Region Gävleborg. November Uppföljning av granskning kring hanteringen informationssäkerheten/it hanteringen 2014
|
|
- Elias Dahlberg
- för 7 år sedan
- Visningar:
Transkript
1 Uppföljning av granskning kring hanteringen informationssäkerheten/it hanteringen 2014 Januari 2017 Göran Persson Lingman Certifierad kommunal revisor Karin Magnusson
2 Innehåll Innehåll Sidan Inledning Bakgrund och syfte 4 Metod 5 Kort sammanfattning tidigare granskning 6 Iakttagelser kring förändringar 1 Styrande dokument och hur de kommunicerats 7 2 Ansvar och roller. Processer kring samverkan mellan olika funktioner/roller. 8 3 Det sker uppföljning kring avseende tillämpning av olika riktlinjer m.m. (innefattade om risker analyseras) 10 4 Användare inom vården får en regelbunden informationssäkerhetsrelaterad utbildning 12 5 Det finns en tillfredställande incidenthanteringsprocess som bland annat gör att ansvariga nås av informationssäkerhetsrelaterade händelser 13 6 Systemsäkerhetsplaner och kontinuitetsplaner finns framtagna för kritiska system 14 7 Kort information om projektet kring framtagande av IT-strategi. 15 Sammanfattande resultat från uppföljningen 16 Bilaga 1. Uppgifter för informationssäkerhetsfunktionen. exempel oktober
3 1 Bakgrund och syfte med uppföljningen Bakgrund och syfte Bakgrund På uppdrag av s revisorer har genomfört en uppföljning av den granskning kring IT hanteringen och informationssäkerhetsarbetet som genomfördes I denna rapport redovisas nuläget utifrån det sammanfattade resultatet från den tidigare granskningen. Den revisionsfråga som ställdes 2014 var om det inom landstinget finns en tillräcklig intern styrning och kontroll avseende IThantering/verksamhetskritisk information. Följande kontrollfrågor hanterades i granskningen: Finns aktuella styrande dokument som berör informationssäkerheten och är kommunicerad till olika roller? Finns tydlighet i ansvar och roller avseende hantering av IT? (stödja en effektiv och säker hantering av IT) Sker uppföljning och värderas IT-relaterade risker? Får användare inom vården informationssäkerhetsrelaterad utbildning? Finns en tillfredställande incidenthanteringsprocess (t ex prioriteringar, ge underlag som stöd för proaktivt arbete) Finns systemsäkerhetsplaner och kontinuitetsplaner framtagna för kritiska system? Granskningen berörde även samarbetet med den medicinsk tekniska hanteringen och hantering av IT. 3
4 1 Bakgrund och syfte med uppföljningen Metod för uppföljningen Granskning av styrande dokument. Intervjuer har genomförts med: - Informationssäkerhetsansvarig och samordnare vid informationssäkerhetsfunktionen - Ansvarig inom IT-avdelningen - Chef för LOV (Lednings och verksamhetsstöd) - Kanslichef inom ledningskansliet - Extern rådgivare som arbetar med framtagande av IT-strategi - Tjänstemän inom den medicinsk tekniska verksamheten 4
5 1 Bakgrund och syfte med uppföljningen Tidigare granskning Nedan ges en mycket kort sammanfattningen av resultatet från den tidigare granskningen Revisionsfrågan Vår övergripande revisionsfråga var om det inom landstinget finns en tillräcklig intern styrning och kontroll avseende IT-hantering/verksamhetskritisk information. Frågan avgränsades till ett antal kontrollfrågor/områden som granskats översiktligt. Inom de kontroller vi utförde så var vår sammanfattande bedömning att hanteringen inte var tillräckligt tillfredställande. Iakttagelser och kommentarer från granskningen Det fanns många bra övergripande styrande dokument som stöd för informationssäkerheten och hanteringen av IT men det förelåg ett behov att revidera dessa. Det fanns också ett behov att i ökad grad kommunicera de styrande dokumenten till olika funktioner i organisationen. Uppföljning genomfördes på olika sätt men styrelsens uppföljningen av avseende efterlevnaden av de styrande dokumenten (till exempel direktiv, policys, instruktioner till användare) var inte tillfredsställande. Det fanns behov att ytterligare förbättra kontaktytor mellan Medicinsk Teknik och IT-avdelningen. Det fanns behov att tydliggöra systemägarrollen. Vi såg ett behov att se över informationssäkerhetsfunktionen gränssnitt mot olika ansvariga inom organisationen (till exempel kontaktytor mot landstingsledningen, systemägare, IT-avdelningen, personuppgiftsombud och olika forum). Avseende de system som inte förvaltades inom IT-avdelningen var vår bedömning att den övergripande kontrollen inte var tillräcklig. 5
6 Systemsäkerhetsplaner hade inte upprättats på ett tillräckligt bra sätt i enlighet med de styrande dokumenten. Brister fanns även i genomförandet av riskanalyser relaterade till systemen. Hanteringen av de verksamhetsövergripande systemen som hanterades inom IT-avdelningen var till stor del ändamålsenlig. Det fanns en tillfredställande hantering av incidenter utifrån de krav som ställdes. Processen var dokumenterad, etablerad och det pågick ständiga förbättringar. Alla nyanställda måste genomföra en webbaserad utbildning inom informationssäkerhet. Vi rekommenderade att det skulle ske en översyn kring hur utbildningen skulle kunna genomföras med regelbundenhet till alla anställda. Inom flera områden där vi uppmärksammade behov av förbättringar pågick förbättringsarbete. oktober 2016
