Höörs kommun. Granskning av IT-verksamheten Revisionsrapport

Storlek: px
Starta visningen från sidan:

Download "Höörs kommun. Granskning av IT-verksamheten Revisionsrapport"

Transkript

1 Granskning av IT-verksamheten Revisionsrapport Offentlig sektor KPMG AB Antal sidor: 20 Olof Eriksson/Jan-Inge Hedin IT-verksamhet.docx 2009 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International, a Swiss cooperative. All rights reserved.

2 Innehåll 1. Inledning Bakgrund och syfte Genomförande 1 2. Struktur och IT-organisation Framväxt Ansvarsområden IT-samverkan IT-enheten 3 3. Mål och strategier Styrdokument IT-råd Nämndernas mål 5 4. Uppföljning och rapportering 5 5. Service och rollfördelning 6 6. IT-säkerhet och generella kontroller Utgångspunkter Genomförande 7 7. IT-stödet Väsentliga stödsystem 7 8. Systemförvaltningen Inledning Systemförvaltningen vid Inköp och Faktura (Aditro) Systemförvaltningen vid Individ och Familjeomsorg (Procapita) IT generella kontroller Styrning av IS/IT-verksamheten Fysisk säkerhet Logiska accesskontroller Kontinuitetsplanering End-User Computing Sammanfattande kommentar och rekommendationer 16

3 1. Inledning 1.1 Bakgrund och syfte KPMG har av revisorer fått i uppdrag att övergripande granska hur kommunen styr och samordnar IT-verksamheten i kommunen samt hur IT-säkerheten upprätthålls och kontrolleras. Vid revisorernas övergripande granskning 2008 har det funnits synpunkter och frågor från några nämnder kring IT-verksamheten. Dataverksamheten är omfattande och av stor betydelse för att kärnverksamheten ska kunna bedrivas ändamålsenligt och effektivt. Samtidigt kan konstateras att verksamheternas beroende av ett fullgott IT-stöd är kritiskt ur säkerhetssynpunkt och rutinerna för samverkan och service i detta sammanhang är väsentliga. Projektet syftar till att granska: Mål, gemensamma uppgifter och system Interna överenskommelser och åtaganden Service och kvalitet Kontroll och säkerhet Uppföljning och utvärdering Utvecklingslinjer 1.2 Genomförande Granskningen har genomförts i två delar. Vi har översiktligt granskat delmomenten baserat på studium av relevanta dokument samt intervjuer med kommunalråd, kommunchef, ekonomichef, IT-chef, barn- och utbildningschef, socialchef samt kontakter med datasamordnare dels för barnoch utbildningsförvaltningen dels socialförvaltningen. Vidare har kontroll och säkerhet särskilt granskats med inriktning mot generella kontroller i användningen av verksamhetskritisk IT-verksamhet. Denna del av projektet har genomförts med inriktning dels mot den centrala IT-enhetens verksamhet som är inriktad mot kommunens nätverk, systemdrift och användarsupport och dels mot ett urval av den decentraliserade systemförvaltningen. Granskningen har bedrivits under okt-nov 2009 och genomförts av Olof Eriksson och Jan-Inge Hedin, KPMG. Den senare med ansvar för den större del av granskningen som avser kontroll och säkerhet. Rapporten har saklighetsgranskats av kommunchef, ekonomichef och IT-chef. 1

4 2. Struktur och IT-organisation 2.1 Framväxt En mycket stor del av verksamheten i kommunen bedrivs och kopplas till någon form av datoriserat stöd som med tiden utvecklat sig till att bli en förutsättning för att kunna bedriva verksamheten på ett effektivt och ändamålsenligt sätt. Antalet datorer, tillhörande utrustning och utbyggnad av nät för kommunikation har ökat i snabb takt. De senaste fem åren har det varit särskilt markant i menar flera intervjuade. har enligt IT-enheten för närvarande cirka 1150 nätverksanvändare. Det finns upp emot 40 adresser i nätverket fördelat på geografiska lokationer. Verksamhetssystemen är cirka 45 stycken med många applikationer. Det finns enligt uppgift idag 559 datorer som IT-enheten ska hantera. Därutöver finns ett antal datorer vid vissa skolor som köpts utanför IT-enheten. 2.2 Ansvarsområden För att hantera alla system och samordna dem på olika sätt är det viktigt att klara ut vem som ansvarar för vad i sammanhanget. Några nyckelbegrepp som beskriver ansvarsfördelningen kan beskrivas som följer. Systemägare är den myndighet (t ex nämnd) i kommunen vars verksamhetsområde är användare av ett system t ex ett verksamhetssystem. I det fall ett system används av flera nämnder kan en nämnd, t ex kommunstyrelsen vara systemägare. Systemägaransvaret kan delegeras till exempelvis förvaltningschefen. Nämnden är registeransvarig enligt datalagen även om nämnden inte är systemägare. Systemförvaltning är det planeringsarbete som systemägaren själv eller genom delegation till annan skall ansvara för, till exempel att följa verksamhetens behov av nya och förändrade arbetssätt samt tillse att användare får det utbildning och information som behövs. Systemförvaltaren eller systemansvarig är den som genom delegation från systemägaren fått i uppdrag att bereda systemärenden för förvaltningsledningen samt att svara för administration, förvaltning och användning. Systemförvaltaren fastställer krav på behörighet och kompetens för systemets användare, initierar utbildning av systemets användare, bevakar och bereder frågor kring systemsäkerhet, ansvarar för information till användarna om förändringar och nyheter i systemet och IT-stödet. IT-enheten har det tekniska kunnandet och finns som stöd till de ansvariga och verksamheterna som använder IT-systemen. IT-enhetens huvuduppgift kan sägas vara drift av systemen men enheten har också en viktig roll när det gäller att bereda ärenden gällande IT-verksamheten samt när det gäller bevakning av att riktlinjer och regler följs till exempel i samband med upphandling av datorer och IT-system. I Höör är IT-chefen systemansvarig för kommunens tekniska grundstruktur för IT (nätverk, kommunikation m m). 2

5 2.3 IT-samverkan IT-verksamheten inom kommunen har växt fram både i samverkan med andra intressenter och i kommunen separat. Ett samarbete för gemensam IT-infrastruktur har etablerats genom bildandet av en gemensam nämnd tillsammans med kommunerna inom Skåne Nordost (Bromölla, Hörby, Hässleholm, Kristianstad, Osby och Östra Göinge. Perstorp är inte med i detta samarbete). Nämnden startade 2006 med Hässleholm som värdkommun. Man har hittills i huvudsak sysslat med uppbyggnad och drift av en gemensam IT-infrastruktur när det gäller kommunikationsförbindelser. Internetförbindelsen är gemensam för kommunerna. Det finns en avsiktsförklaring upprättad i år mellan kommunerna om att fördjupa IT-samarbetet för att skapa synergieffekter. Det finns också ett närmare samarbete med grannkommunen Hörby. Detta är relativt nytt och bygger på en avsiktsförklaring ( ) mellan de två kommunerna. Denna har utmynnat i att snabbt studera ett konkret samarbete inom två områden. De två områden som valts ut inledningsvis är dels IT-området (service, teknik, telefoni m m) samt löneadministration. Därutöver föreligger en allmän avsiktsförklaring till respektive förvaltningsorganisation att aktivt undersöka andra samarbetsmöjligheter. 2.4 IT-enheten Organisation IT-enheten i Höör ligger under kommunstyrelsen och ekonomichefen är övergripande chef för enheten som operativt leds av IT-chefen. Kommunchefen har också en roll i organisationen eftersom denne får utredningsuppdrag från kommunstyrelsen när det gäller samverkan med andra intressenter/kommuner inom IT-området. Personal IT-enheten i Höör består av sex medarbetare där tjänsterna är enligt följande: 1 IT-chef med det övergripande ansvaret 1 Supporttekniker som har hand om HelpDesk-funktion och utbildning 2 IT-tekniker som sköter merparten av den löpande supporten 1 IT-specialist som tar hand om nätverk och servrar 1 Systemtekniker som sköter databaser, GIS-system och terminalsystem I rollen som säkerhetssamordnare har räddningschefen ett ansvar för IT-säkerheten. Finansiering IT-enhetens verksamhet är helt finansierad genom avgifter som dels består av en PC-hyra som tas ut per PC, dels en så kallad IT-kostnad som fördelas på antalet IT-användare inom varje sektor. PC-hyran inkluderar kostnader för PC:n såsom kapitalkostnad för hårdvara, licenser för Office, virusskydd, operativsystem och kostnader för support. IT-kostnad omfattar kostnader för nätverk, kommunikation, servers, mailssystem, övriga licenser för nätverksanvändning och personalkostnader. Kostnaderna för 2009 redovisas nedan. IT-kostnad: PC-hyror: 3

