Granskning av informationssäkerheten i arbetslöshetskassornas medlemssystem
|
|
- Ingegerd Jonasson
- för 8 år sedan
- Visningar:
Transkript
1 Dnr 2009/ :4 Granskning av informationssäkerheten i arbetslöshetskassornas medlemssystem
2 2
3 IAF är förvaltningsmyndighet för tillsynen över arbetslöshetsförsäkringen och utövar tillsyn över arbetslöshetskassorna samt över handläggningen av ärenden hos Arbetsförmedlingen som påverkar arbetslöshetsförsäkringen. Denna rapport har utarbetats inom IAF av Pierre Jansson och Lisa Widén Rapporten godkänd för publicering Katrineholm den 22 april 2010 Anne-Marie Qvarfort Generaldirektör Gunilla Wandemo Chef för granskningsenheten Inspektionen för arbetslöshetsförsäkringen, IAF Box Katrineholm Tfn: E-post: 3
4 4
5 Innehåll Sammanfattning Inledning Informationssäkerhet Medlemssystemen Uppdragets syfte och omfattning Avgränsningar Utfört arbete och angreppssätt sbedömning Riskbedömning av iakttagelser Resultat Hantering av systemförändringar Arbetslöshetskassornas mognadsnivå Iakttagelser hög risk Iakttagelser medium risk Iakttagelser lägre risk Filöverföringar till och från medlemssystemen Arbetslöshetskassornas mognadsnivå Iakttagelser hög risk Iakttagelser medium risk Iakttagelser lägre risk Behörighetshantering Arbetslöshetskassornas mognadsnivå Iakttagelser hög risk Iakttagelser medium risk Iakttagelser lägre risk Driftsäkerhet, reservrutiner och backuprutiner Arbetslöshetskassornas mognadsnivå Iakttagelser hög risk Iakttagelser medium risk Iakttagelser lägre risk Analys av resultat Slutdiskussion
6 Sammanfattning Inspektionen för arbetslöshetsförsäkringen (IAF) har under hösten 2009 genomfört en granskning av informationssäkerheten i arbetslöshetskassornas medlemssystem. Granskningen omfattade samtliga tio medlemssystem. För medlemssystem som används av fler än en arbetslöshetskassa har IAF gjort ett urval och sammanlagt 15 arbetslöshetskassor har ingått i granskningen. Den sammanfattande bedömningen från granskningen är att arbetslöshetskassornas mognadsgrad i fråga om informationssäkerhet i medlemssystemen varierar. Generellt finns en mognadsnivå som innebär att rutiner finns för genomförande av interna kontroller, men att dessa vid granskningstillfället sällan är tillräckligt formellt dokumenterade och ofta saknar spårbarhet. snivåer för de 15 granskade arbetslöshetskassorna sammanfattas per granskningsområde i följande tabell (se kapitel 1 för beskrivning av mognadsnivåer): Område snivå 1 snivå 2 snivå 3 snivå 4 snivå 5 Systemförändringar Filöverföringar Behörighetshantering Driftsäkerhet och reservrutiner De iakttagelser som noterats har delats in i tre risknivåer, hög, medium och lägre risk. Totalt noterades elva iakttagelser med hög risk hos en eller flera av de granskade arbetslöshetskassorna. Dessa är: - Rutin för hantering av systemförändringar saknas - Acceptanstester utförs inte vid systemförändringar - Systemdokumentation saknas eller är inte tillgänglig - Formellt dokumenterad behörighetsrutin saknas - Gemensamt gruppkonto finns utan individuell spårbarhet - Bristande dualitet i åtkomst till medlemssystemet och OAS - Avsaknad av unika lösenord för inloggning - Anställda har inte skrivit på sekretessförbindelse - Formellt beslutad kontinuitetsplan saknas - Avtal saknas för drift av medlemssystemet - Bristande kravställning i driftavtal 6
7 1 Inledning Inspektionen för arbetslöshetsförsäkringen (IAF) har under hösten 2009 granskat informationssäkerheten i arbetslöshetskassornas medlemssystem. Uppdraget är en fördjupad granskning och uppföljning av tidigare granskningar av arbetslöshetskassornas informationssystem. Under 2005 och 2006 genomförde IAF en granskning av arbetslöshetskassornas medlemshantering. 1 Granskningen bestod av flera olika moment, bland annat en granskning av arbetslöshetskassornas medlemssystem. Vid den tidpunkten fanns 24 olika medlemssystem, och i de flesta fall delade arbetslöshetskassorna system med närliggande fackförbund. För ungefär hälften av arbetslöshetskassorna saknades avtal mellan arbetslöshetskassa och fackförbund gällande medlemssystemen. Det gjorde att viktiga aspekter av god informationssäkerhet såsom sekretess, uppgifternas riktighet och tillgänglighet, samt spårbarhet i systemet inte kunde säkerställas. I regleringsbrevet för 2008 fick IAF i uppdrag granska arbetslöshetskassornas informationssystem i syfte att säkerställa att systemen ger ett korrekt och säkert stöd i beslut om arbetslöshetsersättning. 2 Tyngdpunkten i granskningen låg på besluts- och utbetalningssystemet OAS men omfattade även delvis arbetslöshetskassornas medlemssystem. Granskningen påvisade brister i sekretess och tillgänglighet i medlemssystemen, liksom tveksamheter vad gäller medlemsuppgifternas riktighet. Inom ramen för 2009 års uppdrag i regleringsbrevet om arbetslöshetskassorna och systematisk internkontroll följde IAF upp 2008 års granskning av arbetslöshetskassornas informationssystem. Uppföljningen genomfördes genom enkäter till samtliga arbetslöshetskassor. Svaren visade på väsentliga informationssäkerhetsrisker inom både den övergripande förvaltningen av systemen och inom specifika processer. De slutsatser IAF hade kommit fram till i tidigare granskningar kvarstod i stora delar. IAF konstaterade att rutiner och kontroller för arbetslöshetskassornas hantering av informationssystemen måste formaliseras och kvalitetssäkras. IAF har anmodat de arbetslöshetskassorna som inte hade säkerställt alla identifierade utvecklingsområden inom informationssystemen att omedelbart vidta åtgärder. Inför granskningen av informationssäkerheten i arbetslöshetskassornas medlemssystem har en extern konsult, Transcendent Group, anlitats och bistått IAF i granskningen. Detta eftersom IAF saknar egen fördjupad kompetens inom IT-revisions- och informationssäkerhetsfrågor. 1 Arbetslöshetskassornas medlemshantering, 2006:13 2 IAF 2008/789 T3 7
8 1.1 Informationssäkerhet Informationssäkerhet kan beskrivas som förmågan att upprätthålla önskad sekretess, riktighet och tillgänglighet avseende information och informationstillgångar. Myndigheten för samhällsskydd och beredskap, MSB, framhåller utbetalning från arbetslöshetsförsäkringen som en samhällsviktig verksamhet. Enligt MSB:s egen definition är en samhällsviktig verksamhet: verksamhet som uppfyller det ena eller båda av följande villkor: 1) Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället. 2) Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad allvarlig kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt. När det gäller IT-system har MSB sammanställt baskrav för att säkerställa informationssäkerheten i samhällsviktiga system. Rekommendationen kallas BITS vilket står för Basnivå för informationssäkerhet. BITS utgör en lägsta nivå för informationssäkerhet och är med andra ord en miniminivå för ITsystem som hanterar samhällsviktiga verksamheter Medlemssystemen Antalet medlemssystem som används av arbetslöshetskassorna uppgår till tio stycken. En majoritet av arbetslöshetskassorna använder medlemssystemet Melos, ett system som Arbetslöshetskassornas Samorganisation (SO) har utvecklat och förvaltar. Övriga arbetslöshetskassors medlemssystem ägs och förvaltas ofta av det fackförbund eller den intresseorganisation som arbetslöshetskassan tillhör. Arbetslöshetskassornas hantering av medlemsuppgifter innebär myndighetsutövning och grundar sig på ett avtal mellan medlemmen och arbetslöshetskassan. Medlemsuppgifter som arbetslöshetskassorna ska tillhandahålla enligt 35 lagen 1998:239 om arbetslöshetskassor (LAK) utgörs av: 1) varje medlems namn, personnummer, postadress och tid för inträde i kassan, och 2) de avgifter och andra belopp som medlemmen har betalat in. 3 (Myndigheten för samhällsskydd och beredskap) 8