7 1 Inledning Nuläge i jämförelse med tidigare granskning 1. Styrande och stödjande dokument finns och är kommunicerade Sammanfattning från granskning 2014 I granskningen som genomfördes 2014 omnämndes att det fanns många bra övergripande styrande dokument som tydliggjorde hanteringen av IT inom landstinget (till exempel direktiv, policys, instruktioner till användare). Exempel på dokument vi tog del av var Direktiv IT-Policy för Landstinget Direktiv avseende landstinget Informationssäkerhet (direktivet är giltigt t.o.m ) Ledning och styrning av informationssäkerhet Säkerhetsinstruktion användare Direktiv E-post och riktlinjer Ny systemförvaltningsmodell för landstinget finns beskriven. Även om dokumenten i huvudsak var bra så fanns det revideringsbehov. Vid granskningen framkom det också att det pågick ett förbättringsarbete med en säkerhetsportal på intranätet (Plexus) och vid landstingets publika hemsida (lg.se). På säkerhetsportalen skulle det finnas info till allmänheten och privata vårdgivare bland annat avseende informationssäkerhet, beredskap, brand och allmänna säkerhetsfrågor. (Arbetet leddes av informationssäkerhetssamordnaren). Iakttagelser 2016 Vi kan konstatera att det sedan föregående granskning inte har skett något förbättringsarbete avseende de styrande dokument som omnämndes Anledningar som angetts är bl.a. att informationssäkerhetsfunktionen haft otillräcklig med resurser en lång period. Däremot så kan vi notera att andra styrande dokument har upprättats exempelvis en rutin som beskriver hur oktober
8 Vad har hänt sedan tidigare granskning material med sekretessuppgifter ska hanteras. Rutiner omfattar hanteringen i hela flödet inklusive hur sekretessuppgifter ska hanteras när dessa blir till avfall. Det handlar bland annat om hantering av dokument (papper), patientarmband, och blodpåsar. Rutinerna har fastställts av ansvarig vid förvaltningen för Ledning och verksamhetsstöd (LOV). Vi kan också konstatera att systemförvaltningsmodellen har reviderats och det anges att de det sker ständiga förbättringar av modellen. Dokumentationen avseende hur systemet ska förvaltas har också förbättrats. Vad det gäller utvecklingen av säkerhetsportalen så har arbetet inte fortgått som planerat sedan föregående granskning. Även här anges resursbristen ha varit orsaken och det har prioriterats att hantera informationssäkerheten i samband med olika projekt ex hantering av besöksskörmar, journaler via nätet, vård via mobila enheter etc. För övrigt så kan vi konstatera att det pågår i dagsläget ett projekt som syftar till att ta fram en IT-strategi för regionen. Se mer beskrivning av projektet i avsnitt Finns tydlighet i ansvar och roller avseende hantering av IT. Sammanfattning från granskning 2014 Inom enheten Säkerhet och Beredskap fanns vid granskningen år 2014 en informationssäkerhetsfunktion med en säkerhets- och beredskapschef och informationssäkerhetssamordnare. Enheten tillhörde LOV och medverkade till att stödja ledningen och verksamheternas att leva upp till ställda krav avseende informationssäkerhet. Det gjordes genom stöd och uppföljning m.m. I granskningen framkom ett behov att se över informationssäkerhetsfunktionens gränssnitt mot olika ansvariga inom organisationen, till exempel kontaktytor mot landstingsledningen, systemägare, IT-avdelningen, Medicinsk Teknik och personuppgiftsombud. Bland annat var det inte tillräckligt tydlig hur funktionen skulle stödja styrelsen i uppföljningen av tillämpning av de styrande dokumenten. Enligt vad som framkom vid granskningen så tydliggjordes IT-avdelningens interna arbete och gränssnittet med verksamheten genom fastställda processer. Dock angavs att det fanns ett förbättringsbehov och det hade påbörjats ett arbete med att ta fram bättre dokumenterade överenskommelser kring vad IT-avdelningen skulle göra och inte. Avseende de verksamhetsövergripande system som hanterades inom IT-avdelningen så fanns det inte några brister noterade vid granskningen 2014, men bedömning var att det övergripande kontrollen inte var tillfredställande avseende 8
9 de system som inte förvaltades inom IT- avdelningen. Ett krav var att det skulle finnas en samlad bild kring olika system där det framgår vad som är syftet med systemet, vilken information som hanteras, vem är ansvarig etc. Vi granskningen framkom också ett behov av att tydliggöra ansvar och uppgifter avseende systemägarrollen. Vår rekommendation vid granskningen 2014 var att det skulle fastställas hur kommunikation och information mellan Informationssäkerhetsfunktionen och avdelningen för Medicinsk Teknik skulle hanteras, till exempel när det krävs att de rådgör/kommunicerar innan ett beslut att gå vidare får fattas, när det krävs att man informerar varandra och vem som får ta beslut). Vi rekommenderade även att ansvariga från Medicinsk Teknik i ökad grad hjälpte landstingsledningen och systemägare som kravställare på IT-relaterade processer inklusive IT-infrastrukturen. Förslagsvis genom att ansvariga från medicinsk teknik deltog i det gemensamma systemägarrådet. Iakttagelser 2016 Vid tillfället då granskningen genomförs så är cheftjänsten för enheten säkerhet och beredskap vakant och rekryteringsprocess pågår. Det är klarlagt att informationssäkerhetsarbetet inte kommer att omfattas i enhetschefens ansvar. Informationssäkerhetsfunktionen har som omnämnts varit ansträngd. Vilket exempelvis har inneburit att planerade förbättringsarbeten inte genomförts. Det framkommer också att det fortfarande finns behov att tydliggöra ansvar och uppgifter. Det pågår ett arbete/översyn som ska leda fram till ett beslut som kan innebära att informationssäkerhetsfunktionen flyttas till regionens kansli. Ansvar och uppgifter för funktionen är just nu under utredning och om fattar klargörande av arbetet med uppföljning, arbetet med risker, utbildningar etc. Översynen berör även hur informationssäkerhetsarbetet ska kommuniceras mellan informationssäkerhetsfunktionen, ledningen och olika verksamhetsansvariga. Det omnämns att det redan idag finns bra arbetssätt kring hur informationssäkerhetsfunktionen ska samarbeta med organisationens jurister, men förändringen bör kunna medföra att den direkta kommunikationen med den högsta regionledningen förstärks. Vår uppfattning är att om förändringen hanteras på ett bra sätt så kommer informationssäkerhetsfunktionens och dess kontaktytor mot ledningen att förstärkas genom att informationssäkerhetsfunktionen t ex medverkar i styrelsens uppföljning av de styrande dokumenten.