6 Stationär inom administrationen: 4319:-/år Bärbar inom administrationen: 8116:-/år Stationär inom skolan: 4028:-/år Tunn klient inom skolan: 2450:-/år Bärbar inom skolan: 6054:-/år Drift IT-enheten sköter all drift själva utom backup-hantering som sker i samverkan med Hörby kommun. Man planerar också för en gemensam serveranläggning med Hörby kommun. Den IT-samverkan som Höör ingår i och vidareutvecklar är värdefull och som vi bedömer ett viktigt steg för att möta kostnader, krav på kompetens och kvalitet i stödet till verksamheten. 3. Mål och strategier 3.1 Styrdokument Det finns två övergripande styrdokument. E-post & internetpolicy, fastställd av kommunstyrelsen samt IT-säkerhetspolicy fastställd av kommunfullmäktige IT-säkerhetspolicyn och styrningen kommenteras vidare i avsnitt 9. Det finns utöver dessa dokument inte någon beslutad övergripande strategi för den nuvarande och framtida IT-utvecklingen. Däremot finns, som redan nämnts, flera beslut om samverkan på ITområdet. Av våra intervjuer framgår att man från politisk nivå inte vill styra allt för hårt när det gäller utvecklingen av samverkan utan det måste, som vi tolkar det, få komma fram mer underifrån för att kunna ligga i fas tidsmässigt och med acceptans från verksamheten. Man måste få en vinn-vinn-situation. Däremot finns det inte något mål i sig att slå ihop verksamheterna enligt en kommentar. 3.2 IT-råd Det finns ett nyligen inrättat IT-råd som består av IT-chefen och kommunens ledningsgrupp. ITchefen sitter inte med i den ordinarie ledningsgruppen. Tidigare fanns en IT-grupp som bestod av systemförvaltare och IT-chef men den gruppen slog inte så väl ut. Enligt våra intervjuer var den för spridd när det gäller inriktning på verksamhet och ambitioner för IT-stödet. Det finns, menar flera, goda förutsättningar för att driva IT-utvecklingen inom ramen för IT-rådet. 4

7 3.3 Nämndernas mål Som bland annat framgår Av IT-säkerhetspolicyn framgår bland annat att det är nämnderna som är systemägare och som fattar de avgörande besluten om den egna verksamhetens datasystems införande eller avveckling etc. Det kräver på nämndnivå strategiska beslut som måste gå hand i hand med de övergripande styrdokumenten. På nämndnivå ska enligt kommunens IT-säkerhetspolicy en Systemsäkerhetsplan fastställas individuellt för samtliga förvaltningsspecifika system utifrån systemets betydelse för verksamheten (en sådan plan innehåller bland annat systemspecifika krav på drift, behörighetsrutiner, avbrottsplan mm). Vi har inte särskilt kartlagt nämndnivåns styrning inom området, men vi har tagit del av barn- och utbildningsnämndens Förnyelse- och utvecklingsprocess som innehåller en del som gäller framtagandet av en IT-strategi för barn- och utbildningssektorn. Barn- och utbildningsnämnden har antagit strategin gällande för perioden och i processen har IT-chefen och datasamordnare för BUN varit processledare. 4. Uppföljning och rapportering Intern kontroll En definition av den interna kontrollen kan uttryckas som att aktivt leda en verksamhet på ett riskmedvetet sätt. Till stora delar kan det appliceras på IT-verksamheten i kommunen. På olika nivåer är det väsentligt att det finns en god intern kontroll och att den följs upp på systematiskt. Enligt reglementet för intern kontroll ska varje nämnd varje år anta en särskild plan för uppföljning av den interna kontrollen. Enligt våra intervjuer har inte någon nämnd under senare tid följt upp sina IT-system inom ramen för det interna kontrollarbetet. Den interna kontrollen är emellertid under revidering enligt kommunstyrelsens svar på revisionens tidigare påpekanden runt dessa rutiner. Personuppgiftslagen Av nämndernas reglementen framgår att nämnderna är registeransvariga enligt personuppgiftslagen (PUL) för de personregister som nämnden för och förfogar över i sin verksamhet. Av kommunkansliets uppgift framgår att kommunen inte har utsett något centralt PUL-ombud. Ett sådant ombud kan utses inom kommunen för att självständigt kontrollera att personuppgifter hanteras korrekt inom kommunens styrelse och nämnder. Enligt kanslichefen har diskuterats olika lösningar genom åren, men något beslut har inte fattats. Kommmunkansliet har dock tagit ett visst ansvar för frågan. Varje sektor har utsett en kontaktperson som ska ha koll på de register man för inom sektorn och rapporterar dessa till kansliet. En utbildning för kontaktpersonerna har genomförts. En sammanställning över de register kommunen för, finns på intranätet tillsammans med en blankett som ska användas för att anmäla register. 5

8 5. Service och rollfördelning IT-enheten levererar tjänster till nämnderna och är det sammanlänkande stödet för verksamheterna. Man har ingen egen budget utan är avgiftsfinansierad enligt vad som ovan redovisats. Man fungerar därmed som en beställarorganisation. Det finns inte någon uppdragsbeskrivning från kommunledningen för IT-enheten. Detta hade kunnat tydliggöra uppdraget bättre är en intervjusynpunkt. Enligt våra intervjuer har det funnits olika åsikter och förväntningar mellan IT-enheten och barn- och utbildningsförvaltningen om vad IT-stödet innebär och vilka mandat som gäller i organisationen. För att klargöra tjänster och ansvar och för att minska eventuella förväntningsgap har IT-enheten arbetat fram dels en Beskrivning av IT-tjänster, dels ett utkast till Servicenivåkontrakt för ITtjänster till barn- och utbildningsnämnden. IT-tjänster som tillhandahålls enligt beskrivningen är Datorarbetsplats Applikationshantering Nätverk NätverksID Skrivare/kopiator Utbildning E-post Drift av Eleva (system för IUP) I beskrivningen lämnas en redogörelse för varje del och vilken verksamhetsnytta varje del innebär. Servicenivåkontraktet reglerar den service IT-enheten ger på de tjänster som IT-enheten tillhandahåller den pedagogiska verksamheten inom barn- och utbildningsnämnden. Beskrivning av IT-tjänster och Servicenivåkontrakt är mycket bra verktyg för att tydliggöra åtagande och förväntad service. Vi anser att det bör tas fram för alla verksamheter. 6. IT-säkerhet och generella kontroller 6.1 Utgångspunkter Ett verksamhetskritiskt IT-system kännetecknas av att det dels stödjer väsentliga processer i kärnverksamheten och dessutom att dess funktionalitet är svår att ersätta utan kvalitetsrisker. 6

9 Väsentliga delar av verksamheten är således beroende av att dessa system har hög tillgänglighet och att de är tillförlitliga. Behovet av kompletterande kontroller ökar då IT generella kontroller i verksamhetskritiska system visar brister i något avseende. 6.2 Genomförande Granskningen har inriktats dels mot den centrala IT-enhetens verksamhet som omfattar kommunens nätverk, systemdrift och användarsupport (IT-infrastruktur) och dels mot ett urval av den decentraliserade systemförvaltningen. För att bland annat verifiera hanteringen av användarkonton i operativsystemet (Windows AD) för nätverket, har vi använt ett verktyg (Sekchek), för att läsa av vissa inställningar och aktiviteter. Ett detaljerat resultat av denna analys avrapporteras till IT-enheten separat. Vissa noteringar från analysen beskrivs under respektive avsnitt i denna rapport. Ansvaret för den operativa förvaltningen av de olika verksamhetssystemen är decentraliserat till ledningen för respektive verksamhet som utnyttjar det aktuella systemstödet. Vi har valt att granska rutiner vid förvaltningarna av två system, dels Inköp och Faktura (Aditro) och dels verksamheten IFO, Individ och Familjeomsorg (Procapita). Intervjuer för denna del har skett med systemtekniker Claes Håkansson, ansvarig Helpdesk Support (Nilex) Gunilla Skog Nilsson, systemförvaltare Inköp och Faktura (Aditro) Amra Saranovic och systemförvaltare (Procapita) Angélique Nicander. 7. IT-stödet 7.1 Väsentliga stödsystem Klassificering av system Ledningsgruppen inom Höörs Kommun har (2004) genomfört en väsentlighetsklassning av de system som används av kommunens olika verksamheter. Syftet med bedömningen var att identifiera de eventuella system som är kritiska för verksamheten. Sammanlagt 36 olika system ingick i bedömningen varav 12 bedömdes vara kritiska. Dessa system framgår av tabellen nedan 7

