar därför att detta införs i uppföljningen av informationssäkerheten. Dessutom bör en formell bekräftelse lämnas av den anställde att denne har tillgodogjort sig infomationssäkerhetspolicyns innehåll. Bekräftelsen kan inkluderas i tystnads- och sekretessförbindelsen eller lösas genom en systembaserad bekräftelse som också loggas. - Vid uppdatering av programversioner sker normalt ingen utvärdering i separat testmiljö. Vi rekommenderar att, när det är möjligt, utföra tester i fristående miljö för att kunna kontrollera att den nya versionen fungerar som avsett och att eventuella tidigare gjorda egna anpassningar fortfarande fungerar. På detta sätt sparar man mycket tid och onödigt krångel i skarp miljö vilket skulle kunna störa den ordinarie verksamheten. - Fysisk säkerhet för att förhindra stöld av arbetsdatorer och bärbara datorer saknas i dagsläget. Vi rekommenderar att dessa fysiskt låses fast för att minimera risken för åtminstone tillfälliga oplanerade stöldförsök. - Vi rekommenderar att det fastställs mera detaljerade riktlinjer för vad som ska följas upp avseende loggad information och hur ofta det ska ske samt också vilken återrapportering som ska ske av uppföljningen. Därutöver bör internkontrollmomenten enligt Informationspolicyn planeras och utföras samt återrapporteras till Direktionen i likhet med övriga internkontrolluppföljningar. 11(11)

Genomförda granskningsprojekt under tiden 2008-2014

Genomförda granskningsprojekt under tiden 2008-2014 Genomförda granskningsprojekt under tiden 2008-2014 Datum 1 december 2014 Till Revisionen Från Anders Pålhed 1 Granskning av det olycksförebyggande arbetet (LSO) (rapport 2008-04-21) 1.1 Granskningens

Läs mer

Revisionsrapport. Nerikes Brandkår. Granskning av ärendeberedning till Direktionen Anders Pålhed

Revisionsrapport. Nerikes Brandkår. Granskning av ärendeberedning till Direktionen Anders Pålhed Revisionsrapport Granskning av ärendeberedning till Direktionen Nerikes Brandkår 2014-10-22 Anders Pålhed 1. Sammanfattning... 3 2. Inledning... 4 3. Syfte... 4 3.1 Metod... 4 3.2 Avgränsning... 4 4. Rutinen

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016 www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016 Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Förstudie. Nerikes Brandkår. Arbetsmiljöarbetet för ej utryckande personal 2013-11-28. Anders Pålhed

Förstudie. Nerikes Brandkår. Arbetsmiljöarbetet för ej utryckande personal 2013-11-28. Anders Pålhed Förstudie Arbetsmiljöarbetet för ej utryckande personal Nerikes Brandkår 2013-11-28 Anders Pålhed 1. Sammanfattning... 3 2. Inledning... 5 3. Syfte... 5 3.1 Metod... 5 3.2 Avgränsning... 5 4. Bakgrundsfakta...

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Revisionsrapport: Granskning av IT-säkerhetspolicy. Revisionen har genom KPMG genomfört en granskning av IT-säkerhetspolicy.

Revisionsrapport: Granskning av IT-säkerhetspolicy. Revisionen har genom KPMG genomfört en granskning av IT-säkerhetspolicy. Revisorerna Direktionen Revisionsrapport: Revisionen har genom KPMG genomfört en granskning av IT-säkerhetspolicy. Revisionen önskar att direktionen lämnar synpunkter på de slutsatser som finns redovisade

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Uppföljningsrapport IT-revision 2013

Uppföljningsrapport IT-revision 2013 Revisionsrapport Uppföljningsrapport IT-revision 2013 Solna Stad Raindance Fredrik Dreimanis November 2013 1 av 10 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning... 5

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Förstudie. Nerikes Brandkår. Diarieföring av allmänna handlingar 2009-06-04. Ref Roger Wallin

Förstudie. Nerikes Brandkår. Diarieföring av allmänna handlingar 2009-06-04. Ref Roger Wallin Förstudie Diarieföring av allmänna handlingar Nerikes Brandkår 2009-06-04 Ref Roger Wallin 1. Uppdrag... 3 2. Offentlighetsprincipen... 3 2.1 Hur diarieförs handlingar och finns gemensamma rutiner?...