9 Medlemsavgiftens storlek är differentierad och bestäms av om en person arbetar eller är arbetslös och uppbär ersättning för sjukdom eller aktivitetsersättning. Uppgifter i medlemssystemen kan därmed vara av känslig karaktär och beloppet på medlemsavgiften till arbetslöshetskassan omfattas av sekretess från och med halvårsskiftet Eftersom uppgifterna i medlemsförteckningen till stor utgörs av personuppgifter är Personuppgiftslag (1998:2004) PuL, aktuell och tillämplig. Uppgifter i medlemssystemen utgör ett par av grundförutsättningarna vid beslut om arbetslöshetsersättning. Utöver att medlemskap är en grundförutsättning vid arbetslöshetskassans prövning av rätt till arbetslöshetsersättning, är också tidpunkten för beviljat medlemskap avgörande vid beslut om ersättningsnivån. En arbetssökande som har varit medlem i en arbetslöshetskassa under minst ett års tid och uppfyller medlemsvillkoret är berättigad till inkomstrelaterad ersättning. 1.3 Uppdragets syfte och omfattning Syftet med granskningen är att på ett övergripande plan kontrollera informationssäkerheten i arbetslöshetskassornas medlemssystem, i första hand ur ett ägar- och ansvarsperspektiv. Utöver detta är målet att inventera medlemssystemen och kartlägga systemens kommunikation med OAS, ärendehanteringssystemet ÄGA och Arbetsförmedlingens system AIS. Granskningen omfattar på en övergripande nivå följande granskningsområden: 1. Arbetslöshetskassornas metoder för genomförande av systemförändringar (teknisk granskning av kravspecifikationer gällande genomförda ändringar, processen för systemförändringar, behörighets- och säkerhetsfrågor för dem som utvecklar systemen med mera). 2. De delar av AIS, OAS och ÄGA som lämnar information till eller mottar information från medlemssystemen. Det gäller framförallt säkerheten vid överföring av uppgifter mellan systemen, men även kartläggning av förekommande automatiska kontroller, behörighetshantering och löpande säkerhetsfrågor. 3. Åtkomst och behörighetshantering (inkl. hanteringen av personuppgifter och sekretess enligt gällande lag - PuL samt Offentlighets- och sekretesslag). 4. Driftsäkerhet och reservrutiner samt rutiner för backup. 1.4 Avgränsningar I uppdraget ingår inte kontroll av riktigheten i filöverföringar mellan medlemssystemen och andra system. Frågor rörande riktighet i medlemsavgifter till arbetslöshetskassorna ligger också utanför granskningen. 9
10 1.5 Utfört arbete och angreppssätt Den operativa granskningen genomfördes i samarbete med Transcendent Group och omfattade samtliga medlemssystem. I de fall flera arbetslöshetskassor använde sig av samma medlemssystem valde IAF, för att uppnå en effektivare granskningsprocess, att göra ett urval. Sammanlagt 15 arbetslöshetskassor ingick i granskningen. 4 Granskningen genomfördes i följande steg: 1. Framtagande av granskningsprogram 2. Informationsinsamling och verifiering av interna rutiner och kontroller a. Intervjuade arbetslöshetskassor och dess medlemssystem: I. Akademikernas Erkända arbetslöshetskassa (Melos) II. Arbetslöshetskassan för Service och Kommunikation (Smed) III. Byggnadsarbetarnas arbetslöshetskassa (ByggIT) IV. Elektrikernas arbetslöshetskassa (Melos) V. GS arbetslöshetskassa (Fas3, Fas2009) VI. Handelsanställdas arbetslöshetskassa (HITS) VII. IF Metalls arbetslöshetskassa (Fas2) VIII. Kommunalarbetarnas arbetslöshetskassa (Melos, Medlem) IX. Livsmedelsarbetarnas arbetslöshetskassa (MySoft) X. Lärarnas arbetslöshetskassa (MOA) XI. Pappersindustriarbetarnas arbetslöshetskassa (Fas3) XII. Svensk Handels och Arbetsgivarnas arbetslöshetskassa (Melos) XIII. Sveriges Arbetares arbetslöshetskassa (FileMaker Pro) XIV. Transportarbetarnas arbetslöshetskassa (Fas2) XV. Unionens arbetslöshetskassa (Medwind) XVI. Arbetslöshetskassornas Samorganisation (Central systemägare Melos) 5 b. Granskning av relevant dokumentation och revisionsbevis, t ex i form av behörighetslistor och driftavtal 3. Analysera resultatet 4. Generera en rapport. 4 Från och med 2010 använder 21 arbetslöshetskassor Melos. Av dessa har vi granskat fyra arbetslöshetskassor varav två med ett stort antal medlemmar och två med färre medlemmar. 5 SO har som central systemägare för Melos en förvaltningshandbok som beskriver rutiner. Granskningen avser dock arbetslöshetskassornas egna formella rutiner alt. arbetslöshetskassornas dokumenterade beslut att följa SO:s förvaltningshandbok. 10
11 1.5.1 sbedömning För varje arbetslöshetskassa har en bedömning gjorts av mognadsgrad inom respektive granskningsområde. Bedömningen baseras på COBIT 6 Maturity Model som är ett ramverk för styrning av IT och innehåller fem mognadsnivåer. Bedömningen är baserat på information som erhållits i samband med intervjuer och erhållen dokumentation. I bedömningen av mognadsnivå har vi inte tagit hänsyn till arbetslöshetskassornas storlek. Beskrivning av mognadsnivåer 1 - Initierad/ad hoc Det finns bevis för att organisationen identifierat behovet av intern kontroll. Det finns inga standardiserade processer utan istället sker oplanerade kontrollaktiviteter på olika sätt från fall till fall. Den övergripande synen på ledning och styrning är otydlig. 2 - Repeterbar men intuitiv Processer är utvecklade i den utsträckningen att rutiner genomförs på samma sätt av olika personer. Ingen formell utbildning eller information finns avseende standardiserade rutiner och ansvar för efterlevnad av dessa är kopplat till individen. Det finns ett stort personberoende vilket ökar risken för fel. 3 - Definierad Rutiner har standardiserats, dokumenterats och kommunicerats genom utbildning. Det finns krav på att dessa rutiner ska följas, dock är det inte sannolikt att avvikelser upptäcks. Rutinerna är mer beskrivningar av befintligt arbetssätt än genomtänkta aktiviteter. 4 - Förvaltad och mätbar Ledningen övervakar och mäter att rutinerna följs och vidtar åtgärder när detta inte sker. Rutinerna förbättras kontinuerligt och följer god praxis. Automatisering och verktyg för hantering av intern kontroll används i begränsad utsträckning. 5 - Optimerad Rutinerna har utvecklats till en förfinad nivå av god praxis som följd av kontinuerliga förbättringar och jämförelser med andra organisationer. IT används på ett integrerat sätt för att automatisera arbetsflöden och förse verksamheten med verktyg för att förbättra kvalitet och effektivitet, vilket skapar förutsättningar för snabba anpassningar. 6 COBIT = Control Objectives for Information and Related Technology 11
12 1.5.2 Riskbedömning av iakttagelser De iakttagelser som har noterats har delats in i tre risknivåer; hög, medium och lägre risk. Dessa risknivåer har definierats enligt följande: Hög risk = Allvarlig brist i den interna kontrollen som kan få stor påverkan på effektivitet och uppfyllande av verksamhetens mål. Bör åtgärdas snarast. Medium risk = Brist i den interna kontrollen som kan påverka effektivitet och uppfyllande av verksamhetens mål. Bör åtgärdas inom 3-6 månader. Lägre risk = Brist i den interna kontrollen som i mån av tid och resurser bör åtgärdas inom 6-12 månader. 12
13 2 Resultat I detta kapitel beskrivs resultatet från granskningen. Inom varje granskningsområde presenteras arbetslöshetskassornas mognadsnivåer följt av identifierade iakttagelser på aggregerad nivå. I flera fall har iakttagelser som noterats vid intervjutillfället åtgärdats innan resultatet från granskningen presenterats i denna rapport. Kapitlet avslutas med en slutsats från granskningen. 2.1 Hantering av systemförändringar Hantering av systemförändringar avser främst arbetslöshetskassans rutiner och interna kontroller i samband med programuppdateringar i medlemssystemet. Exempel på viktiga interna kontroller är att det finns en dokumenterad rutinbeskrivning för denna process, att acceptanstester utförs och dokumenteras samt att driftsättning av nya versioner baseras på formella godkännanden från arbetslöshetskassan Arbetslöshetskassornas mognadsnivå snivå Hantering av systemförändringar Arbetslöshetskassa s-nivå 1 s-nivå 2 s-nivå 3 AEA Byggnads Elektrikernas GS Handels IF Metall Livsmedelsarbetarn Lärarnas Kommunal Pappers SEKO SHA Sveriges arbetares Transportarbetarna Unionen Totalt s-nivå 4 s-nivå 5 13