10 Vad har hänt sedan tidigare granskning Kommunicera risker och förbättringsförslag direkt till styrelse/nämnder/regiondirektör och regionledning. Klargör konsekvenser av rådande brister för styrelse/nämnd/lednings ställningstagande kring vad som kan accepteras Bidra med förbättringsförslag och tydliggöranden av vad som behöver åtgärdas och hur det kan ske. På så sätt så sker ett naturligt prioriteringsarbete av ledningen. En informationssäkerhetsfunktion (ansvarig) bör arbeta oberoende från IT-chefen. Vi kan vid granskningen konstatera att det har skett förbättringar avseende olika överenskommelser med verksamheterna. Det är också fler system förvaltas av IT-avdelningen och de system som inte förvaltas inom IT-avdelningen finns förtecknade på ett bättre sätt än vid tidigare granskning. Enligt uppgifter har rollen som systemägare tydliggjorts för de större verksamhetsövergripande systemen och arbetet med den IT-strategi som beskrivs i avsnitt 7 kommer att påverka IT-avdelningens arbete och samspelet med regionledningen och verksamhetsansvariga m fl. Vi kan också konstatera att det har skett förbättringar avseende samverkan mellan Medicins Teknik och IT-avdelningen och det sker regelbundna möten utifrån ett formaliserat arbetssätt. Det finns också ett investeringsråd där representanter från Medicinsk Teknik, IT-avdelningen, inköpsavdelningen samt representanter från olika verksamheter deltar. Medicinsk Teknik deltar dock inte i det gemensamma systemägarerådet men det uppges att det ska ses över huruvida systemägarerådet ska anses vara är ett lämpligt forum för Medicinsk teknik att delta i. Det anges också att det finns behov att se över om representanter för Medicinsk Teknik i ökad grans ska medverka i olika forom bl.a. som stöd i ledningen och verksamhetens kravställande på IT-infrastrukturen och IT-avdelningens förmåga. 3. Sker det uppföljning kring avseende tillämpning av olika riktlinjer m.m. Iakttagelser vid granskning 2014 I granskningen som genomfördes 2014 så konstaterades att det utifrån ett patientperspektiv kontinuerligt ska ske en värdering av risker inom vården och att det också bör omfatta risker avseende IT-systemen. Det framkom att Intern kontrollenheten genomfört en uppföljning kring behörighetshantering och att Informations- 10
11 Vad har hänt sedan tidigare granskning säkerhetsfunktionen stöttade verksamheterna att analysera risker på olika sätt. Ett exempel var att informationssäkerhetsfunktionen med stöd av en Behovs- och riskanalys medverkade i kravställandet avseende tilldelning av behörigheter till vårdinformationssystemet. Den systemförvaltningsmodell som nyligen hade införts var ett stöd för uppföljning då både verksamhetsansvariga och olika IT-resurser medverkade kontinuerligt i förvaltningen av systemen. Genom den information som på olika sätt kom till Informationssäkerhetssamordnaren och ansvarig vid enheten Säkerhet och Beredskap avseende olika säkerhetsrelaterade problem och behov så hade de en kontinuerlig kommunikation med landstingsledningen avseende informationssäkerhetsfrågor. Det skulle enligt vad som framkom i granskningen tas fram systemsäkerhetsplaner som med stöd av ett verktyg (BITS plus) vilket utgår från krav och olika risker. Det konstaterades också att det avseende systemsäkerhetsplaner fanns ett förbättringsbehov. Vår samlade bedömning vid granskningen 2014 var att det skedde uppföljning och analyser av risker på olika sätt, men att det inte skedde en tillräcklig regelbunden uppföljning avseende efterlevnaden av de styrande dokumenten. Vi rekommenderade att det skulle ske översyn kring hur uppföljningen kunde förbättras. Vår bedömning var att uppföljningen borde omfatta en rapportering av de förbättringsaktiviteter som genomförts, vilka olika riskanalyser som har utförts med mera. Avseende risker som ansvariga själva inte kunde råda över underströks vikten av att dessa rapporteras uppåt i organisationen. Iakttagelser 2016 Det har framkommit att informationssäkerhetsfunktionen engageras mindre idag än tidigare i relevanta risk- och sårbarhetsanalyser vilket kan innebära att informationssäkerheten inte beaktas tillräckligt. De intervjuade uppger att det i finns behov att högre grad analysera risker relaterade till IT-systemen än vad som nu görs. Systemförvaltningsmodellen har utvecklats under senare år. Det omnämnda IT-strategi-projektet kommer sannolikt också att resultera i att kommunikationen mellan verksamhetsansvariga och olika IT-resurser förstärks ytterligare. Vad det gäller framtagandet av systemsäkerhetsplaner så har IT-systemet KLASSA identifierats som en lämplig ersättare till BITS plus (som omnämndes i granskningen 2014). Beslutsunderlag avseende övergång till KLASSA kommer att kommuniceras inom systemägarrådet. Efter ev. beslut att gå vidare med förslaget kommer en plan att tas fram avseende inköp, utbildning och de olika aktiviteter som ska ske därefter. 11
12 Vad har hänt sedan tidigare granskning I likhet med bedömningen år 2014 så kan vi vid nuvarande granskning konstatera att det inte sker någon systematiskt uppföljning och rapportering till ledningen avseende tillämpning av de styrande dokumenten. Vid nuvarande granskning har det också noterats att det finns behov av att fortsätta att förbättra uppföljningen av olika informationssäkerhetsrelaterade avvikelser/incidenter bland annat bör det ses över hur informationssäkerhetsrelaterade avvikelser hanteras i avvikelsehanteringssystemet (Platina). I dagsläget hanteras endast avvikelser i form av misstänkta dataintrång (misstänkt olovlig läsning av journaler) och dessa hanteras i huvudsak utan stöd i Platina. I genomsnitt hanteras 2-3 ärenden av denna typ per år inom informationssäkerhetsfunktionen. Det anges att antalet informationssäkerhetsrelaterade avvikelser som egentligen borde komma till deras kännedom är högre. IT-avdelningen har en upprättad beskrivning av de ärenden som ska rapporteras till informationssäkerhetfunktionen och hur detta ska gå till. Det anges att denna i samråd med Informationssäkerhetsfunktionen behöver utvecklas. Vår bedömning är att Informationssäkerhetsfunktionens roll i uppföljningsarbetet är otydlig idag. Funktionen har som omnämnts varit ansträngd och det pågår ett förändringsarbete som kan komma att innebära att uppföljningen kommer att förbättras 4. Får användare inom vården en regelbunden informationssäkerhets-relaterad utbildning Sammanfattning från granskning 2014 I rapporten år 2014 omnämndes bl.a. att utbildningar och information till användare av vårdens IT-system sker på olika sätt. Till exempel används intranätet som informationskanal. Det framgick också att alla nyanställda måste genomföra en webbaserad utbildning inom informationssäkerhet och att cheferna hade en möjlighet att se vilka som gått utbildningen med gott resultat. Det pågick också ett arbete med att se över innehållet i utbildningsmaterialet. Vi rekommenderade att det skulle ske en översyn kring hur denna utbildning kan genomföras med regelbundenhet till alla anställda. Sannolikt fanns många anställda som inte deltagit i denna utbildning. Vår bedömning var att vilka som deltagit och inte borde dokumenteras och att resultatet borde delges styrelsen. 12