Läs mer

IT-verksamheten, organisation och styrning

IT-verksamheten, organisation och styrning IT-verksamheten, organisation och styrning KPMG Örebro 27 februari 2007 Antal sidor 12 Innehåll 1. Inledning 1 2. Syfte 1 3. Metod 1 4. Sammanfattning 2 5. IT-verksamhet, organisation och ansvar 3 5.1.1

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök Göteborgs universitet 2007-06-26 Intern miljörevision Exempel på frågor vid platsbesök Nedan finns exempel på frågor som kan ställas vid platsbesök inom den interna miljörevisionen. Ytterligare följdfrågor

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010. Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen

Läs mer

IT-Säkerhetsinstruktion: Förvaltning

IT-Säkerhetsinstruktion: Förvaltning n av 7 för Munkfors, Forshaga, Kils och Grums kommun april 2006 av IT-samverkansgruppen n 2 av 7 IT SÄKERHETSINSTRUKTION: FÖRVALTNING Innehållsförteckning IT-säkerhetsinstruktion Förvaltnings roll i IT-säkerhetsarbetet...3

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet Dnr UFV 2014/1308 Riktlinjer för informationssäkerhet Säkerhetskopiering och loggning Fastställda av Säkerhetschef 2014-11-25 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012 Göteborg Energi AB Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte 18 december 2012 1 Sammanfattning Med start hösten 2010 har Deloitte, Ernst & Young och PwC på uppdrag av Göteborgs

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion.

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion. SKRIVELSE 2016-06-07 Kommunrevisionen Till Kommunstyrelsen Till Kommunfullmäktige, för kännedom Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion. Vi har genomfört en

Läs mer

Handledning i informationssäkerhet Version 2.0

Handledning i informationssäkerhet Version 2.0 Handledning i informationssäkerhet Version 2.0 2013-10-01 Dnr 1-516/2013 (ersätter Dnr 6255/12-060) Informationssäkerhet 6 saker att tänka på! 1. Skydda dina inloggningsuppgifter och lämna aldrig ut dem

Läs mer

Revisionsrapport. Nerikes Brandkår. Granskning av Delårsrapport januari-juli 2013 2013-09-20. Ref Anders Pålhed (1)

Revisionsrapport. Nerikes Brandkår. Granskning av Delårsrapport januari-juli 2013 2013-09-20. Ref Anders Pålhed (1) Revisionsrapport Granskning av Delårsrapport januari-juli 2013 Nerikes Brandkår 2013-09-20 Ref Anders Pålhed (1) Innehållsförteckning Innehållsförteckning... 2 1. Sammanfattning... 3 2. Inledning... 4

Läs mer

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM FÖRFATTNINGSSAMLING (8.1.3) SÄKERHETSFÖRESKRIFTER Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056 Giltig

Läs mer

IT-Policy. Tritech Technology AB

IT-Policy. Tritech Technology AB IT-Policy Tritech Technology AB 1 av 6 Innehåll 1 Dokumentinformation...3 1.1 Syfte och målgrupp 3 1.2 Ansvar 3 1.3 Nyttjande 3 1.4 Distribution 3 1.5 Versionshistorik 3 1.6 Godkännande 3 2 IT-Policy...4

Läs mer

Bilaga 1 - Handledning i informationssäkerhet

Bilaga 1 - Handledning i informationssäkerhet Bilaga 1 - Handledning i informationssäkerhet Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Bilagor Bilaga 1. Handledning i informationssäkerhet

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts

Läs mer

Revisionsrapport. IT-revision Solna Stad ecompanion

Revisionsrapport. IT-revision Solna Stad ecompanion Revisionsrapport IT-revision 2013 Solna Stad ecompanion Fredrik Dreimanis November 2013 Innehållsförteckning Inledning... 3 Avgränsning.3 Granskningens omfattning... 4 Sammanfattning... 5 Observationer

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Service Level Agreement mall för kommunalt IT-stöd

Service Level Agreement mall för kommunalt IT-stöd Service Level Agreement mall för kommunalt IT-stöd v1.0-2010-11-02 Kim Weyns & Martin Höst Institutionen för Datavetenskap, Lunds Universitet Box 118, S-221 00 Lund kim.weyns@cs.lth.se Inledning Ett Service

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Revisionsrapport. Nerikes Brandkår. Granskning av riktlinjer och rutiner för hantering av akuta omvärldssituationer 2009-12-14.