14 2.1.2 Iakttagelser hög risk Ändringshanteringsrutin saknas Vi har noterat att 13 av 15 de granskade arbetslöshetskassorna, saknar en dokumenterad och formaliserad rutin med kontrollpunkter vid hantering av programändringar. En sådan rutin bör omfatta såväl programändringar i medlemssystemet som andra system vare sig de utvecklas och driftas internt eller av tredje part. Risk föreligger att ändringar inte hanteras på ett korrekt, tydligt och konsekvent sätt. Avsaknad av formaliserad rutin för ändringshantering försvårar även möjligheten att följa och logga en ändring genom processen samt ökar risken för att icke godkända ändringar blir driftsatta. En konsekvens av detta kan vara driftstörningar, avbrott eller att verksamhetskritiska system inte fungerar i enlighet med uppsatta krav och mål. En dokumenterad och formaliserad ändringsrutin bör inkludera krav på loggning och spårbarhet samt innehålla kontrollpunkter för t ex prioritering, akuta förändringar, godkännande och test av ändringar. Acceptanstester utförs inte Vid granskningen framkom att 2 av de 15 arbetslöshetskassorna inte utför någon acceptanstestning i samband med programuppgraderingar av medlemssystemet. Utan tillräcklig testning av nya programfunktioner ökar risken för driftstörningar, avbrott eller att systemet inte fungerar i enlighet med uppsatta krav och mål. Systemdokumentation saknas alternativt är inte tillgänglig för arbetslöshetskassan Fem av de granskade arbetslöshetskassorna känner inte till om det finns systemdokumentation alternativt vet att uppdaterad systemdokumentation saknas för medlemssystemet. Systemdokumentation bör innehålla information om vad medlemssystemets olika delar består av, övergripande beskrivning av de olika delarnas uppgift samt en detaljerad systembeskrivning. Systemdokumentationen skall kunna användas av en utomstående programmerare för att förstå och kunna vidareutveckla systemet. Avsaknad av eller bristande systemdokumentation kan leda till stora driftstörningar och bristande utvecklingsmöjligheter i det fall den nuvarande utvecklaren av någon anledning skulle bli otillgänglig Iakttagelser medium risk Acceptanstester saknar dokumentation Vi har noterat att 8 av de 15 granskade arbetslöshetskassorna inte dokumenterar sina genomförda acceptanstester vid programuppdateringar i medlemssystemen. Genomförda tester bör dokumenteras med hjälp av ett standardiserat testprotokoll eller liknande dokument som skriv under av personen som har utfört testningen. Utan dokumenterade tester ökar risken 14
15 för att viktiga tester inte blir utförda vilket kan leda till minskad kännedom om systemets funktionalitet och eventuella brister. Vid ett eventuellt systemfel i en ny version kan även möjligheten till identifiering av felkällan försvåras. Formellt godkännande inför driftsättning saknas Tio av de granskade arbetslöshetskassorna saknar formellt och dokumenterat godkännande inför produktionssättning av förändringar i sina medlemssystem. Utan ett formellt godkännande av ansvarig finns risk att icke godkända produktionssättningar genomförs. Produktionsdata används vid utveckling och testning av medlemssystemen Vid 14 av 15 av de granskande arbetslöshetskassorna används produktionsdata av extern leverantör vid utveckling och testning av nya programversioner av medlemssystemet. Att använda produktionsdata med verkliga personuppgifter är inte rekommenderat enligt BITS (Av Myndigheten för samhällsskydd och beredskap, MSB, rekommenderad basnivå för informationssäkerhet ). I det fall produktionsdata, som inte har anonymiseras före användning, används för teständamål bör följande kontroller tillämpas (enligt BITS): Rutiner för styrning av åtkomst som tillämpas för produktionssystem bör också gälla vid test av sådana system Särskild behörighet bör ges varje gång produktionsdata kopieras till ett testsystem. Produktionsdata bör raderas från testsystem genast efter avslutad test. Kopiering av produktionsdata bör loggas för att få spårbarhet Iakttagelser lägre risk Inga iakttagelser noterades med lägre risk. 2.2 Filöverföringar till och från medlemssystemen Granskningen avser främst arbetslöshetskassornas interna kontroll och övervakning av de filöverföringar som sker till och från medlemssystemen. Granskningen visade att endast ett begränsat antal filöverföringar sker till och från medlemssystemen. För de arbetslöshetskassor som använder systemet ÄGA sker inga filöverföringar till eller från medlemssystemet i form av batch eller liknande satsvisa överföringar då systemen är integrerade och överföring mellan systemen sker i realtid. 15
16 Internt kommunicerar medlemssystemen med något undantag endast med OAS, där information både hämtas (information om arbetslöshet) och lämnas (uppdatering av medlemsuppgifter) via batchöverföringar. Externt sker filöverföringar främst med Bankgirocentralen för hantering av inbetalningar och för hantering av autogiro, adressuppdateringar via Spar samt att printfiler skickas i samband med avisering av medlemsavgifter Arbetslöshetskassornas mognadsnivå snivå Filöverföringar till och från medlemssystemet Arbetslöshetskassa s-nivå 1 s-nivå 2 s-nivå 3 s-nivå 4 s-nivå 5 AEA Byggnads Elektrikernas GS Handels IF Metall Livsmedelsarbetarn Lärarnas Kommunal Pappers SEKO SHA Sveriges arbetares Transportarbetarna Unionen Totalt Iakttagelser hög risk Inga iakttagelser med hög risk noterades Iakttagelser medium risk Bristfällig filöverföring till OAS Vid två av de granskade arbetslöshetskassorna leder filöverföringen från medlemssystemet till OAS, med uppdatering av medlemsuppgifter, till avvikelser vilket skapar tidskrävande manuellt merarbete i form av uppföljning och avstämning. Detta ökar risken för fel men skapar framförallt en ineffektiv hantering av arbetslöshetsförsäkringen. Genom att arbetslöshetskassorna tillsammans med systemutvecklare och driftleverantör genomför en utredning av problemen vid filöverföringen till OAS bör felen i denna hantering kunna minimeras. 16
17 2.2.4 Iakttagelser lägre risk Inga iakttagelser med låg risk noterades. 2.3 Behörighetshantering Granskningen av behörighetshantering avser främst rutiner och interna kontroller för styrning av behörigheter och administration av behörighetsförändringar. Exempel på viktiga interna kontroller är att det finns en dokumenterad rutin för styrning och administration av behörigheter, att det sker regelbundna uppföljningar av befintliga behörigheter, att systembehörigheter är begränsade till dem som behöver dessa för att utföra sina arbetsuppgifter samt att tillämpliga lagar avseende personuppgifter och sekretess efterlevs Arbetslöshetskassornas mognadsnivå snivå Behörighetshantering Arbetslöshetskassa s-nivå 1 s-nivå 2 s-nivå 3 s-nivå 4 s-nivå 5 AEA Byggnads Elektrikernas GS Handels IF Metall Livsmedelsarbetarn Lärarnas Kommunal Pappers SEKO SHA Sveriges arbetares Transportarbetarna Unionen Totalt Iakttagelser hög risk Formell behörighetsrutin saknas Vi har noterat att 7 av de 15 granskade arbetslöshetskassorna saknar en formellt godkänd och dokumenterad rutin för hantering av behörigheter i medlemssystemen. Ett antal arbetslöshetskassor använder en standardiserad behörighetsblankett, men saknar en beskrivning av rutinen för behörighetshantering. Utan en dokumenterad rutin, som är formellt godkänd av ansvarig chef, ökar risken för att tilldelning eller borttagning av 17