13 Vad har hänt sedan tidigare granskning. Utbildning till användare Iakttagelser 2016 Det finns ett upprättat förslag från informationssäkerhetfunktionen kring att göra en rejäl revision av e-utbildningen då nuvarande inte anses vara tillräckligt aktuell. Det finns dock inte något beslut av regionledningen att detta ska genomföras varför det inte har sket. E-utbildningen som funnits sedan ett flertal år är fortfarande obligatorisk för nyanställda, men inte för andra. Det finns inte heller idag någon samlad bild eller uppföljning av hur många av nuvarande anställda som genomgått utbildningen. En notering vi gjort är att Datainspektionen gjort en inspektion av regionens styrning av behörigheter i journalsystemet Melior. Frågor kring om utbildningen är obligatoriskt och om det sker uppföljning ställdes av Inspektionen. 5. Det finns en tillfredställande incidenthanteringsprocess som bland annat gör att ansvariga nås av informationssäkerhetsrelaterade händelser. Sammanfattning från granskning 2014 Enligt vad som framkom vid genomförd granskning år 2014 så fanns till stor del en tillfredställande hantering av incidenter utifrån de krav som fanns. Processen var dokumenterad, etablerad och det pågick ständiga förbättringar. Det noterades dock att det krävdes en regelbunden uppföljning för att säkerställa att processen var etablerad ända ut till användarna. Det lyftes också fram att de relaterade processerna exempelvis den som ska utreda vad som är orsaker till problem utvecklas på samma sätt. Detta gällde även krav avseende upptäckande aktiviteter (till exempel vad bör övervakas ännu mer). Rekommendationen vid granskningen var att Medicinsk Teknik borde medverka i att ställa krav på IT-avdelningens processer. Enligt granskningen var det planerat att under första halvåret 2015 påbörja ett arbete med att förbättra eskalerings/ informationsprocesser generellt inom landstinget. Ett syfte var att rätt funktioner ska informeras i rätt tid. Arbetet skulle komma att omfatta IT. 13
14 Vad har hänt sedan tidigare granskning. Utbildning till användare Iakttagelser 2016 Det finns enligt uppgifter en förbättrad process för att analysera olika rapporter incidenter som inkommer till ITavdelningen. Det finns dock behov att se över vilka ärende som ska gå vidare till informationssäkerhetsfunktionen. Informationssäkerhetsfunktionen har tagit fram en modell incidenthantering och kontinuitetsplanering. Modellen är anpassad utifrån övriga organisationens krisledning för att säkerställa att hantering av IT-relaterade kriser sker på ett likvärdigt sätt vilket bland annat säkerställer att nödvändig information når berörda verksamheter och funktioner. Modell kommer att kommuniceras mellan informationssäkerhetsfunktionen och till IT-avdelningen. Därefter är det tänkt att den ska användas för i arbetet med kontinuitetsplaner för olika system. Det finns också en förbättrad teknik för att bevaka infrastrukturen, men behov finns av att förbättra de arbetssätt som är avhängigt nyttjandet av tekniken. Det ges också uttryck för att det finns behov av att arbeta med fler aktiviteter kopplat till detta, men att det inte har prioriterats utifrån tillgången till personella resurser. 6 Finns systemsäkerhetsplaner och kontinuitetsplaner framtagna för kritiska system? Sammanfattning från granskning 2014 Utifrån både svaren på vår enkät och de intervjuer vi gjorde år 2014 så visade resultatet ett förbättringsbehov. Enligt de styrande dokumenten ska det bland annat upprättas systemsäkerhetsplaner. Enligt vår bedömning hade det inte genomförts på ett tillräckligt sätt. Vi rekommenderade att detta skulle ses över. Ansvariga för detta var systemägare. Se uppgifter i bilaga. Iakttagelser och kommentarer 2016 Vi kan vid nuvarande granskning konstatera att ett ramverk för kontinuitetsplanering inom IT-avdelningen har tagits fram och överlämnats till IT-avdelningen 14
15 Information kring ett pågående projekt framtagande av IT-strategi 7. Information kring ett pågående projekt som ska leda fram till en strategi för hur IT ska hanteras utifrån nuvarande och framtida krav. I projektet berörs vilka visioner, krav och mål det finns för ledningen och regionens olika verksamheter. Det som ska ligga till grund för regionens IT-hanteringen. Detta innefattar också vilka lagar och olika regler som måste beaktas. I projektet analyseras var man befinner sig idag utifrån olika krav på hanteringen av IT. Projektet kommer att bl.a. att leda fram till vilka krav som kommer att ställas på den tekniska infrastrukturen i framtiden, Vad som kommer att krävas av olika IT-resurser och deras arbetssätt. Hur samspelet mellan olika funktioner och roller ska hanteras. Det kommer att påverka olika styrande dokument. Arbetet leds av en extern projektledare. Det finns en styrgrupp där bl.a. regiondirektören olika förvaltningschefer deltar. I projektgruppen finns olika IT-resurser och företrädare från olika verksamheter. 15
16 Sammanfattande resultat Sammanfattande resultat Förbättringar enligt vår bedömning Tydligheten avseende systemägarerollens ansvar och uppgifter har enligt uppgifter förbättras. Samarbetet mellan IT-avdelningen och Medicinsk Teknik har förbättras. Samarbetet med Informationssäkerhetsfunktionen har utvecklats, t ex när rådgör man med varandra. Systemförvaltningen har utvecklats på olika sätt. Det har tagits fram olika dokument för ökat styrning och kontroll, t ex det dokument kring hantering av informationsavfall. Kontrollen av de system som inte tidigare förvaltades av IT-avdelningen har förstärkts. Det har skett förbättringar kring att tydliggöras IT avdelnings uppgifter och hur de ska utföras. Det har utarbetats förslag avseende genomförande av förbättring av utbildningarna via intranätet. Dock saknas plan för genomförande. Det pågår diskussioner kring att införa ett nytt hjälpmedel för att bl.a. analysera risker. Det pågår ett arbetet som bl.a. kan innebär att informationssäkerhetsfunktionens kommunikation med ledningen förstärks. Det projekt som pågår kring att upprätta en IT-strategi kommer sannolikt att på ett positivt sätt påverka utvecklingen inom flera av de om råden som granskats. 16
17 Sammanfattande resultat Fort. Sammanfattande resultat Nedan sammanfattas det som enligt vår bedömning inte utvecklats eller inte förbättrats tillräckligt. Områden där det enligt vår bedömning fortfarande finns behov att förbättra sammanfattas. Områden att utveckla och förbättra Styrande dokument behöver revideras. Här är bör styrelse och nämnder vara delaktiga arbetet. (de dokument som de sedan ska fastställa). Det kan finnas dokument idag där kan vara så att styrelsen bör fastställa att dokumentet ska gälla (detta bör beaktas i revideringsarbetet). Dokumenten behöver kommuniceras i ökad grad till olika roller och funktioner. Detta är starkt kopplat till att till behov att med regelbundenhet utbilda anställa. Avseende utbildning till alla anställda kvarstår behov. Ledningens kontroll över status kring vilka som deltagit i utbildningar bör förstärkas. En rekommendation är att anställda på något sätt bör bekräfta att de tagit del av den information som berör dem. Utbildningar bör vara obligatoriska. Styrelse/nämnder och lednings uppföljning av de styrande dokumenten behöver förbättras. Informationssäkerhetsfunktionens ansvar och uppgifter bör tydliggöras. Detta innefattar hur de kommunicerar direkt mot styrelse/nämnder/ledning. Det är viktigt att det säkerställs att funktionen och informationssäkerhetsansvarig tjänsteman har tillräckliga resurser för att utföra de uppgifter som bestämts. Här har vi noterat att funktionen varit ansträngd vilket har påverkat genomförandet av viktiga förbättringar (t ex medverka i att reducera olika risker). Det finns ett behov av att fortsätta att förbättra uppföljningen av olika informations- säkerhetsrelaterade avvikelser/incidenter. Detta är starkt relaterat till ledningens uppföljning. Analyser av risker kring hanteringen av informationen i olika system bör förbättras. 17
18 Bilaga 1. Uppgifter för informationssäkerhetsfunktionen, exempel Medverka till att utforma övergripande riktlinjer, rutiner och informationsmaterial Stöd och resurs för verksamheterna Utbildning/information om informationssäkerhet och PDL (patientdatalagen) och andra regelverk som är aktuella (många) och förändringar i regelverket. Ansvarar för vår hemsida på Plexus Kontakter med jurist och Puo (personuppgiftsombud) Kontakter med patienter och allmänhet om regelverk som ttill exempel dataintrång loggar, journalkopior och spärr Kontakter med myndigheter och NIS (nationellt nätverk för informationssäkerhet) Utreder dataintrång, kontakter med polis och åklagare Utbildningar, utredningar av dataintrång, problemlösning i relation till gällande lagstiftning (patientdatalagen), stöd vid framtagande av nya (eller modifierade) IT-lösningar Råd vid upphandlingar 18
Landstinget Gävleborg
www.pwc.se Revisionsrapport Göran Persson Lingman Lars-Åke Ullström Dec 2014 Gransking av informationssäkerheten Landstinget Gävleborg Innehållsförteckning 1. Sammanfattning, bedömning och rekommendationer...