Revisionsrapport. Nerikes Brandkår. Granskning av riktlinjer och rutiner för hantering av akuta omvärldssituationer 2009-12-14. Revisionsrapport Granskning av riktlinjer och rutiner för hantering av akuta omvärldssituationer Nerikes Brandkår 2009-12-14 Ref Roger Wallin 1. Inledning... 3 1.1 Syfte... 3 1.2 Metod... 3 2. Bakgrund

Läs mer

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Byggnads- samt Miljö- och hälsoskyddsnämnden.

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Byggnads- samt Miljö- och hälsoskyddsnämnden. REVISIONSRAPPORT Löpande granskning av redovisning och administrativa rutiner avseende Byggnads- samt Miljö- och hälsoskyddsnämnden Hylte Kommun November 2002 Rolf Bergman Tommy Karlsson www.pwcglobal.com/se

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lars Sjöström Rikspolisstyrelsens föreskrifter och allmänna råd om anskaffning, användning, utveckling och förändring av Polisens

Läs mer

Granskning av IT-säkerhet - svar

Granskning av IT-säkerhet - svar Missiv 1(1) Kommunstyrelsens förvaltning Datum Diarienummer 2016-09-28 KS/2016:222 Handläggare Carina Åsman Tfn 0142-853 73 Kommunstyrelsen Granskning av IT-säkerhet - svar Bakgrund Revisionen har genom

Läs mer

Förnyad certifiering av driftleverantörerna av Ladok

Förnyad certifiering av driftleverantörerna av Ladok Dnr UmU 190-4909-05 Sida 1 av 1 Ulrika Ringeborn/IT-strateg Lunds universitet Umeå universitet Uppsala universitet Förnyad certifiering av driftleverantörerna av Ladok Enligt beslut av Ladokkonsortiets

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc www.pwc.se Revisionsrapport Joanna Hägg Tilda Lindell Granskning av intern kontroll Tierps kommun pwc Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Granskningsbakgrund...

Läs mer

Landstinget Kronoberg

Landstinget Kronoberg Revisionsrapport december 2012 Genomförd på uppdrag av revisorerna Landstinget Kronoberg Implementering och efterlevnad av reglemente för intern kontroll Innehållsförteckning Sammanfattande diskussion

Läs mer

Granskning av intern kontroll

Granskning av intern kontroll Revisionsrapport Granskning av intern kontroll Gemensamma Taxe- och Avgiftsnämnden för Hallsberg, Laxå, Lekeberg och Askersund Hallsbergs kommun Lars Wigström Cert. kommunal revisor Innehållsförteckning

Läs mer

Svar på revisionsskrivelse informationssäkerhet

Svar på revisionsskrivelse informationssäkerhet TJÄNSTEUTLÅTANDE Personalavdelningen Dnr KS/2014:280-007 2015-03-03 1/3 KS 10:1 Handläggare Annica Strandberg Tel. 0152-291 63 Kommunrevisionen Svar på revisionsskrivelse informationssäkerhet Förslag till

Läs mer

Riktlinjer för intern styrning och kontroll

Riktlinjer för intern styrning och kontroll 1(10) Riktlinjer för intern styrning och kontroll 2(10) 1. Syfte Dessa riktlinjer syftar till att övergripande beskriva hur AP7 arbetar med frågor som rör intern styrning och kontroll. Riktlinjerna avser

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 07-05-24 dnr A 13 349/ 07 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum Juni 2007 Publicerad Beslutsfattare

Läs mer

Granskning intern kontroll

Granskning intern kontroll Revisionsrapport Granskning intern kontroll Kinda kommun Karin Jäderbrink Cert. kommunal revisor Innehållsförteckning 1 Sammanfattande bedömning 1 2 Bakgrund 2 2.1 Uppdrag och revisionsfråga 2 2.2 Avgränsning

Läs mer

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun Datum Dnr Dpl 2009-09-10 2009/KS0203-1 005 Riktlinjer för IT i Lilla Edets kommun 1. Introduktion Det politiskt styrande dokumentet för IT-användning i Lilla Edets kommun är denna riktlinje, som fastställs

Läs mer

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhetsanvisningar Förvaltning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Förvaltning i enlighet med rektors beslut fattat den 16 februari 2010 (dnr 020-09-101). Gäller från och med den

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet samt transmission -C 2 (7) Innehåll 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 6 3 (7) 1 Allmänt Borderlight har styrdokument