10 System Systemägare (sektor) Användnings- Område Systemdrift i utrymme Extens BUN Elevhantering Serverrum 1 Eleva BUN Omdömesdatabas elever Serverrum 1 ProfDoc Journal 111 BUN Journalsystem skolsköterskor Serverrum 1 Daedalos RTJ Insatsrapportering Framgår ej av förteckning RIB RTJ (Vet ej) Framgår ej av förteckning VA-banken Tekniska VA-ledningar Framgår ej av förteckning Aditro Personal Lönesystem Serverrum 1 ProCapita SOC IFO samt vård och omsorg Datahallen Nyckelgömman SOC Hantering nyckelskåp Framgår ej av förteckning GIS Flera Alla GIS-program Framgår ej av förteckning Aditro Flera Ekonomisystem Serverrum 1 IT-plattform Flera Nätverk och standard-pc Datahallen Fördelen med att klassificera system är att det ger möjlighet att anpassa väsentliga processer/kontroller (exempelvis avseende drift, support, logisk och fysisk säkerhet) i förhållande till de olika systemens betydelse för den verksamhet de stödjer. Säkerhetsarbetet kan då anpassas på ett ändamålsenligt och kostnadseffektivt sätt. Initiativet att klassificera verksamheternas olika system är bra och en viktig utgångspunkt för att ge möjlighet att anpassa utformningen av de olika rutinerna inom kommunens IT-verksamhet. Det är dock viktigt att klassificeringsarbetet utgår från kärnverksamheterna och en analys av de konsekvenser som bedöms uppstå i dessa verksamheter, om det exempelvis blir avbrott i systemstödet. Därför bör ansvaret för att klassificeringsarbetet genomförs, ligga på ledningen för respektive verksamhet. Klassificeringen visar att flera av kommunens verksamheter har ett stort beroende av system- 8

11 stödet. Detta ställer höga krav på ett antal av de rutiner/processer/kontroller som tillämpas inom IT-verksamheten (systemförvaltningen och verksamheten inom den centrala IT-enheten). 8. Systemförvaltningen 8.1 Inledning Som nämnts ovan har vi valt att granska rutiner vid två av systemförvaltningarna inom Höörs Kommun, nämligen dels Inköp och Faktura (Aditro) och dels verksamheten för Individ och Familjeomsorg (IFO), (Procapita). Resultatet av dessa systemförvaltningar har vi valt att avrapportera separat under detta avsnitt, huvudsakligen för att tydligt markera att de rutiner systemförvaltningarna tillämpar är handläggningsmässigt åtskilda från IT-enhetens verksamhet. 8.2 Systemförvaltningen vid Inköp och Faktura (Aditro) Systemsäkerhetsplan, i enlighet med IT-säkerhetspolicyn saknas, men arbete med att utveckla en sådan plan pågår. Som underlag för säkerhetsplanen genomförs en risk/konsekvensanalys där utfallet genererar krav anpassade utifrån systemets betydelse för kärnverksamheten (exempelvis avseende drift och support). Det är således osäkert om rutinerna anpassats på ett riktigt sätt innan detta klassificeringsarbete genomförts. Man tillämpar en rutin för digital attest av fakturor vilket innebär att gällande attesträttigheter registreras i systemet. Dessutom registreras konton, verksamheter och belopp (gäller endast beslutsattest ) som begränsning för en beslutsattest. Man skiljer på mottagningsattest och beslutsattest, men reglerna är att båda måste finnas (får ej vara samma tjänsteman) för varje faktura. Beslutsattest tilldelas endast verksamhetschefer och deras ställföreträdare. För beslutsattest gäller enligt nuvarande rutin 1 mkr som maxgräns på samtliga beslutsattestanter. Vi har inte följt upp om detta belopp överstämmer med gällande attestinstruktionen. Systemförvaltarna, som administrerar attestregistret, har också attesträtt (mottagningsattest) i systemet och arbetar med att exempelvis kontera fakturor på egna beställda tjänster. Man tillämpar en rutin där samtliga ändringar i attestträdet sker utifrån skriftligt uppdrag från verksamhetscheferna. Ändringar i attestregistret loggas inte. Däremot framgår för varje faktura vem som attesterat. Behörigheter för åtkomst i Aditro (Inköp och Faktura) registreras av systemförvaltarna enbart utifrån skriftliga uppdrag från verksamhetscheferna. Eftersom systemet endast har använts under ca ett års tid har man listat samtliga behörigheter vid ett par tillfällen som tillställts verksamhetscheferna för kontroll. Denna rutin är dock inte fastställd. Ändringar i behörighetsregistret loggas inte. 9

12 Det behövs ett separat lösenord för åtkomst till Aditro Inköp och Faktura. Reglerna för detta är minst 3 tecken, inga krav på komplexitet (komplexitet innebär krav på såväl bokstäver, siffror som specialtecken), bytesfrekvens 90 dagar (byte minst var tredje månad) och historiska lösenord sparas inte (användaren kan återanvända samma lösenord varje gång). Inaktivitet under tre månader medför automatisk utspärrning. Vi rekommenderar att verksamheten utvecklar och fastställer en systemsäkerhetsplan i enlighet med IT-säkerhetspolicyn. Det är bra att systemförvaltningen tillämpar rutiner där behörigheter och attester enbart utförs utifrån skriftliga uppdrag från chefer/ledningar i de olika verksamheterna. Gemensamma rutinbeskrivningar (för samtliga systemförvaltningar) där detta fastställts, saknas dock i kommunen. Vår rekommendation är att gemensamma rutinbeskrivningar för vissa allmänna områden utvecklas och fastställs av kommunledningen. Här bör vissa minimikrav inom de olika områdena (åtkomst, lösenord, administrativa rättigheter mm) också fastställas. Dessa regler och krav kan också variera beroende på de olika systemens betydelse (klassificeringsnivå) för respektive verksamhet. Sådana gemensamma bestämmelser bör exempelvis inkludera rutinbeskrivningar för åtkomst inklusive lösenord och att behörighets- och systemadministrationen alltid åtskiljs från arbetsuppgifter i den aktuella verksamheten (verksamhetsstyrda arbetsuppgifter i samma system). Även regler kring ändringshantering och loggning bör regleras och fastställas genom sådana gemensamma riktlinjer. 8.3 Systemförvaltningen vid Individ och Familjeomsorg (Procapita) Systemsäkerhetsplan, i enlighet med IT-säkerhetspolicyn (se avsnitt Övergripande riktlinjer) saknas, men arbete med att utveckla en sådan plan pågår. Som underlag för säkerhetsplanen genomförs en risk/konsekvensanalys där utfallet genererar krav anpassade utifrån systemets betydelse för kärnverksamheten (exempelvis avseende drift och support). Det är således osäkert om rutinerna anpassats på ett riktigt sätt innan detta klassificeringsarbete genomförts. En del av systemanvändarna i Procapita är handläggare på Individ och Familjeomsorgen som dokumenterar i patientjournaler i systemet. Det förekommer att sådana journalnoteringar blir felaktiga och att systemförvaltaren då får uppdrag att radera informationen. Man vet inte om ändringen loggas, men det försvinner i systemet. Behörigheter för åtkomst i Procapita registreras av systemförvaltarna enbart utifrån skriftliga uppdrag från verksamhetscheferna eller motsvarande. Man tillämpar inte någon rutin för att regelbundet kontrollera (exempelvis lista till respektive verksamhetschef som godkänner/gör ändringar i listan) att samtliga behörigheter är korrekta. Man tror att loggning sker av samtliga behörighetsändringar, men dessa loggar används/kontrolleras inte. 10