18 behörigheter inte sker och inte heller dokumenteras på ett korrekt, godkänt och standardiserat sätt. Gemensamt gruppkonto används för inloggning till medlemssystemet Vi har noterat att det förekommer gruppkonton i medlemssystemen, dvs. användarkonton som inte är unika för varje specifik användare. Detta förekom hos 3 av 15 granskade arbetslöshetskassor. I de flesta fall handlande det om konton som används av driftleverantören. Det föreligger en risk för att det i efterhand inte går att utröna vem som utfört aktiviteter i systemet då flera individer kan ha använt samma användarkonto. Vissa gruppkonton krävs för att t ex genomföra batchkörningar. Denna typ av systemkonton skall dock inte kunna utnyttjas av en användare för inloggning till systemet. Bristande dualitet Vi har noterat att sex av de granskade arbetslöshetskassorna har personal med både registrerings- och ändringsrättigheter i medlemssystemet samt ändringsrättigheter i OAS för generering av utbetalningar. Dessa behörigheter i kombination ökar risken för oegentligheter som kan genomföras av en enskild medarbetare. Avsaknad av unika lösenord Tre av de granskade arbetslöshetskassorna kräver inte unika lösenord för inloggning till medlemssystemet. Lösenord som är allmänt kända i organisationen ökar risken för att medarbetare olovligen utnyttjar andra medarbetares användarkonton för att utföra oegentligheter. Anställda vid arbetslöshetskassan har inte skrivit under sekretessförbindelse Vid två av de granskade arbetslöshetskassorna har medarbetarna inte skrivit under någon form av sekretess- eller tystnadspliktsförbindelse. Utan interna avtal med de anställda minskar arbetslöshetskassans rätt att ställa krav på sekretess och tystnadsplikt för hantering av arbetslöshetskassans information, däribland känsliga medlemsuppgifter Iakttagelser medium risk Uppföljning av behörigheter utförs inte alternativt dokumenteras inte Vi har noterat att det hos 8 av 15 arbetslöshetskassorna inte genomförs en regelbunden granskning av redan utdelade behörigheter i medlemssystemet alternativt att sådana inte dokumenteras. Utan en regelbunden kontroll, åtminstone två gånger per år, av redan utdelade behörigheter finns en risk för att användare som har slutat eller bytt arbetsuppgifter fortfarande har åtkomst till systemet. 18
19 Onödigt höga behörigheter Vi har noterat att tre av de granskade arbetslöshetskassorna har onödigt många användare med höga behörigheter i medlemssystemet. Orsaken till detta är enligt arbetslöshetskassorna dels att behörighetsnivåerna i systemet är för få och dels att arbetslöshetskassan vill ha backup i det fall de som normalt jobbar i medlemssystemet inte skulle vara tillgängliga. Ett stort antal individer med höga behörigheter innebär en ökad risk för felaktigheter eller avsiktligt missbruk. Vid sjukdom och annan frånvaro bör rutiner finnas för att tillfälligt tilldela nödvändiga behörigheter. Lösenordskrav saknas i systemet Vid tio av arbetslöshetskassorna finns inga krav på lösenordsbyte, antal tecken eller komplexitet för lösenorden i medlemssystemen. Det finns inte heller någon automatisk låsning av användarkontot vid flera misslyckade inloggningsförsök. Vid bristande lösenordskrav föreligger en risk att lösenordet blir känt och obehöriga användare kan få tillgång till system och känslig information. I de fall starka lösenordskrav finns vid inloggning till arbetslöshetskassans nätverk begränsas risken för oegentligheter. Riktlinjer för PuL och andra lagar saknas Tio av de granskade arbetslöshetskassorna saknar dokumenterade riktlinjer eller rutiner för sina medarbetare avseende efterlevnad av Personuppgiftslagen (PuL) och andra lagar såsom sekretess- och offentlighetslagen. Utan kommunicerade riktlinjer och rutiner för hantering av känsliga uppgifter ökar risken för att sekretessbelagd medlemsinformation hamnar i orätta händer. Fackförbundets och arbetslöshetskassans medlemmar hanteras inte åtskiljt i medlemssystemet Vi har noterat att fackförbundets medlemmar och arbetslöshetskassans medlemmar inte hanteras åtskiljt i medlemssystemet för fem av arbetslöshetskassorna. Fackförbundets anställda har därmed möjlighet att se arbetslöshetskassans medlemsuppgifter. I de fall uppgifterna behöver återfinnas i samma databas bör åtkomsten särskiljas så att fackförbundsanställda inte har någon form av läsrättighet till arbetslöshetskassans medlemsregister. Att kassan inte kan styra och begränsa åtkomsten till medlemsuppgifterna på ett tillfredsställande sätt kan innebära en behandling i strid med PuL Iakttagelser lägre risk Avslutsdatum går inte att lägga in systemet för tillfälligt anställda För tre av de granskade arbetslöshetskassorna går det inte att lägga in tidsbegränsade behörigheter för tillfälligt anställda. För konsulter och tillfälligt anställda är risken större att behörigheter inte tas bort vid avslutad tjänst då denna hantering ofta inte är en del av normala rutiner. Ett sätt att undvika 19
20 denna risk är att registrera behörigheter med avslutsdatum i systemet. 2.4 Driftsäkerhet, reservrutiner och backuprutiner Inom området driftsäkerhet, reservrutiner och backuprutiner har vi framförallt granskat arbetslöshetskassornas interna kontroll och säkerhet i driften av medlemssystemet. Detta omfattar exempelvis rutiner och kontroller för att säkerställa att informationen i medlemssystemet är tillgänglig vid behov samt att arbetslöshetskassan kan fortsätta sin verksamhet i händelse av ett längre driftavbrott där IT-system inte är tillgängliga. Tre av de arbetslöshetskassor som granskades har egen drift av medlemssystemet. Utav de övriga tolv har fem eget avtal med driftleverantören och för de resterande sju är det arbetslöshetskassans fackförbund som har avtal med driftleverantören. I de fall där fackförbundet har avtalet med driftleverantören är det endast i vissa fall som det finns ett avtal mellan fackförbundet och arbetslöshetskassan Arbetslöshetskassornas mognadsnivå snivå Driftsäkerhet, reservrutiner och backuprutiner Arbetslöshetskassa s-nivå 1 s-nivå 2 s-nivå 3 s-nivå 4 s-nivå 5 AEA Byggnads Elektrikernas GS Handels IF Metall Livsmedelsarbetarn Lärarnas Kommunal Pappers SEKO SHA Sveriges arbetares Transportarbetarna Unionen Totalt
21 2.4.2 Iakttagelser hög risk Formell kontinuitetsplan saknas För 11 av de 15 granskade arbetslöshetskassorna, det vill säga 73 procent, saknas en formellt beslutad kontinuitetsplan för hur verksamheten skall fortlöpa i händelse av ett längre driftavbrott eller annan typ av katastrofsituation där ordinarie IT-miljö och/eller arbetsplats inte är tillgänglig. Syftet med en kontinuitetsplan är att motverka avbrott i organisationens verksamhet och att skydda kritiska verksamhetsprocesser från verkningarna av allvarliga fel i informationssystem eller katastrofer samt att säkra återstart inom rimlig tid. Planen bör inkludera specifika krav för återskapande av systemen inom definierade tidsramar. Kontinuitetsplanering är ett basnivåkrav enligt BITS-standarden. Utan en uppdaterad katastrof/kontinuitetsplan för affärskritisk verksamhet saknas en beredskap och medvetenhet inom organisationen för hur en större incident skall hanteras i syfte att fortsätta med verksamheten. Driftavtal saknas 33 procent av de granskade arbetslöshetskassorna med extern drift saknar ett giltigt avtal för denna drift. Vid vissa av dessa arbetslöshetskassor har fackförbundet ett avtal med driftleverantören, dock saknas då ett avtal mellan arbetslöshetskassan och fackförbundet. Dessa arbetslöshetskassor har därmed inga avtalade krav på medlemssystemets tillgänglighet, övervakning, patchhantering 7, support eller säkerhetskopiering (backuper). Detta innebär en ökad risk för väsentliga driftstörningar och förlust av information. För de flesta av dessa arbetslöshetskassor pågick vid tidpunkten för granskningen ett arbete för att upprätta driftavtal. Bristande kravställning i driftavtal Hantering av arbetslöshetsersättning är en samhällsviktig verksamhet. Detta innebär att driften av medlemssystemet bör följa basnivåkrav för informationssäkerhet (BITS). Dessa basnivåkrav finns även dokumenterade i den informationssäkerhetshandbok som distribuerats av SO till samtliga arbetslöshetskassor. Vi har dock noterat att 38 procent av arbetslöshetskassorna som har formaliserade externa driftavtal inte ställt krav på sina driftleverantörer som motsvarar dessa basnivåkrav. Exempel på områden som i flera avtal saknar kravställning är katastrofplaner, återläsningstester av backuper och patchhantering. Utan tillräckliga krav på informationssäkerhet finns risk att känslig information inte hanteras på ett tillbörligt sätt, vilket kan innebära risker för systemets tillgänglighet, integritet och sekretess. 7 Hantering av mindre systemuppdateringar i produktionsmiljö 21
