Granskning av IT-säkerhet

Save this PDF as:
 WORD  PNG  TXT  JPG

Storlek: px
Starta visningen från sidan:

Download "Granskning av IT-säkerhet"

Transkript

1 Revisionsrapport Ragnar Malmros Anna Lång Jon Arwidson Juni 2015 Granskning av IT-säkerhet Oskarshamns kommun

2 Innehållsförteckning 1. Inledning Bakgrund Revisionsfråga Granskningens omfattning Sammanfattning Observation, risk och rekommendation Appendix 1 - Genomförande Appendix 2 - Dokumentförteckning samt intervjuer Appendix 3 - Definitioner

3 1. Inledning 1.1. Bakgrund Kommuner blir alltmer beroende av sina informationssystem. Ny teknik utgör en viktig komponent för fungerande och effektiva verksamhetsprocesser men introducerar även nya risker. Kommunikationen med omvärlden ökar i omfattning och systemen blir mer integrerade såväl inom kommunen som med andra intressenter. Detta ställer krav på ett balanserat risktagande och ett väl fungerande säkerhetsarbete. Informationen måste skyddas mot obehörig åtkomst samtidigt som den skall finnas tillgänglig och dessutom vara tillförlitlig - rätt information i rätt tid och för rätt personer. En ändamålsenlig IT-verksamhet som baseras på grundläggande styrprinciper och en väl fungerande teknisk och funktionell plattform är en viktig förutsättning för en effektiv verksamhet. Inom ramen för revisionsarbetet har revisorerna uppmärksammat IT-säkerhet i sin risk- och väsentlighetsbedömning Revisionsfråga Har kommunstyrelsen på en övergripande nivå ändamålsenliga rutiner och processer för att hantera IT-säkerhet? Revisionskriterier Relevanta styrdokument avseende IT-säkerhet Kontrollmål Det finns ett strukturerat arbete för att säkerställa en god IT-säkerhet? Det finns erforderliga styrande dokument framtagna som är kommunicerade till intressenterna (t ex verksamheten)? Hantering av behörigheter (tillägg, förändring, borttag) sker strukturerat? Behörigheter till applikationer granskas periodiskt? Applikationen skyddas med lösenord som efterlever satta policys och leading practice? Loggfunktionalitet finns aktiverad i kritiska applikationer? Regelbundna logguttag och analys av genomförd aktivitet för de centrala enheterna? Ändamålsenlig förändringshanteringsrutin finns på plats? Rutiner för backup och avbrottshantering finns definierade? Utbildning av personal sker i IT-säkerhet? Oskarshamn kommun 1 av 22

4 Den interna kontrollen över IT och informationssäkerhet bedöms utifrån följande kriterier: Det finns en övergripande informationssäkerhetspolicy för kommunen. Det finns tydliga processer och riktlinjer definierade för tilldelning och utnyttjande av applikationer och system. Det finns kontroller, kontrollmoment och uppföljningsprocesser definierade där uppföljning av vad tredjepartsleverantören gör i systemen inkluderas, i syfte att säkerställa fullständighet och riktighet. Avsaknad eller brister inom dessa områden kan påverka tillgänglighet, riktighet och konfidentialitet, för både finansiell och icke finansiell information. Granskningen har utförts genom intervju med nyckelpersoner inom Oskarshamns kommun, samt med systemförvaltare för två applikationer som används inom hela kommunen. Vidare har stödjande dokumentation granskats. Granskningen har genomförts under juni Avgränsning Granskning ska främst fokusera på central hantering för att säkerställa att den interna kontrollen när det gäller IT-säkerhet är tillräcklig. Granskningen avser inte att vara: Bestyrkande. Tredjeparts bekräftelse (s.k. Third Party Assurance ). Intyg av drift/processer/intern kontroll. För mer information gällande metod och intervjuade personer se Appendix 1 och Granskningens omfattning Granskningen har utförts genom intervju med nyckelpersoner inom kommunen och systemförvaltare för två av de applikationer som används av hela kommunen. Samt granskning av stödjande dokumentation, policys och riktlinjer. Granskningen har avgränsats till nedanstående kontrollområden. Granskingens sakinnehåll har sakgranskats av Tomas Karlsson, IT-chef och Lars Blomberg, Säkerhetschef. Oskarshamn kommun 2 av 22