13 Ändringar i behörighetsregistret loggas inte. Det behövs ett separat lösenord för åtkomst till Procapita Individ och Familjeomsorg. Reglerna för detta är minst 8 tecken (varav minst två siffror), bytesfrekvens 90 dagar. Historiska lösenord sparas man vet inte hur många generationer. Man vet inte om inaktivitet efter viss tid medför automatisk utspärrning. Vi rekommenderar att verksamheten utvecklar och fastställer en systemsäkerhetsplan i enlighet med IT-säkerhetspolicyn. Det är bra att systemförvaltningen tillämpar rutiner där behörigheter enbart utförs utifrån skriftliga uppdrag från chefer/ledningar i de olika verksamheterna. Gemensamma rutinbeskrivningar (för samtliga systemförvaltningar) där detta fastställts saknas dock i kommunen. Vår rekommendation är att gemensamma rutinbeskrivningar för vissa allmänna områden utvecklas och fastställs av kommunledningen. Detta omfattar även vissa minimikrav inom de olika områdena (åtkomst, lösenord, administrativa rättigheter mm). Dessa regler och krav kan också variera beroende på de olika systemens betydelse (klassificeringsnivå) för respektive verksamhet. Sådana gemensamma bestämmelser bör exempelvis inkludera rutinbeskrivningar för åtkomst inklusive lösenord och att behörighets- och systemadministrationen alltid åtskiljs från arbetsuppgifter i den aktuella verksamheten (verksamhetsstyrda arbetsuppgifter i samma system). Även regler kring ändringshantering och loggning bör regleras och fastställas genom sådana gemensamma riktlinjer. Med avseende på uppdrag att radera felaktig information i patientjournaler, bör man undersöka möjlighetan att aldrig tillåta att journaluppgifter som sparats efteråt kan raderas. Det är bättre att göra en tydlig notering (exempelvis streck över felaktig text) om informationens felaktighet och signatur som visar vem och när uppgift ändrats. En sådan rutin ger ett bättre skydd för tjänstemän med behörighet att radera information (dessutom kan oavsiktliga raderingar helt undvikas). 9. IT generella kontroller 9.1 Styrning av IS/IT-verksamheten Organisation Organisation och ansvarsfördelning av IT-säkerhetsarbetet framgår av IT-säkerhetspolicyn ( ) (se vidare pkt 3.1.2, nedan) i enlighet med följande IT-enheten ansvarar för kommunens IT-infrastruktur och att detta fungerar tillsammans med de olika verksamhetssystemen. IT-enheten samverkar med systemägare och verksamhetsansvariga med avseende på drift och resursfördelning för ett datasystem 11

14 Systemägare är nämnden. Sektor- eller verksamhetschef är ansvarig för att driva ITverksamheten inom respektive sektor. Dessa utser systemförvaltare IT- säkerhetsansvaret följer den normala linjeorganisationen ( Var och en som ansvarar för någon del av verksamheten ansvarar också för IT-säkerheten inom sitt område ) Den ansvarsmässiga fördelning av IT-verksamheten enligt IT-säkerhetspolicyn ger bra förutsättningar för att erhålla ett systemstöd som utgår från verksamhetens faktiska behov. Förutsättningen för att IT-enhetens verksamhet skall bidra till detta, är att kärnverksamhetens krav på IT-verksamheten framställs på ett tydligt sätt. Övergripande riktlinjer Genom IT-säkerhetspolicyn finns en bra utgångspunkt för utformningen av exempelvis riktlinjer, rutiner och ansvar kring IT-verksamheten. Förutom en tydlig ansvarsfördelning följer här ett utdrag av policyns föreskrifter IT-säkerheten skall följa BITS (Krisberedskapsmyndigheten 2002:3) rekommendationer för IT-verksamhet Systemsäkerhetsplan skall fastställas individuellt för samtliga förvaltningsspecifika system utifrån systemets betydelse för verksamheten (en sådan plan innehåller bland annat systemspecifika krav på drift, behörighetsrutiner, avbrottsplan mm) Löpande analys av hotbilden skall ske för varje enskilt system IT-säkerhetsarbetet skall löpande följas upp IT-säkerhetspolicyn är tydlig och konkret såväl med avseende på ansvarsfördelning som hur säkerhetsarbetet kring varje system skall genomföras. Kravet på en individuell systemsäkerhetsplan för varje system ger förutsättningar att anpassa säkerhetsarbetet individuellt utifrån systemens betydelse för verksamheten. Samtidigt skapar detta tydliga krav från verksamheten på IT-enheten och dess rutiner kring IT-säkerhetsarbetet. Trots IT-säkerhetspolicyns krav på utvecklingen av en systemsäkerhetsplan för varje verksamhetssystem, saknas en sådan för samtliga verksamheter med undantag för ett system (GIS). Anledningen till att IT-säkerhetspolicyn inte följts i detta avseende sedan 2005 är oklart. Vi konstaterar att detta uppenbarligen inte prioriterats. Vår rekommendation är att systemsäkerhetsplaner utvecklas för samtliga verksamhetssystem. Utan dessa säkerhetsplaner saknas också förutsättningar för att anpassa säkerhetsarbetet utifrån systemets betydelse för verksamheten. Detta avser såväl systemförvaltningen som IT-enhetens arbete (ex. nätverk, drift, logisk- och fysisk säkerhet). 12

15 Användarstyrning Vanligtvis utvecklar bolag idag särskilda användaranvisningar som klargör reglerna för användningen av bolagets IT-resurser (ex. hanteringen av lösenord, användningen av information, programanvändning, e-post, Internet, kopiering etc.). Anvisningarna bör dessutom informera om de konsekvenser som brott mot anvisningarna kan ge upphov till. Det är inte ovanligt att anvisningarna utformas som ett avtal mellan bolaget och dess användare och som varje användare undertecknar. Undertecknandet är en bekräftelse på att användaren accepterar reglerna och efterlevnaden. Syftet är att ytterligare förstärka användarnas medvetenhet och ambition att skydda bolagens information och system. har utvecklat användaranvisningar i form av E-post & internetpolicy, som informerar användarna om de regler som gäller vid användningen av kommunens IT-resurser. Policyn är inte utformad som ett avtal mellan användarna och kommunen. Dessutom framgår inte konsekvenserna av att inte följa regelverket. Det kan också vara bra att veta att man på Datainspektionens hemsida kan få tips om hur användaranvisningar kan utformas och vad svenska bolag brukar reglera. Eftersom användaranvisningarna har funktionen att informera/utbilda användarna om de risker som kan vara förknippade med felaktig användning av kommunens IT-resurser (ex. känslig information, internet, e-post), är det vår rekommendation att utforma anvisningarna som ett avtal mellan användarna och kommunen. Dessutom bör man överväga att komplettera anvisningarna med en beskrivning av de konsekvenser som kan blir aktuella vid brott mot reglerna. 9.2 Fysisk säkerhet Fysiskt skydd och skyddsmiljö skall i första hand skydda installationer och information mot obehörig fysisk access vilket kan leda till skada eller stöld. Kontroll av skyddsmiljön säkerställer att servrarna finns i en datoranpassad miljö och säkerställer fortsatt drift och minimerar effekterna av en katastrof, naturlig eller inte. Områden som berörs är framförallt IT-utrustning i datahallar. För serverrum rekommenderas larm för brand, temperatur och fukt. Om systemen är väldigt betydelsefulla för verksamheten och dess kontinuerliga servicenivå, kan det finnas anledning att komplettera serverrummen med automatisk släckningsutrustning. Som skydd mot strömavbrott används UPS med batteridrift för säker avstängning av serverdriften. Då känsligare system driftas i datahallen förekommer det att dieselaggregat kopplas direkt till den aktuella serverdriften, för att säkerställa en kontinuerlig verksamhet. har två datahallar i kommunhuset, dels ett huvudutrymme i källaren (datahallen) och dels ett (tidigare duschrum) utrymme (serverrum 1) några våningar upp i samma hus. Utrustningen för backup kopiering finns i särskilt utrymme i Räddningstjänstens lokaler i Höör. Vi har besökt samtliga utrymmen. 13