Läs mer

Revisionsrapport nr 1, 2012 R Wallin. Vadstena kommun. Bisysslor bland anställda

Revisionsrapport nr 1, 2012 R Wallin. Vadstena kommun. Bisysslor bland anställda Revisionsrapport nr 1, 2012 R Wallin Vadstena kommun Bisysslor bland anställda t Innehåll 1. Sammanfattning...2 2. Inledning...3 3. Revisionsfrågor...3 3.1. Avgränsning...3 3.2. Granskningens genomförande...3

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr:0036/13 Kommunalförbundet ITSAM, Storgatan 36A, 590 36

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Informationssäkerhet

Informationssäkerhet Informationssäkerhet Information och anvisningar för medarbetare i Stockholms läns sjukvårdsområde Informationssäkerhet 3 Informationssäkerhet inom Stockholms läns sjukvårdsområde (SLSO) Med informationssäkerhet

Läs mer

Övergripande granskning av IT-driften - förstudie

Övergripande granskning av IT-driften - förstudie MISSIV 1(1) 2013-09-04 LJ2013/1116 Landstingsstyrelsen Övergripande granskning av IT-driften - förstudie Bakgrund Landstingets revisorer har i skrivelse 2013-06-13 redovisat en övergripande granskning

Läs mer

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet.

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet. 2012-08-27 Sidan 1 av 6 IT-säkerhetspolicy Dokumentnamn Dokumenttyp Fastställd/upprättad Diarie nummer Fastställd av IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige Dokumentansvarig/ processägare

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

Köpings kommun. Verkställighet och återrapportering av uppdrag givna av fullmäktige Förstudie. Advisory KPMG AB 8 september 2015 Antal sidor: 5

Köpings kommun. Verkställighet och återrapportering av uppdrag givna av fullmäktige Förstudie. Advisory KPMG AB 8 september 2015 Antal sidor: 5 Verkställighet och återrapportering av uppdrag givna Förstudie Advisory KPMG AB 8 september 2015 Antal sidor: 5 Innehåll 1. Bakgrund 1 2. Syfte 1 3. Avgränsning 1 4. Revisionskriterier 2 5. Ansvarig nämnd/styrelse

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Landstingets ärende- och beslutsprocess

Landstingets ärende- och beslutsprocess LANDSTINGET I VÄRMLAND REVISIONSRAPPORT Revisorerna AM/JM 2012-12-18 Rev/12017 Landstingets ärende- och beslutsprocess Sammanfattning Denna granskning har omfattat hantering enligt riktlinjen för landstingets

Läs mer

POLICY INFORMATIONSSÄKERHET

POLICY INFORMATIONSSÄKERHET POLICY INFORMATIONSSÄKERHET Fastställd av Kommunfullmäktige 2016-03-21 56 Bo Jensen Säkerhetsstrateg Policy - Informationssäkerhet Denna policy innehåller Haninge kommuns viljeinriktning och övergripande

Läs mer

Revision av den interna kontrollen kring uppbördssystemet REX

Revision av den interna kontrollen kring uppbördssystemet REX 1 Revision av den interna kontrollen kring uppbördssystemet REX 1 Inledning Riksrevisionen har som ett led i den årliga revisionen 2012 av Kronofogdemyndigheten (KFM) granskat den interna kontrollen kring

Läs mer

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll Revisionsrapport KPMG AB Antal sidor: 9 Innehåll 1. Sammanfattning och kommentarer/rekommendationer 1 2. Uppdrag 2

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun. REVISIONSRAPPORT Löpande granskning av redovisning och administrativa rutiner avseende Tekniska nämnden Hylte Kommun November 2002 Rolf Bergman Tommy Karlsson www.pwcglobal.com/se www.komrev.se Sammanfattning

Läs mer

Revisionsrapport Intern kontroll inom Landstinget Dalarna

Revisionsrapport Intern kontroll inom Landstinget Dalarna Revisionsrapport Intern kontroll inom Landstinget Dalarna Emil Forsling Auktoriserad revisor Malin Liljeblad Godkänd revisor Innehållsförteckning 1. Inledning... 3 1.1 Uppdrag och revisionsfråga... 3 1.2

Läs mer

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10 Revisionsrapport KPMG AB Antal sidor: 10 Innehåll 1. Sammanfattning 1 2. Bakgrund 3 3. Syfte 3 4. Avgränsning 3 5. Revisionskriterier 4 6. Ansvarig styrelse/nämnd 4 7. Metod 4 8. Projektorganisation 4

Läs mer

Internkontroll ett utvecklingsarbete Micasa Fastigheter arbetar ständigt med att förbättra rutiner och arbetsprocesser och dess dokumentation.