Läs merRevisionsrapport. Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat. Ljusdals kommun
www.pwc.se Revisionsrapport Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat Göran Persson-Lingman Certifierad kommunal revisor Hanna Franck Larsson Certifierad
Läs merIT-Säkerhetsinstruktion: Förvaltning
n av 7 för Munkfors, Forshaga, Kils och Grums kommun april 2006 av IT-samverkansgruppen n 2 av 7 IT SÄKERHETSINSTRUKTION: FÖRVALTNING Innehållsförteckning IT-säkerhetsinstruktion Förvaltnings roll i IT-säkerhetsarbetet...3
Läs merVälkommen till enkäten!
Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av
Läs merInformationssäkerhetspolicy för Ånge kommun
INFORMATIONSSÄKERHETSPOLICY 1 (10) Informationssäkerhetspolicy för Ånge kommun Denna informationssäkerhetspolicy anger hur Ånge kommun arbetar med informationssäkerhet och uttrycker kommunens stöd för
Läs merFördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören
Version: 1 Beslutsinstans: Regiondirektören 2(10) ÄNDRINGSFÖRTECKNING Version Datum Ändring Beslutat av 1. 2016-06-30 Nyutgåva Regiondirektören 3(10) INNEHÅLLSFÖRTECKNING 1 INLEDNING...4 2 ANSVAR FÖR INFORMATIONSSÄKERHET...4
Läs merAvvikelsehantering och kunskapsåterföring - uppföljning
LANDSTINGET I VÄRMLAND Revisionskontoret 2017-06-15 Johan Magnusson Rev/17017 Avvikelsehantering och kunskapsåterföring - uppföljning Rapport 3-17 Avvikelsehantering och kunskapsåterföring - uppföljning
Läs merRevisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016
www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016 Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4
Läs merBESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet
ii Socia Istyrelsen DRegion SydvästiSek4 Mikael Ramböl mikaetrarnbol@socialstyrelsen.se BESLUT 2011-06-15 Dnr 9.1-7139/2011 1(5) SU/Sahlgrenska Universitetssjukhuset Sjukhusdirektör Jan Eriksson Bruna
Läs merOrganisation för samordning av informationssäkerhet IT (0:1:0)
Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,
Läs merInformationsöverföring. kommunikation med landstinget - uppföljande granskning
www.pwc.se Revisionsrapport Jenny Krispinsson Augusti 2015 Informationsöverföring och kommunikation med landstinget - uppföljande granskning Gällivare kommun Innehållsförteckning 1. Sammanfattande bedömning...
Läs merFörstudie: Övergripande granskning av ITdriften
Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...
Läs merRevisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun
Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun 2 November 2012 Innehåll Sammanfattning... 1 1. Inledning... 2 2. Resultat... 3 3. Bedömning och rekommendationer... 5 Sammanfattning
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688
Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet
Revisionsrapport Karolinska institutet 171 77 Stockholm Datum Dnr 2011-02-01 32-2010-0715 Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet 2010 Riksrevisionen
Läs merÖvergripande granskning av Regionstyrelsens intern kontroll arbete. Region Halland. Revisionsrapport
Revisionsrapport Övergripande granskning av Regionstyrelsens intern kontroll arbete Region Halland Rebecca Andersson, revisionskonsult Kerstin Sikander, Cert. kommunal revisor Carl-Magnus Stensson, Cert.
Läs merInternrevisionens årsrapport 2017
Bilaga p 6 2018-02-20 Emelie Holmlund DNR: MIUN 2018/411 Internrevisionens årsrapport 2017 Bilaga p 6 2018-02-20 Emelie Holmlund DNR: MIUN 2018/411 1 Internrevisionen 2017 Internrevisionen vid Mittuniversitetet
Läs merINTERN STYRNING OCH KONTROLL KOMMUNSTYRELSEN LIDKÖPINGS KOMMUN. - Resultat av en webbenkät genomförd på uppdrag av kommunens revisorer
www.pwc.se Revisionsrapport INTERN STYRNING OCH KONTROLL Hans Axelsson Göran Persson- Lingman Juni 2016 KOMMUNSTYRELSEN LIDKÖPINGS KOMMUN - Resultat av en webbenkät genomförd på uppdrag av kommunens revisorer
Läs merInformationssäkerhetspolicy
2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,
Läs merEmil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014
Emil Forsling Auktoriserad revisor Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014 Innehållsförteckning 1. Inledning... 3 1.1 Uppdrag och revisionsfråga... 3 1.2
Läs merINTERN STYRNING OCH KONTROLL. - Resultat av en webbenkät genomförd på uppdrag av kommunens revisorer
www.pwc.se Revisionsrapport INTERN STYRNING OCH KONTROLL Hans Axelsson Göran Persson- Lingman Juni 2016 KULTUR OCH FRITIDSNÄMNDEN LIDKÖPINGS KOMMUN - Resultat av en webbenkät genomförd på uppdrag av kommunens
Läs merHantering av IT-risker
Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning
Läs merDNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen
TJÄNSTESKRIVELSE Datum DNR: KS2016/918/01 2018-03-07 1 (1) Kommunstyrelsen Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Förslag till beslut Förslaget till Informationssäkerhetspolicy för
Läs merEmmaboda kommun. Granskning av Informationssäkerheten inom Emmaboda kommun. November november 2017
www.pwc.com/se Granskning av Informationssäkerheten inom November 2017 28 november 2017 Strängt personlig och konfidentiell Innehåll 3 4 5 6 7 18 2 Under perioden juni till augusti 2017 har på uppdrag
Läs merHåbo kommuns förtroendevalda revisorer
www.pwc.se Revisionsrapport Granskning av intrångsskydd Niklas Ljung Mattias Gröndahl Håbo kommuns förtroendevalda revisorer April/2018 Innehåll Sammanfattning... 2 1. Inledning... 4 1.1. Granskningsbakgrund...