5 IT-styrning/ ansvarfördelning och förvaltningsrutiner - Det finns ett strukturerat arbete för att säkerställa en god ITsäkerhet? - Det finns erforderliga styrande dokument framtagna som är kommunicerade till intressenterna (t ex verksamheten)? - Utbildning av personal sker i IT-säkerhet? Behörighetshantering - Hantering av behörigheter (tillägg, förändring, borttag) sker strukturerat. - Behörigheter till applikationer granskas periodiskt? - Applikationen skyddas med lösenord som efterlever satta policys och leading practice? - Loggfunktionalitet finns aktiverad i kritiska applikationer? - Regelbundna logguttag och analys av genomförd aktivitet för de centrala enheterna? Förändringshantering - Ändamålsenlig förändringshanteringsrutin finns på plats? Drift - Rutiner för backup och avbrottshantering finns definierade? Granskningen har övergripande omfattat behörigheter och ansvarsfördelning i följande applikationer: Ref. nr. Applikation 1 Raindance 2 Public 360 Oskarshamn kommun 3 av 22

6 2. Sammanfattning Revisionen har genomfört en övergripande granskning av informationssäkerhet och IT-säkerhet på kommunen. Utgångspunkten för granskningen har varit att förstå om kommunen har ändamålsenliga rutiner och processer för att hantera ITsäkerhet. Granskningens utgångspunkt har varit den centrala IT-avdelningen och deras arbete, samt genom att granska förvaltningen för två applikationer inom kommunen. IT-avdelningen jobbar på uppdrag av kommunstyrelsen och tillhör kommunkontoret. IT-avdelningen har ansvar för all IT inom kommunen och tre bolag. Det arbetar 20 personer på IT-avdelningen varav 12 renodlat med IT. Avdelningen leds idag av IT-chefen. IT-chefen har till sin hjälp en övergripande säkerhetschef som stöttar i alla frågor som rör säkerhet. Säkerhetschefen tillhör formellt Räddningstjänsten. IT-chefen ingår inte i kommunens ledningsgrupp. IT-avdelningen har ansvar för ca 150 system, PC-klienter och läsplattor/ mobiler fördelat på användare. All drift av operativsystem, databas och applikationer sköts av IT-avdelningen medan systemförvaltningen sköts av verksamheten. IT-avdelningen har hand om både informations- och IT-säkerhet men det finns inte en person som formellt är utsedd till att vara den informationssäkerhetsansvarig för hela kommunen. Ansvaret för informationssäkerhet faller på respektive förvaltningschef för den information som förvaltningen hanterar. Det finns inget formellt uppdrag från kommunstyrelsen att avsätta resurser till att arbeta med frågor kring informations- och IT-säkerhet. IT-chefen arbetar i praktiken med dessa frågor. Det finns samarbeten med Regionförbundet i Kalmar län genom en informationssäkerhetssamordnare och med kommunerna Högsby och Hultsfred där det finns två gemensamma personer som arbetar med verksamhetsutveckling med stöd av IT. Det finns även ett länsgemensamt projekt där Myndigheten för samhälsskydd och beredskap (MSB) har tilldelat 1,5 MSEK till kompetenshöjande åtgärder inom informationssäkerhet vilket anses vara positivt. IT-styrning/ ansvarfördelning och förvaltningsrutiner Kommunen saknar informationssäkerhetspolicy. Det finns ett dokument med regler gällande IT som är det senaste formella styrdokumentet. IT-reglerna gäller från år 2006 men det saknas information om när reglerna senaste uppdaterades. Dokumentet liknas vid en instruktion för hur kommunens IT får användas. Det finns inte någon IT-säkerhetspolicy. En IT-säkerhetspolicy skulle komplettera informationssäkerhetspolicyn med riktlinjer kring IT-säkerhetsrelaterade frågor. Exempelvis kan en IT-säkerhetspolicy ställa krav på hur behörighetshantering, förändringshantering och drift ska skötas. Oskarshamn kommun 4 av 22