Internkontroll ett utvecklingsarbete Micasa Fastigheter arbetar ständigt med att förbättra rutiner och arbetsprocesser och dess dokumentation. Internkontrollplan för år 2013 Internkontroll syftar till att säkerställa styrbarhet, säkerhet och effektivitet i en organisation och verksamhet. Bolaget ska årligen uppföra ett samlat dokument, en plan,

Läs mer

Revisionsrapport. Nerikes Brandkår. Granskning av Delårsrapport januari-juli Ref Anders Pålhed (1)

Revisionsrapport. Nerikes Brandkår. Granskning av Delårsrapport januari-juli Ref Anders Pålhed (1) Revisionsrapport Granskning av Delårsrapport januari-juli 2016 Nerikes Brandkår 2016-09-07 Ref Anders Pålhed (1) Innehållsförteckning Innehållsförteckning... 2 1. Sammanfattning... 3 2. Inledning... 4

Läs mer

Reglemente för internkontroll

Reglemente för internkontroll Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll

Läs mer

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Tekniskt driftdokumentation & krishantering v.1.0

Tekniskt driftdokumentation & krishantering v.1.0 Tekniskt driftdokumentation & krishantering v.1.0 Denna driftdokumentation avser driftmiljön hos Camero AB:s webbhotell, både delade och dedikerade lösningar. Teknisk dokumentation Cameros webbhotell har

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning 2008. 1. Sammanfattning

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning 2008. 1. Sammanfattning Revisionsrapport Sveriges Lantbruksuniversitet Box 7070 750 07 Uppsala Datum Dnr 2009-03-30 32-2008-0760 Sveriges Lantbruksuniversitets årsredovisning 2008 Riksrevisionen har granskat Sveriges Lantbruksuniversitets

Läs mer

Granskning av intern styrning och kontroll vid Statens servicecenter

Granskning av intern styrning och kontroll vid Statens servicecenter 1 Granskning av intern styrning och kontroll vid Statens servicecenter Riksrevisionen har som ett led i den årliga revisionen av Statens Servicecenter granskat den interna styrning och kontroll i myndighetens

Läs mer

Arbetsordning. Södertälje kommuns revisorer

Arbetsordning. Södertälje kommuns revisorer Södertälje kommuns revisorer Arbetsordning Antagen av kommunens revisorer 2012-05-31 och uppdaterade och kompletterad 2013-10-03 med en särskild arbetsordning för lekmannarevisorerna. 1 Inledning Revisorernas

Läs mer

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Gäller från och med 2009-01-01 Dnr 5581/2008-030 Beslut 2008-12-10 Dnr:5581/2008-030 Universitetsdirektören Regler och riktlinjer för IT-säkerhet

Läs mer

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium Revisorerna 1 (1) Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden För kännedom: Kommunfullmäktiges presidium Revisionsrapport: Revisorerna har uppdragit till

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Landstingsstyrelsens förvaltning Bilaga N Internkontrollplan (5)

Landstingsstyrelsens förvaltning Bilaga N Internkontrollplan (5) Internkontrollplan 2008 1(5) Styrning och konsekvensanalyser Landstingsstyrelsens förvaltning har en fastställd budget/verksamhetsplan med mätbara mål Landstingsstyrelsens förvaltning tecknar avtal och

Läs mer

Här nedan är ett urval av de vanligaste frågorna (FAQ, Frequently Asked Questions) som kommit till FAR och Srf konsulterna om uppdragsavtal.

Här nedan är ett urval av de vanligaste frågorna (FAQ, Frequently Asked Questions) som kommit till FAR och Srf konsulterna om uppdragsavtal. Svensk standard för redovisningstjänster, Reko FAQ Vanliga frågor om uppdragsavtal Här nedan är ett urval av de vanligaste frågorna (FAQ, Frequently Asked Questions) som kommit till FAR och Srf konsulterna

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Regler för användning av Riksbankens ITresurser

Regler för användning av Riksbankens ITresurser Regler för användning av Riksbankens ITresurser MAJ 2009 1 Inledning I det följande ges regler för användning av Riksbankens IT-resurser, vilka gäller för alla medarbetare i Riksbanken samt konsulter och

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 I checklistan gäller det att instämma med de påståenden som anges i listan för att vara säker på att verksamhetens miljöledningssystem

Läs mer