22 2.4.3 Iakttagelser medium risk Återläsningstester av backuper utförs inte av arbetslöshetskassor med egen drift Ingen av de arbetslöshetskassorna som har egen systemdrift utför regelbundna återläsningstester av backuper. Om test av säkerhetskopior genom återläsning inte sker regelbundet ökar risken att återskapandet av data efter exempelvis en serverkrasch eller annan incident inte fungerar tillfredsställande i skarpt läge. Med regelbundenhet avses här 1-2 tillfällen per år. Avsaknad av patchuppdateringar för arbetslöshetskassor med egen drift Vi har noterat att 33 procent av de granskade arbetslöshetskassorna med egen drift inte utför regelbundna patchuppdateringar i driftmiljön (operativsystemet) för medlemssystemet. Nya uppdateringar i form av programfixar eller patchar, utvecklas kontinuerligt av systemleverantören. Dessa uppdateringar syftar till att rätta till identifierade felaktigheter i mjukvara, som kan utnyttjas för att få obehörig åtkomst eller orsaka störningar. Om uppdateringarna inte installeras löpande så finns en risk att felaktigheterna kan utnyttjas av obehöriga. Vidare är de flesta felaktigheterna allmänt kända, vilket ytterligare påvisar behovet av kontinuerlig hantering Iakttagelser lägre risk Inga iakttagelser med lägre risk noterades. 22
23 3 Analys av resultat I följande kapitel analyseras iakttagelserna uppdelade utifrån de områden som granskats. Systemförändringar Inom området systemförändringar är de allvarligaste iakttagelserna att dokumenterade rutiner för hantering av systemförändringar saknas, att acceptanstester inte utförs vid systemförändringar samt att systemdokumentation är bristfällig eller saknas. För medlemssystemet Melos hanteras en stor del av förändringsarbetet av Arbetslöshetskassornas Samorganisation, SO, vilket ökar både kvalitet och spårbarhet i hanteringen. Vi bedömer att SO har en viktig roll i att successivt arbeta för att förbättra rutiner och kontroller i samband med systemförändringar. SO är central systemägare för Melos medan kassaföreståndarna på respektive arbetslöshetskassa är lokala systemägare. Filöverföringar Vi har under granskningen inte noterat några allvarliga iakttagelser i samband med medlemssystemens filöverföringar till och från andra system. I de allra flesta fall bedöms detta fungera problemfritt, trots att arbetslöshetskassorna generellt saknar dokumenterade rutiner för övervakning av filöverföringarna. Risken för väsentliga fel bedöms som relativt liten. Behörighetshantering Iakttagelser med hög risk inom hantering av behörigheter omfattar avsaknad av dokumenterad rutin för administration av behörigheter, användning av gemensamma gruppkonton för inloggning till medlemssystemet, bristande dualitet i form av att samma personer både kan ändra medlemsuppgifter och generera utbetalningar, avsaknad av unika lösenord samt avsaknad av sekretessförbindelse för de anställda på arbetslöshetskassan. Hanteringen av behörigheter sker i många fall relativt informellt. Det framgår tydligt att möjligheten att upprätthålla formaliserade rutiner och en hög nivå av informationssäkerhet är enklare för arbetslöshetskassor med många medlemmar. Samtidigt är risken större att fel behörighet tilldelas en anställd i en arbetslöshetskassa med över hundra anställda jämfört med en arbetslöshetskassa där antalet anställda understiger tio personer. Informationssäkerhet och skydd av personuppgifter bör dock inte vara avhängigt vilken arbetslöshetskassa man är medlem i. Vid upprätthållande av dualitet i hanteringen av arbetslöshetsförsäkringen eftersträvas att hanteringen av medlemsuppgifter såsom tidpunkt för in- och utträde inte skall kunna utföras av samma personer som hanterar försäkringsärenden och utbetalningar i OAS-systemet. 23
24 Driftsäkerhet, reservrutiner och backuprutiner Inom området driftsäkerhet och reservrutiner har tre iakttagelser med hög risk noterats. Dessa är avsaknad av formellt dokumenterad kontinuitetsplan, avsaknad av driftavtal och bristande kravställning i driftavtal. Även om drift av medlemssystemet och andra system är utkontrakterade till extern part är det viktigt att arbetslöshetskassorna utvärderar sina risker och definierar krav på informationssäkerhet i sina avtal med driftleverantörerna. Oavsett om arbetslöshetskassan hanterar driften internt eller externt är det även viktigt att rutiner för fortsatt verksamhet i händelse av ett längre driftsstopp definieras i en kontinuitetsplan. 24
25 4 Slutdiskussion Följande tabell visar en sammanställning av mognadsnivå per granskningsområde för de 15 arbetslöshetskassor som har granskats. Område s -nivå 1 s -nivå 2 s -nivå 3 s -nivå 4 s -nivå 5 Systemförändringar Filöverföringar Behörighetshanteri ng Driftsäkerhet och reservrutiner Arbetslöshetskassornas mognadsgrad varierar, men generellt har arbetslöshetskassorna vid granskningstillfället en mognadsnivå som innebär att det finns rutiner för genomförande av interna kontroller. Rutinerna är dock sällan tillräckligt formellt dokumenterade och kontrollerna saknar ofta spårbarhet. För att uppnå miniminivån för informationssäkerhet enligt BITS bör mognadsnivån motsvara nivå tre. Vid en sammanställning av granskningens resultat kan IAF se att arbetslöshetskassorna generellt sett uppnår mognadsnivå två. Även om dessa två skalor inte är direkt jämförbara visar resultatet på ett behov av ett fortsatt utvecklingsarbete för att arbetslöshetskassorna ska uppnå en god informationssäkerhet i medlemssystemen. Identifierade iakttagelser sammanfattas i följande tabell: Område/Risknivå Hög Medium Lägre Systemförändringar Filöverföringar Behörighetshantering Driftsäkerhet och reservrutiner Totalt Totalt noterades elva iakttagelser med hög risk hos en eller flera av de granskade arbetslöshetskassorna. Dessa är: - Rutin för hantering av systemförändringar saknas - Acceptanstester utförs inte vid systemförändringar 25
26 - Systemdokumentation saknas eller är inte tillgänglig - Formellt dokumenterad behörighetsrutin saknas - Gemensamt gruppkonto finns utan individuell spårbarhet - Bristande dualitet i åtkomst till medlemssystemet och OAS - Avsaknad av unika lösenord för inloggning - Anställda har inte skrivit på sekretessförbindelse - Formellt beslutad kontinuitetsplan saknas - Avtal saknas för drift av medlemssystemet - Bristande kravställning i driftavtal IAF vill poängtera att det pågår en mängd förbättringsaktiviteter avseende informationssäkerheten på arbetslöshetskassorna. Under granskningens genomförande har det framgått tydligt att medvetenheten kring risker inom området informationssäkerhet blir allt högre. Samtliga arbetslöshetskassor som har ingått i granskningen har tagit del av rapporten och har haft möjlighet att lämna synpunkter på granskningsresultatet och de kassaspecifika brister som iakttogs i granskningen. Arbetslöshetskassornas svar bekräftar att det pågår ett utvecklingsarbete gällande informationssäkerheten i IT-systemen. Sedan granskningen, som genomfördes hösten 2009, har arbetslöshetskassorna åtgärdat flera av de brister som iakttogs. Mot bakgrund av det är arbetslöshetskassornas mognadsnivå sannolikt högre idag än vid tillfället för granskningen. Flera av de granskade arbetslöshetskassorna som har egna medlemssystem har antingen beslutat eller funderar på att byta till ett större medlemssystem, i de flesta fall till FAS3 eller Melos. Dessa har lyft fram detta som en orsak till att de inte har åtgärdat kända brister i befintliga medlemssystem. IAF har i 2010 år regleringsbrev fått i uppdrag att följa upp arbetslöshetskassornas arbete med informationssäkerheten i IT-systemen. 26
IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina
1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,
Läs merFinansieringen av arbetslöshetsförsäkringen
2013:2 Finansieringen av arbetslöshetsförsäkringen Uppföljning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2012/770 Finansieringen av arbetslöshetsförsäkringen Uppföljning
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.
Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice
Läs merRevision av den interna kontrollen kring uppbördssystemet REX
1 Revision av den interna kontrollen kring uppbördssystemet REX 1 Inledning Riksrevisionen har som ett led i den årliga revisionen 2012 av Kronofogdemyndigheten (KFM) granskat den interna kontrollen kring
Läs merUnderlag avseende bidrag till arbetslöshetskassor
2015:15 Underlag avseende bidrag till arbetslöshetskassor Rapport till regeringen enligt IAF:s regleringsbrev för 2015 Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2015/39 Regeringen
Läs merArbetslöshetskassornas styrelsemöten sammanställning av IAF:s enkät
Fakta om arbetslöshetsförsäkringen 2012:2 Arbetslöshetskassornas styrelsemöten sammanställning av IAF:s enkät Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2012/219 Arbetslöshetskassornas
Läs merArbetslöshetskassornas beslutsordningar
2007-07-09 Dnr 2007/738 2007:12 Arbetslöshetskassornas beslutsordningar Rättelseblad 2007-11-05, tillhörande rapport 2007:12 Arbetslöshetskassornas beslutsordningar Sjätte meningen i första stycket sidan
Läs merRevisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018
SKATTEVERKET 171 94 SOLNA Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018 Som en del av arbetet med att granska Skatteverkets årsredovisning 2018 har
Läs merGranskning av arbetslöshetskassornas årsredovisningar Rapport 2017:14
Granskning av arbetslöshetskassornas årsredovisningar 2016 Rapport 2017:14 Om IAF IAF har regeringens och riksdagens uppdrag att verka för att arbetslöshetsförsäkringen ska fungera som en omställningsförsäkring.
Läs merGranskning av generella IT-kontroller för ett urval system vid Skatteverket 2017
SKATTEVERKET 171 94 SOLNA Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017 Som ett led i granskningen av årsredovisningen med syfte att göra uttalanden om denna har Riksrevisionen
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.
Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen
Läs merGenomströmningstider för utbetald arbetslöshetsersättning 2013
2014:5 Genomströmningstider för utbetald arbetslöshetsersättning 2013 Rapport till regeringen enligt IAF:s regleringsbrev för 2013 Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2014/28
Läs merArbetslöshetskassornas system och rutiner för internkontroll samt informationssäkerhet
2010-10-29 Dnr 2010/80 T3 2010:24 Arbetslöshetskassornas system och rutiner för internkontroll samt informationssäkerhet Uppföljning till regeringen 2 Regeringen har i regleringsbrev för 2010 givit Inspektionen
Läs merArbetslöshetskassorna och systematisk internkontroll
2009-12-01 Dnr 2009/260 MO 2009:15 Arbetslöshetskassorna och systematisk internkontroll IAF:s redovisning av regeringsuppdraget att granska arbetslöshetskassornas system och rutiner för internkontroll
Läs merGranskning av arbetslöshetskassornas årsredovisningar Rapport 2018:12
Granskning av arbetslöshetskassornas årsredovisningar 2017 Rapport 2018:12 Om IAF IAF har regeringens och riksdagens uppdrag att verka för att arbetslöshetsförsäkringen ska fungera som en omställningsförsäkring.
Läs merTillsyn enligt personuppgiftslagen (1998:204) Arbetslöshetskassornas samorganisation (SO)
Datum Diarienr 2013-04-17 1822-2012 Arbetslöshetskassornas samorganisation, SO Box 1110 111 81 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Arbetslöshetskassornas samorganisation (SO) Datainspektionens
Läs merRevisionsrapport. IT-revision Solna Stad ecompanion
Revisionsrapport IT-revision 2013 Solna Stad ecompanion Fredrik Dreimanis November 2013 Innehållsförteckning Inledning... 3 Avgränsning.3 Granskningens omfattning... 4 Sammanfattning... 5 Observationer
Läs merGranskning av generella IT-kontroller för ett urval system vid Skatteverket
SKATTEVERKET 171 94 SOLNA Granskning av generella IT-kontroller för ett urval system vid Skatteverket Som ett led i granskningen av årsredovisningen med syfte att göra uttalanden om denna har Riksrevisionen
Läs merIT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group
IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf
Läs mer3 Metod och genomförande
PM 1 (5) 2011:11 Breddad och fördjupad ekonomigranskning av arbetslöshetskassorna 2010 Sammanfattning Under 2010 och början av 2011 granskades tretton arbetslöshetskassor som ett led i den fortsatta breddade
Läs merÅterrapportering av regeringsuppdrag Underlag avseende bidrag till arbetslöshetskassor
Återrapportering av regeringsuppdrag Underlag avseende bidrag till arbetslöshetskassor I enlighet med Uppdrag att inkomma med underlag avseende bidrag till arbetslöshetskassor enligt 93 a lagen (1997:239)
Läs merGranskning av generella IT-kontroller för PLSsystemet
F Ö R S V A R E T S M A T E R I E LV E R K (F M V ) 115 88 S T O C K HO LM Försvarets materielverk (FMV) Granskning av generella IT-kontroller för PLSsystemet vid Försvarets materielverk (FMV) Som ett
Läs merUppföljningsrapport IT-generella kontroller 2015
Revisionsrapport Uppföljningsrapport IT-generella kontroller 2015 Uppsala kommun Gustaf Gambe Frida Ilander 15 september 2015 1 av 17 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning...
Läs merUnderlag avseende bidrag till arbetslöshetskassor. Rapport 2017:10
Underlag avseende bidrag till arbetslöshetskassor Rapport 2017:10 Om IAF IAF har regeringens och riksdagens uppdrag att verka för att arbetslöshetsförsäkringen ska fungera som en omställningsförsäkring.