16 Datahallen är skyddad mot obehörig access genom tagg och kod. Det är inte fastställt vem i organisationen som har befogenhet att bestämma vem som skall ha åtkomst och som därmed skall utrustas med tagg och kod. Dessutom förvaras en (anonym) tagg i receptionen om någon konsult eller hantverkare behöver komma in i rummet. Motsvarande åtkomstskydd tillämpas även i de båda övriga utrymmena. Accesser loggas inte, vilket innebär att man inte vet av vem eller när det varit besök i något av utrymmena. Rökdetektor finns i samtliga tre utrymmen med brandlarm till brandkåren. Däremot finns inte släckningsutrustning bortsett från en kolsyresläckare av mindre modell i datahallen. Fuktlarm saknas i samtliga utrymmen. I datahallen finns ett vattenbaserat värmeelement. Dessutom har det läckt in vatten genom en vägg i rummet. Även i de båda andra utrymmena finns vattenledningar. De båda serverrummen i kommunhuset är utrustade med kylning och templarm. Utrymmet med utrustning för backup saknar kylning och anses inte heller behöva sådan utrustning. Kommunen saknar riktlinjer för krav på fysisk säkerhet och driftsmiljö i serverhallarna. Vår rekommendation är att fastställa sådana krav anpassade utifrån de system som driftas i respektive lokal. 9.3 Logiska accesskontroller Grunden för systemanvändningen bör utgå ifrån att varje användare aktivt beslutas få tillgång till den information eller funktion som behövs utifrån arbetsuppgifterna ( Vad man måste veta respektive Vad man måste göra ). Det är vidare lämpligt att tjänsteman som är behörighetsadministratör (möjlighet att ändra användarbehörigheter för användare i nätverk och/eller system) inte själv har arbetsuppgifter i den aktuella verksamheten. Samtliga uppdrag (ny användare eller ändring av befintlig användare) till behörighetsadministratör bör vara skriftlig och behörig. Genom att tilldela respektive användare individuella användarnamn och personliga lösenord skapas en bra grund för en säker och ändamålsenlig systemanvändning. Integritet, sekretess och kontinuitet i driften är några aspekter som gynnas genom att förhindra obehörig åtkomst till system och information. Logiskt åtkomstskydd innebär dessutom att samtliga användarkonton är personliga (med undantag för servicekonton) och att kontonas lösenord har krav på teckenlängd, bytesfrekvens, historik och komplexitet. För att undvika obehörig access är det vidare viktigt att tillämpa rutiner varigenom inaktiva konton kan identifieras och spärras. Användarkonton i nätverket Behörighetsadministrationen kring användarkonton i nätverket (nyuppsättning, ändring och borttag) sker utifrån uppdrag via e-post till IT-enhetens Helpdesk. Uppdragen från användarnas 14

17 chefer är därmed alltid skriftliga. Rutinen är inte beskriven verbalt men blanketter för beställning finns att hämta via intranätet. Genom att använda ärendehanteringssystemet Nilex för behörighetsadministrationen blir samtliga åtgärder väl dokumenterade. Tabellen nedan visar de aktuella inställningarna i Windows AD för användarkonton i nätverket Policy Policy Value Leading Practice Minimum Password Length 8 7 or greater Effective Minimum Password Length 8 7 or greater Maximum Password Age in Days to 60 Minimum Password Age in Days 1 0 Password History Size or greater Password Complexity Disabled Enabled Reversible Password Encryption Disabled Disabled Lockout Threshold 3 3 Lockout Duration Reset Lockout Counter in Minutes Force Logoff When Logon Time Expires Disabled Enabled Rename Administrator Account Not Defined New Name Rename Guest Account Not Defined New Name Allow Lockout of Local Administrator Account Disabled Enabled Prevent Transfer of Passwords in Clear Text Disabled Enabled Disable Password Changes for Machine Accounts Disabled Disabled Policy Value är den aktuella inställningen. Disabled betyder att funktionen/regeln inte effektuerats. Enabled betyder att funktionen/ regeln effektuerats. Som framgår är inställningarna i de flesta fall överensstämmande med Leading Practice eller starkare. Det som avviker genom svagare inställning är exempelvis Password Complexity, Rename Administrator Account och Rename Guest Account. Ytterligare information om de olika inställningarnas betydelse och de risker som de förknippas med, framgår av en separat rapport från analysen med hjälp av SekChek. Notering: Vi rekommenderar att man inom beslutar om kraven för lösenord till användarkonton i nätverket. Genom att exempelvis komplettera med krav på Password Complexity ökar skyddet mot obehörig åtkomst. 9.4 Kontinuitetsplanering Kontinuitetsplanering syftar till att göra det möjligt att fortsätta verksamheten även om olyckor, med förlust av IT-resurser som följd, inträffar. Mindre olyckor kan i annat fall också medföra onödiga kostnader och oacceptabla störningar på verksamheten. Planerna skall kontinuerligt uppdateras för att vara till största möjliga hjälp vid ett katastroftillfälle. Den vanligaste kontinuitetsåtgärden är backup kopiering av informationen i systemen. Backup bör alltid testas regelbundet genom återläsning för att säkerställa rutinen för backup (restore). 15

18 Backup kopiering (inkrementell) sker varje natt av samtliga förändringar i samtliga system utifrån en särskild plan. Backup band för månad och år lagras i separat miljö. Backup kopiorna testas inte utifrån en fastställd plan, vilket bör ske. För att säkerställa en kontinuerlig drift kan dessutom katastrofplaner (reservrutiner) utvecklas utifrån en bedömning av en lägsta servicenivå för de olika verksamheterna. BITS+ innehåller även krav på reservrutiner, vilket innebär att arbetet med att utveckla systemsäkerhetsplaner för de olika systemen inkluderar även reservrutiner. IT-verksamheterna saknar för närvarande kontinuitetsplaner men detta ingår som en del av arbetet med att utveckla systemsäkerhetsplaner utifrån IT-säkerhetspolicyn. Som tidigare noterats är det vår rekommendation att de olika verksamheterna utvecklar sådana planer. Genom en daglig inkrementell (dagens förändringar) backup kopiering försvinner också (avsiktligt eller oavsiktligt) raderad information vid den dagliga kopieringen. Eftersom man, förutom daglig backup-kopia, dessutom sparar backup-kopior för år och månad (separat lokal), riskerar man att maximalt förlora information som skapats och därefter tappas/raderas sedan senaste månadskopian. Vår rekommendation är att denna backup rutin bör bedömas och bestämmas systemindividuellt i samband med utvecklingen av systemsäkerhetsplanerna. Vår rekommendation är vidare att restore sker planmässigt för att säkerställa rutinens funktion vid en katastrofsituation. 9.5 End-User Computing End-User Computing syftar på användares egenutvecklade applikationer (exempelvis i Excel eller Access) och som har stor betydelse för verksamheten. Oftast är det komplexa kalkyler och sammanställningar som inte kan utföras med hjälp av det ordinarie systemstödet, och där flexibla hjälpmedel som Excel då kommer till användning. Det är då viktigt att inkludera dessa applikationer vid implementeringen av säkerhetslösningar som exempelvis backup och krav på åtkomstskyddande lösenord. Eftersom IT-enheten inte har kännedom i vilken utsträckning egenutvecklade applikationer förekommer är det vår rekommendation att utveckla en rutin där sådana applikationer identifieras för att man skall ha möjlighet att inkludera dem i säkerhetsarbetet. 10. Sammanfattande kommentar och rekommendationer IT-verksamheten i kommunen har enligt vår bedömning goda förutsättningar att utvecklas vidare. Det finns bra förutsättningar i det samarbete som skapats genom den gemensamma nämnden med 16