Läs merGranskning intern kontroll
Revisionsrapport Granskning intern kontroll Kinda kommun Karin Jäderbrink Cert. kommunal revisor Innehållsförteckning 1 Sammanfattande bedömning 1 2 Bakgrund 2 2.1 Uppdrag och revisionsfråga 2 2.2 Avgränsning
Läs merSAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum
SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum 2018-08-15 117 KS 245/18 Upprättande av riktlinjer för informationssäkerhet Beslut Arbetsutskottets förslag till kommunstyrelsen Kommunstyrelsen
Läs merIntern kontroll och riskbedömningar. Sollefteå kommun
www.pwc.se Revisionsrapport Intern kontroll och riskbedömningar Bo Rehnberg Cert. kommunal revisor Erik Jansen November 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte
Läs merSamverkan mellan kommun och landsting avseende vården av psykiskt funktionshindrade
Revisionsrapport* Uppföljning avseende granskning av Samverkan mellan kommun och landsting avseende vården av psykiskt funktionshindrade Bollnäs Kommun Februari 2007 Margaretha Larsson *connectedthinking
Läs merInformationssäkerhetspolicy
Informationssäkerhetspolicy Tyresö kommun 2014-03-06 Innehållsförteckning 1 Mål för informationssäkerhetsarbetet... 3 2 Policyns syfte... 3 3 Grundprinciper... 4 4 Generella krav... 4 4.1 Kommunens informationstillgångar...
Läs merÖvergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun
Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.
Läs merINTERN STYRNING OCH KONTROLL. - Resultat av en webbenkät genomförd på uppdrag av kommunens revisorer
www.pwc.se Revisionsrapport INTERN STYRNING OCH KONTROLL Hans Axelsson Göran Persson- Lingman Juni 2016 MILJÖ OCH BYGGNÄMNDEN LIDKÖPINGS KOMMUN - Resultat av en webbenkät genomförd på uppdrag av kommunens
Läs merPalliativ vård, uppföljning. Landstinget i Halland. Revisionsrapport. Mars 2011. Christel Eriksson, certifierad kommunal revisor
Palliativ vård, uppföljning Landstinget i Halland Revisionsrapport Mars 2011 Christel Eriksson, certifierad kommunal revisor Innehåll Sammanfattning... 3 Bakgrund... 4 Metod och genomförande... 4 Granskningsresultat...
Läs merRevisionsrapport Uppföljning av granskning förtroendevaldas anspråk på förlorad arbetsförtjänst
www.pwc.se Revisionsrapport Helena Steffansson Carlson September 2016 Innehåll Sammanfattning...2 1. Inledning...3 1.1. Bakgrund...3 1.2. Syfte och revisionsfråga...3 1.3. Kontrollmål...3 1.4. Avgränsning...3
Läs merLokala regler och anvisningar för intern kontroll
Kulturförvaltningen TJÄNSTEUTLÅTANDE Diarienummer: Avdelningen för verksamhets- och ledningsstöd 2019-03-27 KN 2019/364 Handläggare: Harald Lindkvist Lokala regler och anvisningar för intern kontroll Ärendebeskrivning
Läs merKommunrevisionen KS 2016/00531
V W Halmstad Kommunrevisionen Datum 2017-02-07 kommunrevisionen@halmstad.se Dnr KS 2016/00531 Yttrande - Granskning övergripande säkerhetsgranskning av kommunens säkerhet angående externt och internt dataintrång
Läs merRevisionsrapport Granskning av upphandlingsrutiner. Ragunda Kommun
Revisionsrapport Granskning av upphandlingsrutiner. Ragunda Kommun 11 Januari 2013 Innehåll Sammanfattning... 1 1. Inledning... 2 2. Resultat... 3 3. Revisionell bedömning... 7 Sammanfattning På uppdrag
Läs merEnkätundersökning: En bild av myndigheternas informationssäkerhetsarbete
Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete 2014 En bild av myndigheternas informationssäkerhet 2014 tillämpning av MSB:s föreskrifter Enkätundersökning februari 2014 Utskick
Läs merIT- och informationssäkerhet
www.pwc.se Revisionsrapport IT- och informationssäkerhet Robert Bergman Revisionskonsult December 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte och Revisionsfråga...
Läs merStyrning av behörigheter
Revisionsrapport Styrning av behörigheter i journalsystem Landstinget i Östergötland Janne Swenson Kerem Kocaer Jens Ryning Eva Andlert, cert. kommunal revisor Styrning av behörigheter i journalsystem
Läs merPrivata vårdgivare förstudie
Revisionskontoret AM/KS Rev/15021 Privata vårdgivare förstudie Rapport 5-15 Privata vårdgivare, förstudie Bakgrund Landstingets revisorer har ansvar för att genomföra årlig granskning av landstingets samtliga
Läs merRiktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och
Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis
Läs merGranskning år 2015 av patientnämnden
Granskning år 2015 av patientnämnden Rapport nr 20/2015 Mars 2016 Jonas Hansson, revisionskontoret Diarienummer: REV 21:2 2015 Innehåll 1. SAMMANFATTANDE ANALYS... 3 1.1. REKOMMENDATIONER... 3 2. BAKGRUND...
Läs merRevisionsrapport Styrning och ledning av IT och informationssäkerhet
www.pwc.se Revisionsrapport Styrning och ledning av IT och informationssäkerhet Göran Persson- Lingman Sollefteå Robert Bergman Mars/2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund...