Läs merUnderlag avseende bidrag till arbetslöshetskassor
2016:16 Underlag avseende bidrag till arbetslöshetskassor Rapport till regeringen enligt IAF:s regleringsbrev för 2016 Regeringen Arbetsmarknadsdepartementet 103 33 STOCKHOLM Underlag avseende bidrag till
Läs merUnderlag för bidrag till arbetslöshetskassor. Rapport 2019:6
Underlag för bidrag till arbetslöshetskassor Rapport 2019:6 Om IAF IAF har regeringens och riksdagens uppdrag att verka för att arbetslöshetsförsäkringen ska fungera som en omställningsförsäkring. Vi har
Läs merInspektion av arkivvården vid Fastighets arbetslöshetskassa den 11 mars 2014
1 (5) Inspektion av arkivvården vid Fastighets arbetslöshetskassa den 11 mars 2014 Närvarande Från Fastighets arbetslöshetskassa: kassaföreståndare it-ansvarig Från Riksarkivet: Angelica Björlestrand,
Läs merIT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert
Läs merIT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning
Läs merBara en av tio heltidare får 80 procent
Bara en av tio heltidare får 80 procent En stor majoritet av alla arbetslösa är underförsäkrade. Endast 13 procent av heltidarna får 80 procent av sin tidigare inkomst. Inkomstskyddet vid arbetslöshet
Läs merAnmälan hos Arbetsförmedlingen via e-tjänst, telebild eller telefon
2011-02-07 Dnr 2010/595 2011:1 Anmälan hos Arbetsförmedlingen via e-tjänst, telebild eller telefon Uppföljning av Arbetsförmedlingens tillämpning av IAFFS 2009:4 2 IAF är förvaltningsmyndighet för tillsynen
Läs merMyndighetsutövning i arbetslöshetskassornas handläggning av medlems- och ersättningsärenden
2014:20 Myndighetsutövning i arbetslöshetskassornas handläggning av medlems- och ersättningsärenden Kartläggning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2013/513
Läs merArbetslöshetskassornas administrationskostnader
2016:27 Arbetslöshetskassornas administrationskostnader Rapport initierad av IAF Arbetslöshetskassornas administrationskostnader Rapport initierad av IAF Inspektionen för arbetslöshetsförsäkringen (IAF)
Läs merAMS utbetalning av statsbidrag till arbetslöshetskassorna
Dnr. 2005/2041 2005-10-31 AMS utbetalning av statsbidrag till arbetslöshetskassorna 2 Arbetsmarknadsstyrelsens (AMS) utbetalning av statsbidrag till arbetslöshetskassorna I regleringsbrevet för 2005 har
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet
Revisionsrapport Karolinska institutet 171 77 Stockholm Datum Dnr 2011-02-01 32-2010-0715 Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet 2010 Riksrevisionen
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.
Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan
Läs merUppföljningsrapport IT-revision 2013
Revisionsrapport Uppföljningsrapport IT-revision 2013 Solna Stad Raindance Fredrik Dreimanis November 2013 1 av 10 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning... 5
Läs merÖvergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun
Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.
Läs merArbetslöshetsförsäkringen i siffror Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen
Arbetslöshetsförsäkringen i siffror 2016 Antalet personer som fått arbetslöshetsersättning 1999-2016 800 000 700 000 600 000 500 000 400 000 300 000 200 000 100 000 0 1999 2000 2001 2002 2003 2004 2005
Läs merInformationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57
1 (5) Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige 2018-05-07, 57 Postadress Besöksadress Telefon Internet och fax Giro och org.nr Sunne kommun Verksamhetsstöd
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.
Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010
Läs merRiktlinje för informationssäkerhet
Bilaga 2 Dokumentansvarig: Chef Samhällsskydd och Beredskap Upprättad av: Informationssäkerhetschef Beslutad av: Kommunfullmäktige Gäller för: Anställda och förtroendevalda i Göteborgs Stads förvaltningar,
Läs merRegion Skåne Granskning av IT-kontroller
Region Skåne Granskning av IT-kontroller Per Stomberg Niklas Westerlund Deloitte AB Januari 2016 2 Innehållsförteckning 1. Sammanfattning... 3 2. Inledning... 4 2.1 Bakgrund och syfte... 4 2.2 Revisionskriterier...
Läs merDNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen
TJÄNSTESKRIVELSE Datum DNR: KS2016/918/01 2018-03-07 1 (1) Kommunstyrelsen Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Förslag till beslut Förslaget till Informationssäkerhetspolicy för
Läs mer2010-03-17 Dnr 2009/1269 T0 2010:1. E-förvaltning. Kartläggning av Internetkassan och arbetslöshetskassornas webbplatser
2010-03-17 Dnr 2009/1269 T0 2010:1 E-förvaltning Kartläggning av Internetkassan och arbetslöshetskassornas webbplatser 2 IAF är förvaltningsmyndighet för tillsynen över arbetslöshetsförsäkringen och utövar
Läs merGenomströmningstider grundbelopp - tiden från arbetslöshet till första utbetalningen från arbetslöshetskassan
Genomströmningstider grundbelopp - tiden från arbetslöshet till första utbetalningen från arbetslöshetskassan Samtliga kassor mar-10 feb-10 mar-09 SKTF:s SEKO Akademikernas Lärarnas Ledarnas Transportarbetarnas
Läs merHantering av uteslutning och frånkännande
Hantering av uteslutning och frånkännande Uppföljning av rapport 2016:20 Rapport 2018:3 Om IAF IAF har regeringens och riksdagens uppdrag att verka för att arbetslöshetsförsäkringen ska fungera som en
Läs merGranskning av arbetslöshetskassornas årsredovisningar 2011
2012:13 Granskning av arbetslöshetskassornas årsredovisningar 2011 Granskning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2012/70 Granskning av arbetslöshetskassornas
Läs merEkonomigranskning 2011
2012:5 Ekonomigranskning 2011 Granskning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2011/920 Ekonomigranskning 2011 Granskning initierad av IAF Inspektionen för arbetslöshetsförsäkringen
Läs merSollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017
Sollentuna kommun Generella IT kontroller Visma Affärslösningar Detaljerade observationer och rekommendationer November 2017 Fredrik Dreimanis Johan Jelbring Jesper Östling Innehållsförteckning Sammanfattning
Läs merIAF:s granskning av företagarärenden: Svensk handels och arbetsgivarnas arbetslöshetskassa
PM 2010-06-14 1 (3) Dnr 2010/43 2010:10 IAF:s granskning av företagarärenden: Svensk handels och arbetsgivarnas arbetslöshetskassa Sammanfattning Den 15-16 februari 2010 utfördes en ärendegranskning på
Läs merInformationssäkerhetspolicy för Ånge kommun
INFORMATIONSSÄKERHETSPOLICY 1 (10) Informationssäkerhetspolicy för Ånge kommun Denna informationssäkerhetspolicy anger hur Ånge kommun arbetar med informationssäkerhet och uttrycker kommunens stöd för
Läs merTyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017
Tyresö kommun Generella IT kontroller Economa och Heroma Detaljerade observationer och rekommendationer Juni 2017 Fredrik Dreimanis Johan Jelbring Tina Emami Innehållsförteckning Sammanfattning av granskningen...
Läs merTillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister
Datum Diarienr 2014-03-31 1288-2013 Vänsterpartiet Box 12660 112 93 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datainspektionens beslut
Läs merInformationssäkerhetspolicy för Ystads kommun F 17:01
KS 2017/147 2017.2189 2017-06-29 Informationssäkerhetspolicy för Ystads kommun F 17:01 Dokumentet gäller för: Ystads kommuns nämnder, kommunala bolag och kommunala förbund Gäller fr.o.m. - t.o.m. 2017-08-01-tillsvidare
Läs merInternt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)
Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning
Läs merArbetslöshetskassornas verkställighet av domar
PM 1 (7) 2010:6 Arbetslöshetskassornas verkställighet av domar Sammanfattning Inspektionen för arbetslöshetsförsäkringen (IAF) har som ett särskilt uppdrag beslutat att göra en begränsad kartläggning över
Läs merFörstagångsprövade företagarärenden vid Hotelloch restauranganställdas arbetslöshetskassa
2014:29 Förstagångsprövade företagarärenden vid Hotelloch restauranganställdas arbetslöshetskassa Granskning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2014/362 4.1
Läs mer1(6) Informationssäkerhetspolicy. Styrdokument
1(6) Styrdokument 2(6) Styrdokument Dokumenttyp Policy Beslutad av Kommunfullmäktige 2017-05-17 73 Dokumentansvarig IT-chef Reviderad av 3(6) Innehållsförteckning 1 Inledning...4 1.1 Begreppsförklaring...4
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688
Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led
Läs merArbetslöshetskassornas eget kapital och finansiella placeringar
2013:3 Arbetslöshetskassornas eget kapital och finansiella placeringar Kartläggning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2012/673 Arbetslöshetskassornas eget
Läs merRevisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket 171 94 Solna. Datum Dnr 2012-02-03 32-2011-0544
Revisionsrapport Skatteverket 171 94 Solna Datum Dnr 2012-02-03 32-2011-0544 Revision av uppbördsprocessen Moms 1 Inledning Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat
Läs merIT-säkerhet Externt och internt intrångstest
Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.