19 kommunerna i Skåne Nordost samt den samverkan som initierats med Hörby kommun. I den interna organisationen har ett IT-råd bildats vilket är en förutsättning för att få en gemensam grund att stå på i det fortsatta arbetet. I detta arbete är också viktigt att både IT-enheten och de olika verksamheterna strävar efter att ytterligare tydliggöra roller och uppgifter. Den beskrivning av IT-tjänster och servicenivå avtal som tagits fram för barn- och utbildningsverksamheten inom BUN är väsentlig och bör också tas fram för övriga verksamheter. IT-enheten fungerar enligt flera intervjuer mycket bra men det har också riktats kritik mot IT-enhetens förmåga att möta verksamhetens behov och IT-enheten har upplevt att verksamheterna vill skjuta över ansvar till enheten som rätteligen ligger på systemansvarig nämnd. Viktiga frågor att klarlägga är ansvarsfrågorna, servicenivåer och färdigställande av systemsäkerhetsplaner. Ansvaret för och utformningen av IT-verksamheten inom Höörs Kommun regleras genom fastställd IT-säkerhetspolicy. Genom sin utformning ger policyn bra förutsättningar för en verksamhetsstödjande och säker IT-verksamhet inom kommunen. Ansvarsfördelningen framgår bland annat genom det övergripande ansvaret för s datasystem ligger på kommunstyrelsen. Det operativa ansvaret för att varje datasystem uppfyller verksamhetens krav på säkerhet följer linjeorganisationen. Utformningen framgår bland annat genom Höörs Kommuns IT-säkerhet skall följa den basnivå som definieras av BITS (Basnivå för IT-säkerhet, Krisberedskapsmyndigheten). Handläggningen av de olika processerna/funktionerna inom IT-verksamheten har fördelats på dels IT-enheten, som ansvarar för kommunens IT-infrastruktur (nätverk, IT-plattform mm) och dels de olika verksamheterna, som ansvarar för att förvalta respektive system (finns ca 45 olika verksamhetssystem inom kommunens verksamheter). Utformningen av systemförvaltningen konkretiseras dessutom genom IT-säkerhetspolicyn, genom säkerhetsgranskning av samtliga förvaltningsspecifika system fastställs i en systemsäkerhetsplan. Till stöd för detta arbete har IT-enheten införskaffat applikationen BITS+, varigenom de olika verksamhetsledningarna får stöd i arbetet med att riskanalysera, klassificera och därmed erhålla en anpassad kravbild kring varje system vilket är positivt. Denna kravbild är därför systemindividuell utifrån de olika systemens betydelse för verksamheten. Vid vår granskning hade endast ett (1), av totalt ca 45 olika system, en systemsäkerhetsplan fastställd. Detta innebär att det för närvarande finns en stor osäkerhet om systemförvaltningen kring de olika verksamhetssystemen uppfyller de (genom IT-säkerhetspolicyn) fastställda säkerhetskraven. Förklaringen till att så få säkerhetsplaner utarbetats är osäker, men vår rekommendation är att kommunen genom uppföljning aktivt bidrar till att detta arbete prioriteras och dels att behovet av stöd till den decentraliserade systemförvaltningen utvärderas (utbildning, information, rutinbeskrivningar mm), för att säkerställa att det inte saknas förutsättningar för att fullfölja detta arbete. Vår rekommendation är dessutom att övergripande gemensamma rutinbeskrivningar för väsentliga gemensamma processer/regler inom IT-verksamheten utvecklas och fastställs av kommunledningen. Här bör vissa minimikrav inom de olika processerna/områdena (ändringshantering, åtkomst, lösenord, administrativa rättigheter mm mm) också fastställas. Dessa regler och krav kan också variera beroende på de olika systemens betydelse (klassificeringsnivå) för respektive verksamhet. Vår rekommendation är att ett sådant gemensamt regelverk även omfattar regler kring att behörighets- och systemadministration alltid ska åtskiljas från 17

20 arbetsuppgifter i den aktuella verksamheten (verksamhetsstyrda arbetsuppgifter i samma system), regler kring ändringshantering och dessutom loggning av väsentlig information/händelser. Sammanfattningsvis rekommenderar vi kommunen att Ta fram beskrivning av IT-tjänster och servicenivåavtal för alla nämnder Snabba upp och stötta nämnderna i arbetet med att ta fram systemsäkerhetsplaner Undersöka möjligheten att aldrig tillåta att raderad information i journaluppgifter för brukare försvinner. En bättre rutin är att göra en tydlig notering om informationens felaktighet och signatur som visar av vem och när uppgift ändrats Komplettera loggningsrutinerna med ändringar i behörighets- och attestregistret för Aditro (Ekonomi Inköp och faktura). Det är viktigt att samtliga ändringar i dessa register loggas Utforma användaranvisningarna som ett avtal mellan användarna och kommunen. Samtidigt bör man överväga att komplettera anvisningarna med en beskrivning av risker och konsekvenser vid brott mot reglerna Fastställa krav på fysisk säkerhet och driftsmiljö (åtkomstloggning, brand, temperatur, fukt mm) i serverhallarna anpassade till de krav som uppkommer genom de individuella systemsäkerhetsplanerna Besluta om kraven för lösenord till användarkonton i nätverket. Genom att exempelvis komplettera med krav på Password Complexity ökar skyddet mot obehörig åtkomst De olika verksamheterna utvecklar kontinuitetsplaner för de olika verksamheterna (som en del av systemsäkerhetsplanerna) Rutinerna för backup ska bestämmas systemindividuellt i samband med utvecklingen av systemsäkerhetsplanerna. Restore ska ske planmässigt för att säkerställa att rutinerna kring backup skall fungera vid en katastrofsituation Utveckla och tillämpa rutiner för att identifiera egenutvecklade applikationer (exempelvis i Excel och access) som är väsentliga för verksamheten för att ha möjlighet att inkludera dem i säkerhetsarbete som exempelvis åtkomst och backup KPMG AB Olof Eriksson Certifierad kommunal revisor Jan-Inge Hedin IT Advisory 18

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete s revisorer Kommunstyrelsen För kännedom: Kommunfullmäktiges presidium Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete Revisionen har via KPMG genomfört en granskning

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Varför IT-strategi. Mål och värderingar. IT-STRATEGI FÖR TIMRÅ KOMMUN. FÖRFATTNINGSSAMLING Nr KF 10 1 (7)

Varför IT-strategi. Mål och värderingar. IT-STRATEGI FÖR TIMRÅ KOMMUN. FÖRFATTNINGSSAMLING Nr KF 10 1 (7) FÖRFATTNINGSSAMLING Nr KF 10 1 (7) IT-STRATEGI FÖR TIMRÅ KOMMUN Fastställd av kommunfullmäktige 2005-09-26, 55 Varför IT-strategi. Syftet med denna IT-strategi är att åstadkomma en förflyttning av fokus

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM FÖRFATTNINGSSAMLING (8.1.3) SÄKERHETSFÖRESKRIFTER Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056 Giltig

Läs mer

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige 2013-03-18

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige 2013-03-18 IT-Policy för Tanums kommun ver 1.0 Antagen av Kommunfullmäktige 2013-03-18 1 Inledning Tanums kommuns övergripande styrdokument inom IT-området är IT-Policy för Tanums kommun. Policyn anger kommunens

Läs mer

Åstorps kommuns Övergripande IT-policy för Åstorps kommun

Åstorps kommuns Övergripande IT-policy för Åstorps kommun Åstorps kommuns Övergripande IT-policy för Åstorps kommun Beslutat av Kommunfullmäktige 2014-03-24 36 Dnr 2014/23 Innehåll 1 ÖVERGRIPANDE IT-POLICY FÖR ÅSTORPS KOMMUN...3 1.1 MÅL...3 1.2 SYFTE...3 2 ANSVAR

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM

2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM Uddevalla kommun Granskning av IT-säkerheten 2013-09-25 cutting through complexity TM Innehållsförteckning Kontaktperson vid KPMG: Henrik Leffler Manager, KPMG Göteborg Sammanfattning Tel: 031 614826 Mobil:

Läs mer

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun Datum Dnr Dpl 2009-09-10 2009/KS0203-1 005 Riktlinjer för IT i Lilla Edets kommun 1. Introduktion Det politiskt styrande dokumentet för IT-användning i Lilla Edets kommun är denna riktlinje, som fastställs

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet.

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet. 2012-08-27 Sidan 1 av 6 IT-säkerhetspolicy Dokumentnamn Dokumenttyp Fastställd/upprättad Diarie nummer Fastställd av IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige Dokumentansvarig/ processägare

Läs mer

Översiktlig granskning av IT-säkerheten

Översiktlig granskning av IT-säkerheten Revisionsrapport Översiktlig granskning av IT-säkerheten Östhammars kommun April 2009 Göran Persson Lingman 1 Innehållsförteckning 1. Inledning... 3 1.1 Bakgrund... 3 1.2 Syfte... 3 1.3 Metod... 4 1.4

Läs mer

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang. IT-säkerhetspolicy IT-säkerhetspolicy Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.se Innehåll Sammanfattning 1 IT-säkerhetspolicy

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Härjedalens Kommuns IT-strategi

Härjedalens Kommuns IT-strategi FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 105/04 2004-09-20 1 Härjedalens Kommuns IT-strategi En vägvisare för kommunal IT 2 INNEHÅLL Sid 1. BESKRIVNING 3 1.1 Syfte och omfattning 3 1.2 Kommunens

Läs mer

Arvika kommun. Styrning, ledning och organisation inom IT i kommunen samt dess aktiebolag. Revisionsrapport

Arvika kommun. Styrning, ledning och organisation inom IT i kommunen samt dess aktiebolag. Revisionsrapport ABCD Arvika kommun Styrning, ledning och organisation inom IT i kommunen samt dess aktiebolag Revisionsrapport KPMG AB Karlstad Offentlig sektor 2012-06-26 Antal sidor: 14 2012 KPMG AB, a Swedish limited

Läs mer

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret GRANSKNINGS Uppföljning IT-granskningar Projektledare: Lotta Onsö Beslutad av revisorskollegiet 2013-06-12 RAPP Uppföljning IT-granskningar Postadress: Stadshuset, 205 80 Malmö Besöksadress: August Palms