Läs merLandstingets ärende- och beslutsprocess - uppföljning
Revisionskontoret AM/KS Rev/17008 Landstingets ärende- och beslutsprocess - uppföljning Rapport 4-17 2 Landstingets ärende- och beslutsprocess uppföljning Bakgrund Landstingets revisorer har ansvar för
Läs merBilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet
Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar
Läs merUppföljande granskning av överförmyndarverksamheten
SLUTDOKUMENT Revisorerna 180528 För kännedom Kommunstyrelsen Fullmäktiges presidium Partiernas gruppledare Överförmyndarnämnden Uppföljande granskning av överförmyndarverksamheten Vi har i egenskap av
Läs merFolktandvårdens intäkter -uppföljning
Revisionskontoret AM/KS Rev/16014 Folktandvårdens intäkter -uppföljning Rapport 9-16 Folktandvårdens intäkter uppföljning Bakgrund Landstingets revisorer har ansvar för att genomföra årlig granskning av
Läs merSvar på revisionsrapport om kommunens IT-strategi
TJÄNSTEUTLÅTANDE 2010-02-09 Dnr KS 157/2009-01 Leif Eriksson Kommunstyrelsen 2010-03-08 Svar på revisionsrapport om kommunens IT-strategi Sammanfattning KPMG har av Täby kommuns revisorer fått i uppdrag
Läs merIntern kontroll och riskbedömningar. Strömsunds kommun
www.pwc.se Revisionsrapport Intern kontroll och riskbedömningar Anneth Nyqvist Mars 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte och Revisionsfråga... 3 1.3. Kontrollmål
Läs merINFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2
INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2
Läs merProjekthantering uppföljning
LANDSTINGET I VÄRMLAND Revisionskontoret 2018-05-14 Johan Magnusson Rev/18006 Projekthantering uppföljning Rapport 3-18 Projekthantering uppföljning Bakgrund Landstingets revisorer ansvarar för att genomföra
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.
Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan
Läs merReglemente för internkontroll
Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll
Läs merProjekt med extern finansiering styrning och kontroll
www.pwc.se Revisionsrapport Bo Rehnberg Cert. kommunal revisor Johan Lidström Revisor Projekt med extern finansiering styrning och kontroll Sollefteå kommun Innehållsförteckning 1. Sammanfattning... 1
Läs merRevisionsrapport Intern kontroll inom Landstinget Dalarna
Revisionsrapport Intern kontroll inom Landstinget Dalarna Emil Forsling Auktoriserad revisor Malin Liljeblad Godkänd revisor Innehållsförteckning 1. Inledning... 3 1.1 Uppdrag och revisionsfråga... 3 1.2
Läs merIT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning
Läs merGranskning av ekonomistyrningen i Knivsta kommun
Granskning av ekonomistyrningen i Knivsta kommun Innehåll Kontrollfrågor och svarsresultat Sammanställning övergripande resultat 1 3 2 Kontrollfrågor och svarsresultat 11 3 Sammanställning övergripande
Läs merInformationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad
Informationssäkerhetspolicy i Borlänge kommunkoncern Beslutad av kommunfullmäktige 2012-12-18 238, reviderad 2017-09-19 153 Metadata om dokumentet Dokumentnamn Informationssäkerhetspolicy i Borlänge kommunkoncern
Läs merVäxjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:
www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet avseende externt och internt dataintrång Informationssäkerhetsspecialister: Viktor Bergvall Linus Owman Certifierad kommunal revisor: Lena
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.
Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice
Läs merÅrsrapport NU-sjukvården Diarienummer REV
Årsrapport NU-sjukvården 2017 Diarienummer REV 2017 00067 Behandlad av revisorskollegiet den 14 mars 2018 Årsrapport NU-sjukvården, 2018-02-23 2 (6) Innehåll Årets granskning... 3 Styrelsens ansvar...
Läs merÄrende- och dokumenthantering
www.pwc.se Revisionsrapport Ärende- och dokumenthantering Robert Bergman Projektledare 2016 Christer Marklund Kvalitetssäkrare Mars/2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund...
Läs merInformationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket
Informationssäkerhet en förutsättning för effektiv digitalisering Moderator: William Linnefell, Ekonomistyrningsverket Informationssäkerhet en utmaning eller ett stöd i digitaliseringsarbetet? ESV-dagen
Läs merGranskning av behörigheter till journalsystemet
Granskning av behörigheter till journalsystemet Rapport nr 18/2015 Februari 2016 Jonas Hansson, revisionskontoret Diarienummer: REV 61:2 2015 Innehåll 1. SAMMANFATTANDE ANALYS... 3 1.1. REKOMMENDATIONER...
Läs merInformationssäkerhetspolicy för Ystads kommun F 17:01
KS 2017/147 2017.2189 2017-06-29 Informationssäkerhetspolicy för Ystads kommun F 17:01 Dokumentet gäller för: Ystads kommuns nämnder, kommunala bolag och kommunala förbund Gäller fr.o.m. - t.o.m. 2017-08-01-tillsvidare
Läs merRevisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete
s revisorer Kommunstyrelsen För kännedom: Kommunfullmäktiges presidium Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete Revisionen har via KPMG genomfört en granskning
Läs merGranskning av systemförvaltning för journalsystemet Cosmic
MISSIV 1(3) 2014-02-18 LJR2014/3 Förvaltningsnamn Landstingsrevisionen Landstingsstyrelsen Granskning av systemförvaltning för journalsystemet Cosmic Landstingets revisorer har, med hjälp av sakkunnigt
Läs merLandstingets styrning och kontroll av ITavbrottsplaner
Landstingets styrning och kontroll av ITavbrottsplaner - uppföljande granskning Rapport nr 17/2014 December 2014 Eva Röste Moe, Certifierad kommunal revisor, revisionskontoret Diarienummer: REV 33:2-2014
Läs merUppföljning av granskning 2014 Intern kontroll. Smedjebackens kommun
www.pwc.se Revisionsrapport Uppföljning av granskning 2014 Intern kontroll Hans Gåsste Linnéa Grönvold November 2015 Innehåll Sammanfattning... 2 Inledning... 3 1.1. Bakgrund... 3 1.2. Uppdraget... 3 1.3.
Läs merKommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336
Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336 Sida 151 av 282 Tjänsteskrivelse 1(2) 2018-03-26 Dnr: KS 2017/336 Kommunfullmäktige Revidering av
Läs merGranskning av landstingets hantering av personuppgifter
Granskning av landstingets hantering av personuppgifter Rapport nr 25/2012 Februari 2013 Susanne Hellqvist, revisor, revisionskontoret Innehåll 1. SAMMANFATTNING... 3 1.1 REKOMMENDATIONER... 4 2. BAKGRUND...
Läs merLandstingets miljöarbete uppföljning
LANDSTINGET I VÄRMLAND Revisionskontoret 2018-11-20 Johan Magnusson Rev/18022 Landstingets miljöarbete uppföljning Rapport 13-18 1 Landstingets miljöarbete uppföljning Bakgrund Landstingets revisorer ansvarar
Läs merGranskning av intern kontroll. Söderhamns kommun. Revisionsrapport. Februari 2011. Micaela Hedin Certifierad kommunal revisor
Granskning av intern kontroll Söderhamns kommun Revisionsrapport Februari 2011 Micaela Hedin Certifierad kommunal revisor Robert Heed Revisionskonsult Innehållsförteckning Sammanfattning... 3 1. Inledning...