Revisionsrapport Kungl. Musikhögskolan i Stockholm Box 27711 115 91 Stockholm Datum Dnr 2011-03-08 32-2010-0733 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan
Läs merHur säkerställs att personer med arbetslöshetsersättning inte samtidigt får ersättning från socialförsäkringen?
2012:14 Hur säkerställs att personer med arbetslöshetsersättning inte samtidigt får ersättning från socialförsäkringen? Rapport till regeringen enligt IAF:s regleringsbrev för 2012 Rättssäkerhet och effektivitet
Läs merRiktlinjer för IT-säkerhet i Halmstads kommun
Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4
Läs merGranskning av arbetslöshetskassornas årsredovisningar 2015
2016:26 Granskning av arbetslöshetskassornas årsredovisningar 2015 Granskning initierad av IAF Dnr: 2016/55 Granskning av arbetslöshetskassornas årsredovisningar 2015 Granskning initierad av IAF Inspektionen
Läs merOmprövning av utträde vid bristande betalning
2016:22 Omprövning av utträde vid bristande betalning Uppföljning initierad av IAF Dnr: 2016/88 Samtliga arbetslöshetskassor Arbetslöshetskassornas samorganisation Omprövning av utträde vid bristande betalning
Läs merIT-verksamheten - en uppföljning av tidigare granskning
www.pwc.se Revisionsrapport Quentin Authelet Joakim Hermansson IT-verksamheten - en uppföljning av tidigare granskning Region Gotland IT-verksamheten - en uppföljning av tidigare granskning 2016-04-11
Läs merFörstagångsprövade företagarärenden vid Kommunalarbetarnas arbetslöshetskassa
2014:30 Förstagångsprövade företagarärenden vid Kommunalarbetarnas arbetslöshetskassa Granskning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2014/253 4.1 Kommunalarbetarnas
Läs merVästerås stad. Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning
Revisionsrapport 2016:5 Genomförd på uppdrag av Västerås stads revisorer 18 oktober 2016 Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning Västerås stad Innehållsförteckning 1
Läs merTillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister
Datum Diarienr 2014-03-31 1293-2013 Kristdemokraterna Box 2373 103 18 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister Datainspektionens
Läs merSDN Majorna/Linné Rapport granskning av IT-systemet Treserva, modulen för funktionshinder. December 2014
SDN Majorna/Linné Rapport granskning av IT-systemet Treserva, modulen för funktionshinder December 2014 Innehållsförteckning 1 Sammanfattning...3 2 Bakgrund...6 3 Syfte...7 4 Revisionsfrågor...7 5 Avgränsning...
Läs merVetenskapsrådets informationssäkerhetspolicy
Vetenskapsrådets informationssäkerhetspolicy 1 (6) Ändringshistorik Datum Version Beskrivning av ändring Vem 2014-01-07 PA1 Initial version Torulf Lind 2014-01-07 PA2 Uppdatering roller Torulf Lind 2014-01-17
Läs merArbetslöshetskassornas hantering av vilande företag och företag utan verksamhet
2014:3 Arbetslöshetskassornas hantering av vilande företag och företag utan verksamhet Kartläggning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2013/328 4.1 Samtliga
Läs merArbetslöshetskassan Alfa Granskning av ekonomi. Rapport 2017:13
Arbetslöshetskassan Alfa Granskning av ekonomi Rapport 2017:13 Om IAF IAF har regeringens och riksdagens uppdrag att verka för att arbetslöshetsförsäkringen ska fungera som en omställningsförsäkring. Vi
Läs merEkonomigranskning 2015
2015:32 Ekonomigranskning 2015 Granskning initierad av IAF Ekonomigranskning 2015 Granskning initierad av IAF Inspektionen för arbetslöshetsförsäkringen (IAF) har granskat arbetslöshetskassornas årsredovisningar
Läs merVäxjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:
www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet avseende externt och internt dataintrång Informationssäkerhetsspecialister: Viktor Bergvall Linus Owman Certifierad kommunal revisor: Lena
Läs merIT-säkerhetsinstruktion Förvaltning
IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se
Läs merBilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet
Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar
Läs merÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning
ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation
Läs merIT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda
IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk
Läs merInformationssäkerhetspolicy
2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan
Läs merDatum 2014-04-11. Kommunrevisionen: Granskning av generalla IT-kontroller 2013
ta,xj -Zoty-OG-I^ Uppsala "KOMMUN A retat. 4-5 KONTORET FÖR BARN, UNGDOM OCH ARBETSMARKNAD Handläggare Wicks Elaine Datum 2014-04-11 Diarienummer BUN-2014-0631 Barn och ungdomsnämnden Kommunrevisionen:
Läs merHantering av behörigheter och roller
Dnr UFV 2018/1170 Hantering av behörigheter och roller Rutiner för informationssäkerhet Fastställda av Säkerhetschefen 2018-08-14 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering
Läs merIT- och informationssäkerhet
www.pwc.se Revisionsrapport IT- och informationssäkerhet Robert Bergman Revisionskonsult December 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte och Revisionsfråga...
Läs merGöteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012
Göteborg Energi AB Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte 18 december 2012 1 Sammanfattning Med start hösten 2010 har Deloitte, Ernst & Young och PwC på uppdrag av Göteborgs
Läs merIAF:s granskning av företagarärenden: Handelsanställdas arbetslöshetskassa
PM 2010-09-15 1 (3) Dnr 2010/537 2010:18 IAF:s granskning av företagarärenden: Handelsanställdas arbetslöshetskassa Sammanfattning Den 31 maj till 1 juni 2010 utfördes en ärendegranskning på Handelsanställdas
Läs merInformationssäkerhetspolicy IT (0:0:0)
Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr:0036/13 Kommunalförbundet ITSAM, Storgatan 36A, 590 36
Läs merInformationssäkerhetspolicy inom Stockholms läns landsting
LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4
Läs merRegion Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017
Region Gotland Generella IT kontroller Visma och HR Plus Detaljerade observationer och rekommendationer Februari 2017 Fredrik Dreimanis Jonas Leander Innehållsförteckning Sammanfattning av granskningen...
Läs merArbetslöshetskassornas eget kapital
2015:9 Arbetslöshetskassornas eget kapital Granskning initierad av IAF Rättssäkerhet och effektivitet i arbetslöshetsförsäkringen Dnr: 2014/648 Arbetslöshetskassornas eget kapital Granskning initierad
Läs merKoncernkontoret Enheten för säkerhet och intern miljöledning
Koncernkontoret Enheten för säkerhet och intern miljöledning Johan Reuterhäll Informationssäkerhetschef johan.reuterhall@skane.se RIKTLINJER Datum: 2017-12-07 Dnr: 1604263 1 (8) Riktlinjer för informationssäkerhet
Läs merGranskning av IT-säkerhet
TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-01-26 Dnr: 2014/386-ÄN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Kommunrevisionen Äldrenämnden Granskning av IT-säkerhet
Läs merGranskning av räddningstjänstens ITverksamhet
www.pwc.se Granskning av räddningstjänstens ITverksamhet Författare: Niklas Ljung, projektledare Ida Ek, utredare Södertörns Brandförsvarsförbund December 2017 1. Bakgrund och syfte Bakgrund och syfte
Läs merIntern åtkomst till känsliga personuppgifter hos försäkringsbolag. Datainspektionens rapport 2010:2
Intern åtkomst till känsliga personuppgifter hos försäkringsbolag Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Pris 53 kr, inklusive moms. Tryckt hos Intellecta infolog i Solna, oktober
Läs merEnskilt anslutna i arbetslöshetskassorna
FAKTA-PM 1:2005 Enskilt anslutna i arbetslöshetskassorna Enligt lagen (1997:239) om arbetslöshetskassor ska personer kunna ansluta sig direkt till en arbetslöshetskassa utan att vara medlem i ett fackförbund
Läs merMyndigheten för samhällsskydd och beredskaps författningssamling
Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Anna Asp, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 30 oktober 2018 Myndigheten
Läs merInformationssäkerhetspolicy
2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,
Läs merInformationssäkerhet Riktlinje Förvaltning
Informationssäkerhet Riktlinje Förvaltning Fastställd av kommundirektören 2011-06-20 Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar 4 2.1 Informationssäkerhetssamordnare... 4 2.2 IT-chef...
Läs mer