Läs mer

FALKENBERGS KOMMUN 3.02 FÖRFATTNINGSSAMLING

FALKENBERGS KOMMUN 3.02 FÖRFATTNINGSSAMLING FALKENBERGS KOMMUN 3.02 FÖRFATTNINGSSAMLING Attestreglemente Omfattning 1 Detta reglemente gäller för kommunens samtliga ekonomiska transaktioner, inklusive interna transaktioner, medelsförvaltning samt

Läs mer

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

ATTESTREGLEMENTE FÖR SJÖBO KOMMUN

ATTESTREGLEMENTE FÖR SJÖBO KOMMUN 1(5) ATTESTREGLEMENTE FÖR SJÖBO KOMMUN 1 Omfattning För att upprätthålla en god intern kontroll krävs bl.a. ändamålsenliga regelverk och rutiner för kontroll av verifikationer. Kontroller i enlighet med

Läs mer

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun Dokumenttyp Regler Dokumentägare Kommungemensam IT-samordning Dokumentnamn roller för ägande av information

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Att betalning sker vid rätt tidpunkt. Att transaktionen är rätt konterad

Att betalning sker vid rätt tidpunkt. Att transaktionen är rätt konterad HAPARANDA STAD 01-05-02 ATTESTREGLEMENTE Omfattning 1 Detta reglemente gäller för Haparanda stads samtliga ekonomiska transaktioner, inklusive interna transaktioner, medelsförvaltning samt medel som staden

Läs mer

Uppföljning av revisionsrapport om kommunens IT-hantering från 2010

Uppföljning av revisionsrapport om kommunens IT-hantering från 2010 PM Uppföljning av revisionsrapport om kommunens IT-hantering från 2010 Emmaboda kommun 11 juni 2012 Jard Larsson Certifierad kommunal revisor 2010-års granskning Följande revisionsfrågor ställdes 2010:

Läs mer

FÖRFATTNINGSSAMLING 1 (6)

FÖRFATTNINGSSAMLING 1 (6) FÖRFATTNINGSSAMLING 1 (6) YZ 2 ANVISNINGAR FÖR IT-VERKSAMHETEN I LOMMA KOMMUN 1. SYFTE OCH STYRDOKUMENT 1.1 Syfte Syftet med Anvisningar för Lomma kommuns IT-verksamhet är att säkerställa att IT stödjer

Läs mer

Granskning av IT:s nytta ur ett verksamhetsperspektiv

Granskning av IT:s nytta ur ett verksamhetsperspektiv Revisionsrapport* Granskning av IT:s nytta ur ett verksamhetsperspektiv Finspångs kommun 15 maj 2009 Matti Leskelä *connectedthinking Innehållsförteckning 1 Bakgrund och syfte...3 2 Metod...3 3 Sammanfattande

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium Revisorerna 1 (1) Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden För kännedom: Kommunfullmäktiges presidium Revisionsrapport: Revisorerna har uppdragit till

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN 06-07 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...2 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...2

Läs mer

Riktlinjer. Informationssäkerhet och systemförvaltning

Riktlinjer. Informationssäkerhet och systemförvaltning Riktlinjer Informationssäkerhet och systemförvaltning LULEÅ KOMMUN RIKTLINJER Dnr 1 (5) 2012-11-29 Riktlinjer för roller och ansvar inom informationssäkerhet och systemförvaltning En god systemförvaltning

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

IT-strategi-Danderyds kommun 2010-2014

IT-strategi-Danderyds kommun 2010-2014 IT-strategi-Danderyds kommun 2010-2014 Beslutsinstans: Kommunfullmäktige Beslutsdatum: 2010-09-27 Giltighetstid: 2010-09-27 t o m 2014-12-31 Ansvarig nämnd: Kommunstyrelsen Diarienummer: KS 2010/0095 IT-strategi

Läs mer

Kommunens ITorganisation

Kommunens ITorganisation Revisionsrapport Kommunens ITorganisation Strömsunds kommun Maj-Britt Åkerström Cert. kommunal revisor Innehållsförteckning 1 Sammanfattning, revisionell bedömning, förslag till utveckling 2 Inledning

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

För ytterligare information angående granskningen hänvisas till rapporten.

För ytterligare information angående granskningen hänvisas till rapporten. MARIESTAD KOMMUN 2011-12-13 Revisorerna Till Kommunstyrelsen Barn- och utbildningsnämnden Socialnämnden Miljö- och byggnadsnämnden Teknisk nämnd Kulturnämnd För kännedom Kommunfullmäktige Kommunrevisorerna

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Audit KPMG AB 2011-10-31 Antal sidor: 6

Audit KPMG AB 2011-10-31 Antal sidor: 6 Rapport avseende granskning av lönerutin Audit KPMG AB 2011-10-31 Antal sidor: 6 2011 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated

Läs mer

Uppföljning avseende granskning av attestrutiner

Uppföljning avseende granskning av attestrutiner Revisionsrapport Uppföljning avseende granskning av attestrutiner Nynäshamns kommun December 2010 Jonas Eriksson Innehållsförteckning 1 Inledning... 1 1.1 Syfte och revisionsfråga... 1 1.2 Avgränsning

Läs mer

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll Revisionsrapport KPMG AB Antal sidor: 9 Innehåll 1. Sammanfattning och kommentarer/rekommendationer 1 2. Uppdrag 2

Läs mer

Granskning av Intern kontroll

Granskning av Intern kontroll www.pwc.se Revisionsrapport Lars Wigström Cert. kommunal revisor Granskning av Intern kontroll Vingåkers kommun Innehållsförteckning 1. Sammanfattande bedömning och rekommendationer... 1 2. Inledning...3

Läs mer

Mariestads kommun. Övergripande granskning Socialnämnden Rapport. KPMG AB 2013-03-15 Antal sidor: 3

Mariestads kommun. Övergripande granskning Socialnämnden Rapport. KPMG AB 2013-03-15 Antal sidor: 3 ABCD Mariestads kommun Övergripande granskning Socialnämnden Rapport KPMG AB 2013-03-15 Antal sidor: 3 2013 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent

Läs mer

Revisionsrapport: Verifikationsgranskning. Revisionen har genom KPMG genomfört verifikationsgranskning. För revisorerna i Jämtlands Gymnasieförbund

Revisionsrapport: Verifikationsgranskning. Revisionen har genom KPMG genomfört verifikationsgranskning. För revisorerna i Jämtlands Gymnasieförbund Revisorerna Direktionen Revisionsrapport: Revisionen har genom KPMG genomfört verifikationsgranskning. Revisionen önskar att direktionen lämnar synpunkter på de slutsatser som finns redovisade i sammanfattningen

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...1 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...1 3.1.1 Användning under normala förhållanden

Läs mer

RIKTLINJER FÖR IT-SÄKERHET

RIKTLINJER FÖR IT-SÄKERHET FÖRFATTNINGSSAMLING (8.1.3) RIKTLINJER FÖR IT-SÄKERHET Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056

Läs mer

Revisionsrapport. Attestrutiner. Östhammars kommun. Datum: 080918. Författare: Jonas Eriksson Carin Norberg

Revisionsrapport. Attestrutiner. Östhammars kommun. Datum: 080918. Författare: Jonas Eriksson Carin Norberg Revisionsrapport Attestrutiner Östhammars kommun Datum: 080918 Författare: Jonas Eriksson Carin Norberg Sammanfattning Komrev inom Öhrlings PricewaterhouseCoopers har fått i uppdrag av de förtroendevalda

Läs mer

Kramfors kommun. BAS-förvaltningens hyresavtal Revisionsrapport. Offentlig sektor - kommuner och landsting KPMG AB 13 november 2013 Antal sidor: 9

Kramfors kommun. BAS-förvaltningens hyresavtal Revisionsrapport. Offentlig sektor - kommuner och landsting KPMG AB 13 november 2013 Antal sidor: 9 ABCD Kramfors kommun BAS-förvaltningens hyresavtal Revisionsrapport Offentlig sektor - kommuner och landsting KPMG AB 13 november 2013 Antal sidor: 9 Rapport BAS-förvaltningens hyresavtal 20131113.docx

Läs mer

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Rapport avseende granskning av IT-säkerhet. Östersunds kommun Rapport avseende granskning av IT-säkerhet Östersunds kommun November 2014 Innehåll Sammanfattning 1 1. Inledning 2 1.1. Uppdrag och bakgrund 2 1.2. Revisionsfråga 2 1.3. Revisionskriterier 2 1.4. Avgränsning