Läs merPolicy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1
DIARIENUMMER: KS 47/2018 FASTSTÄLLD: 2018-04-10 VERSION: 1 SENAS T REVIDERAD: GILTIG TILL: DOKUMENTANSVAR: Tills vidare Fullmäktige Policy Policy för informationssäkerhet och personuppgiftshantering i
Läs merRevisionens granskning av landstingets arbete med vårdkedjan för barn och unga med psykisk ohälsa. RS den 30 oktober 2018
Revisionens granskning av landstingets arbete med vårdkedjan för barn och unga med psykisk ohälsa. RS den 30 oktober 2018 Syfte och den övergripande frågan Landstingets revisorer har låtit granska hur
Läs merUppföljning av tidigare granskning avseende IT-verksamheten
Ljungby kommun Revisorerna 2018-10-08 Till Kommunstyrelsen (KF:s presidium för kännedom) Uppföljning av tidigare granskning avseende IT-verksamheten KPMG har på vårt uppdrag utfört rubricerad granskning.
Läs merI Central förvaltning Administrativ enhet
., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens
Läs merNya krav på systematiskt informationssäkerhets arbete
Nya krav på systematiskt informationssäkerhets arbete Helena Andersson Verksamheten för cybersäkerhet och skydd av samhällsviktig verksamhet Myndigheten för samhällsskydd och beredskap EU-reglering att
Läs merVård i livets slut, uppföljning
Revisionsrapport* Vård i livets slut, uppföljning Landstinget Halland Oktober 2007 Christel Eriksson, certifierad kommunal yrkesrevisor Sammanfattning *connectedthinking Innehållsförteckning Sammanfattning...2
Läs merYttrande över projektrapport 14/2012 Risker för oegentligheter inom kollektivtrafiken
1(5) Handläggare Sara Catoni 08-6861937 sara.catoni@sll.se Trafiknämnden 2013-08-27, punkt 9 Yttrande över projektrapport 14/2012 Risker för oegentligheter inom kollektivtrafiken Ärendebeskrivning Landstingsrevisorernas
Läs merInformationssäkerhet - Informationssäkerhetspolicy
Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...
Läs merRevisionsrapport Styrning och ledning av psykiatrin
Revisionsrapport Styrning och ledning av psykiatrin Christel Eriksson Cert. kommunal revisor Mars 2014 Sammanfattning PwC har fått uppdrag av de förtroendevalda revisorerna i Region Halland att granska
Läs merUppföljning av tidigare granskning av kommunens fordon
www.pwc.se Revisionsrapport Fredrik Ottosson Cert. kommunal revisor Sandra Marcusson Oktober 2014 Uppföljning av tidigare granskning av kommunens fordon Karlshamn kommun Uppföljning av tidigare granskning
Läs merMiljöledningssystem Sammanfattande punkter
Miljöledningssystem Sammanfattande punkter 2017-06-12 Naturvårdsverket Swedish Environmental Protection Agency 2017-06-12 1 1. Miljöutredning Definiera och beskriv verksamhetens omfattning med hänsyn till
Läs merUppföljning överförmyndarnämndens verksamhet
Uppföljning överförmyndarnämndens verksamhet Bakgrund Under 2015 genomförde kommunrevisionen i Falkenbergs kommun en övergripande granskning av överförmyndarnämndens verksamhet mot bakgrund av inrättandet
Läs merKatrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106
2010-0-0 Kommunstyrelsens handling nr 26120 i O 1 () Vår handläggare Katrineholms kommuns Informationssäkerhetspo licy Antagen av kommunfullmäktige 2010-06-21, 106 Informationssäkerhet är den del av kommunens
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.
Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen
Läs merSAMMANTRÄDESPROTOKOLL Sid LAHOLMS KOMMUN Sammanträdesdatum 1 Kommunstyrelsen Dnr
SAMMANTRÄDESPROTOKOLL Sid LAHOLMS KOMMUN Sammanträdesdatum 1 Kommunstyrelsen 2016-09-13 179 Dnr 2016-000266 Svar på granskning av det systematiska arbetsmiljöarbetet avseende hot och våld Kommunstyrelsens
Läs merGranskning av upphandlingsverksamheten. Sandvikens kommun
www.pwc.se Revisionsrapport Granskning av upphandlingsverksamheten Nina Törling Erika Brolin September 2018 Innehåll Sammanfattning och revisionell bedömning... 2 1. Inledning... 4 1.1. Bakgrund... 4 1.2.
Läs merIT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group
IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf
Läs merInformationssäkerhetspolicy för Katrineholms kommun
Styrdokument Informationssäkerhetspolicy för Katrineholms kommun Senast reviderad av kommunfullmäktige, 203 2 (10) Beslutshistorik Gäller från 2013-09-16 2015-12-31 2010-08-18 Revision enligt beslut av
Läs merUppföljning av revisionsrapport Kommunala aktivitetsansvaret i Lysekils kommun januari 2019
www.pwc.se Uppföljning av revisionsrapport Kommunala aktivitetsansvaret i Lysekils kommun januari 2019 Inledning Från och med 1 januari 2015 skärptes skollagen och det blev tydligare att en kommun löpande
Läs merIT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert
Läs merOktober Uppföljning av revisionsrapporter i Timrå kommun
Oktober 2014 Uppföljning av revisionsrapporter i Timrå kommun Innehåll Sammanfattning... 2 Uppdrag och bakgrund... 2 Revisionsfråga... 2 Revisionskriterier... 2 Svar på revisionsfrågan... 2 1. Inledning...
Läs merVerksamhetsplan Informationssäkerhet
Diarienummer: KS 2018/0362.016. Verksamhetsplan Informationssäkerhet Gäller från: 2018-12-04 Gäller för: Hela kommunkoncernen Globalt mål: Fastställd av: Kommunstyrelsen Utarbetad av: Annika Sandström
Läs merUppföljning avseende granskning kring Avtalstrohet
www.pwc.se Revisionsrapport Uppföljning avseende granskning kring Avtalstrohet Simon Lindskog Hanna Franck Larsson December 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte
Läs merKundfordringar en uppföljande granskning
Kundfordringar en uppföljande granskning Revisionsrapport LANDSTINGETS REVISORER 2017 03 22 16REV47 2(7) Sammanfattning I vår tidigare granskning av kundfordringar uppmärksammades ett antal risker och
Läs merÖvergripande granskning av IT-driften - förstudie
MISSIV 1(1) 2013-09-04 LJ2013/1116 Landstingsstyrelsen Övergripande granskning av IT-driften - förstudie Bakgrund Landstingets revisorer har i skrivelse 2013-06-13 redovisat en övergripande granskning
Läs merSvar på revisionsskrivelse med anledning av granskning av landstingets remisshantering
LANDSTINGET I UPPSALA LÄN Föredragningspromemoria Produktionsstyrelsen 2012-02-20 31 Dnr PS 2012-0018 Svar på revisionsskrivelse med anledning av granskning av landstingets remisshantering Förslag till
Läs mer