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA 2014-03-14 1 (7) RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA Riktlinjen är ett komplement till den policy som finns kring it-säkerhet i Höganäs kommun. Riktlinjen beskriver hur ansvarsfördelningen

Läs mer

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Systemförvaltnings Modell Ystads Kommun(v.0.8) IT avdelningen Piparegränd 3 271 42 Ystad Systemförvaltnings Modell Ystads Kommun(v.0.8) S.M.Y.K Beskrivningar och hänvisningar till rutiner och riktlinjer som ligger till grund för ett tryggt förvaltande

Läs mer

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN Syfte med reglementet 1 Syfte Detta reglemente syftar till att säkerställa att kommunstyrelsen, nämnder och bolagsstyrelser upprätthåller en tillfredsställande

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

ITsäkerhetspolicy. Antagen av kommunstyrelsen 1999-03-03 46-99

ITsäkerhetspolicy. Antagen av kommunstyrelsen 1999-03-03 46-99 ITsäkerhetspolicy Antagen av kommunstyrelsen 1999-03-03 46-99 IT-säkerhetspolicy för Denna policy uttrycker kommunledningens syn på behovet av IT-säkerhet i Lysekils kommun. Den anger omfattning och ansvarsfördelning

Läs mer

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Beslut: Rektor 2012-01-16 Revidering: - Dnr: DUC 2012/63/10 Gäller fr o m: 2012-01-16 Ersätter: - Relaterade dokument: - Ansvarig

Läs mer

Granskning av IT-säkerhet

Granskning av IT-säkerhet TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet

Läs mer

Intern kontroll och attester

Intern kontroll och attester Revisionsrapport Intern kontroll och attester Strömsunds kommun Maj-Britt Åkerström Cert. kommunal revisor Innehållsförteckning 1 Sammanfattning 2 Inledning 2.1 Bakgrund och revisionskriterier 2.2 Metod

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Mjölby kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

Informations- och IT-säkerhet i kommunal verksamhet

Informations- och IT-säkerhet i kommunal verksamhet Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-

Läs mer

IT-Policy. Tritech Technology AB

IT-Policy. Tritech Technology AB IT-Policy Tritech Technology AB 1 av 6 Innehåll 1 Dokumentinformation...3 1.1 Syfte och målgrupp 3 1.2 Ansvar 3 1.3 Nyttjande 3 1.4 Distribution 3 1.5 Versionshistorik 3 1.6 Godkännande 3 2 IT-Policy...4

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Kommunens författningssamling IT-strategi ÖFS 2010:17

Kommunens författningssamling IT-strategi ÖFS 2010:17 Kommunens författningssamling IT-strategi ÖFS 2010:17 Fastställd av Kommunfullmäktige 2010-09-27, 113 (dnr KS 2010.85 005) Ersätter författningssamling 2001:15 Utfärdare: Monika Smidestam Kategori: Styrdokument

Läs mer

Lösenordsregelverk för Karolinska Institutet

Lösenordsregelverk för Karolinska Institutet Lösenordsregelverk för Karolinska Institutet Dnr 1-213/2015 Version 2.0 Gäller från och med 2015-05-18 Sida 2 av 7 Lösenordsregelverk för Karolinska Institutet - Sammanfattning Syfte Det övergripande syftet

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

Syftet med reglerna i attestreglementet är att säkerställa att transaktioner som bokförs är korrekta avseende:

Syftet med reglerna i attestreglementet är att säkerställa att transaktioner som bokförs är korrekta avseende: ATTESTREGLEMENTE med tillämpningsanvisningar Omfattning Detta reglemente gäller för Ystads kommuns samtliga transaktioner, inklusive interna transaktioner, medelsförvaltning samt medel som kommunen ålagts

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

IT-STRATEGI 2009-2012

IT-STRATEGI 2009-2012 2009-08-24 1 (9) IT-STRATEGI 2009-2012 Antagen av kommunfullmäktige den 2009-10-21, 109 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan 29

Läs mer

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Gäller från och med 2009-01-01 Dnr 5581/2008-030 Beslut 2008-12-10 Dnr:5581/2008-030 Universitetsdirektören Regler och riktlinjer för IT-säkerhet

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

Reglemente för intern kontroll

Reglemente för intern kontroll Reglemente för intern kontroll Strategi Plan/program Riktlinje Regler och instruktioner Fastställt av: Kommunfullmäktige Datum: 2014-06-17 För revidering av reglementet ansvarar: Kommunfullmäktige För

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Kommunal författningssamling för. Östra Göinge kommun

Kommunal författningssamling för. Östra Göinge kommun Kommunal författningssamling för Östra Göinge kommun Nr 25 Dnr KS 2010/806.003 Antaget av KS 2010-09-08, 124 Reglemente för kontroll av verifikationer 1 Omfattning och målsättning Detta reglemente gäller

Läs mer

Arvika kommun. Leverantörsfakturarutin Revisionsrapport. Offentlig sektor KPMG AB 2011-10-13 Antal sidor: 13

Arvika kommun. Leverantörsfakturarutin Revisionsrapport. Offentlig sektor KPMG AB 2011-10-13 Antal sidor: 13 ABCD Arvika kommun Leverantörsfakturarutin Revisionsrapport Offentlig sektor KPMG AB 2011-10-13 Antal sidor: 13 201211 KPMG AB, a Swedish limited liability company and a member firm of the ABCD Arvika

Läs mer

IT-Strategi 2004-10-12 1(7) IT-strategi 2005-01-14 KF 10/05

IT-Strategi 2004-10-12 1(7) IT-strategi 2005-01-14 KF 10/05 IT-Strategi 2004-10-12 1(7) IT-strategi 2005-01-14 KF 10/05 IT-Strategi 2004-10-12 2(7) Innehåll 1 Inledning...3 1.1 Bakgrund...3 2 Intention...3 3 Ledning och ansvar...4 4 Nuläge...5 5 Strategier och

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Granskning av lönesystem

Granskning av lönesystem www.pwc.se Revisionsrapport Anna Gröndahl Granskning av lönesystem Vingåker kommun Innehållsförteckning 1. Sammanfattande revisionell bedömning... 1 2. Inledning... 2 2.1. Bakgrund... 2 2.2. Uppdrag...

Läs mer

GIS-strategi. för Nybro kommun. GIS-samordnare Lise Svensson. Antagen av kommunfullmäktige 2013-02-25

GIS-strategi. för Nybro kommun. GIS-samordnare Lise Svensson. Antagen av kommunfullmäktige 2013-02-25 GIS-strategi för Nybro kommun Antagen av kommunfullmäktige 2013-02-25 GIS-samordnare Lise Svensson 2 Inledning Bakgrund Geografiska informationssystem, GIS, används idag av de flesta kommuner, organisationer,

Läs mer

Granskning av upphandlingsverksamhet

Granskning av upphandlingsverksamhet Revisionsrapport Granskning av upphandlingsverksamhet AB Kristianstadsbyggen Yvonne Lundin Innehållsförteckning 1 Sammanfattning 1 1.1 Bakgrund 1 1.2 Syfte 1 1.3 Metod och avgränsning 2 2 Iakttagelser

Läs mer

Externt finansierade projekt

Externt finansierade projekt Revisionsrapport Externt finansierade projekt Gällivare kommun Mars 2010 Hans Forsström, certifierad kommunal revisor Rolf Särkimukka, revisionskonsult 2010-03-11 Hans Forsström Rolf Särkimukka Innehållsförteckning

Läs mer

Attestreglemente för Orsa kommun

Attestreglemente för Orsa kommun Orsa kommun 2007-01-01 1(6) för Orsa kommun 1 Omfattning Detta reglemente gäller för kommunens ekonomiska transaktioner, inklusive interna transaktioner, medelsförvaltning samt medel som kommunen ålagt

Läs mer

Katrineholms kommuns författningssamling

Katrineholms kommuns författningssamling Kommunstyrelsens handling nr 38/2008 Katrineholms kommuns författningssamling Reglemente för kontroll av ekonomiska transaktioner Antaget av kommunfullmäktige 1992-02-24, 86 Reviderat av kommunfullmäktige

Läs mer

4. Inriktning och övergripande mål

4. Inriktning och övergripande mål Lednings- och verksamhetsstöd IT-policy Bilaga 2 LS 14/06 HANDLÄGGARE DATUM DIARIENR Ante Grubbström 2005-12-19 IT-policy för samtliga verksamheter i Landstinget Sörmland 1. Definition Med IT informationsteknologi

Läs mer