7 Det finns ett utkast på en informationssäkerhetspolicy som är framtagen i samarbete med informationssäkerhetsamordnaren på Regionförbundet i Kalmar län. Vid en övergripande granskning av policyn håller den god kvalitet och skulle vara ett steg i att få styrande dokument på plats. Det finns även en del dokumentation. Exempelvis riktlinjer för dokumenthantering som ger stöd i hur dokument ska informationsklassas. Det finns även en investeringspolicy som ska vara till stöd för IT-investeringar. Nämnder ska årligen bedöma sitt investeringsbehov och IT-avdelningen har ett samordningsansvar för ITinvesteringar. Det händer att IT-avdelningen inte blir involverade i ett tidigt skede utan får vetskap om investeringar för sent. Det finns även en kontinuitetsplan där applikationer kopplade till HSA (risktäckande katalogtjänst med kvalitetssäkrade uppgifter om personer, funktioner och enheter i Sveriges kommuner, landsting och privata vårdgivare) ingår. Dokumentationen som identifierats bygger bland annat på kontroller som utförs. Vi har under granskningen kunnat identifiera att det utförs vissa typer av kontroller som inte är dokumenterade. Exempelvis är många av kontrollerna som utförs i processen för att tilldela behörigheter inte dokumenterade. Det saknas en kontrollmatris. Det sker inte någon utbildning inom informations eller IT-säkerhet inom kommunen. Vid anställningstillfället får den nyanställde en kortare digital utbildning i informationssäkerhet kallad DISA (Datorstöd informationssäkerhetsutbildning för användare) som MSB tillhandahåller. Avtal med tredjepart för system och IT relaterade tjänster hanteras av ITavdelningen och det pågår ett arbete med att få med samtliga avtal i en avtalsdatabas för att på ett kontrollerat sätt kunna följa upp och kontrollera avtaletens livscykel. Vi informerades om att alla avtal inte är på plats men att situationen har blivit avsevärt mycket bättre sen arbetet med databasen påbörjades. Försvårande omständigheter är att avtalen ofta upprättas och ägs av respektive förvaltning. Detta har fått effekt på avtalen då förvaltningarna delvis saknar kompetens att utforma både krav och avtal. Kompetensen att ställa krav saknas främst gällande icke funktionella krav, det vill säga krav som mer relaterar till säkerhet och möjlighet att följa upp avtalet. För alla applikationer finns det utsedda systemägare och systemförvaltare. Dessa två roller kan kombineras men det saknas en tydlig beskrivning över ansvaret att vara ägare eller förvaltare. Vanligtvis finns systemägaren i den förvaltning som använder applikationen. För de gemensamma applikationer som finns arbetar ofta systemägaren på kommunkontoret. Oskarshamn kommun 5 av 22

8 Behörighetshantering Applikationsförvaltare intervjuades för två av kommunens applikationer, Public 360 och Raindance. För båda applikationerna finns det arbetsrutiner och kontrollmoment som utförs i samband med upplägg, förändring och borttag av användare. Detta bygger inte på formella kontroller och det finns inte alltid en tydlig definition om vem som får beställa eller besluta om vissa behörigheter. För applikationen Raindance är kontrollen för tilldelning något mer formaliserad då den kräver att förvaltningschefen godkänner alla nya användare med underskrift. IT-avdelningen undersöker möjligheterna till ett Identity Management System (IMS) för att automatisera borttag och kvalitetssäkra hela kontots livscykel. IMS finns med som en del av budgeten för år Periodisk genomgång av användare för applikationerna genomförs regelbundet men det saknas en formell kontroll som beskriver vad och när det ska utföras och vilken risk som lindras genom att kontrollen utförs. Public 360 är en applikation som hanterar ärenden inom kommunen, exempelvis ärenden som ska upp för politiskt beslut. I applikationen finns det olika roller som är utformande efter vad för typ av arbete användaren utför, exempelvis handläggare. Det är behörighetsstyrt så att handläggare endast kan se sina egna ärenden och att chefer kan se ärenden för de personer chefen ansvarar för. Det går att ha fler än en roll samtidigt i applikationen. Det finns inga formella riskanalyser gjorda i vem som kommer åt vilken information eller om det kan finnas en risk med att en person innehar flera roller. De roller som är uppsatta i applikationen bygger på standardroller men är i vissa fall justerade, då det går att lägga till eller ta bort funktioner. Public 360 använder sig av Singel Sign On (SSO). För applikationen Raindance som är kommunens ekonomisystem finns det olika roller. Tillgång till applikationen har ekonomiavdelningen på kommunkontoret som är cirka nio personer och ytterligare en person som jobbar på IT-avdelningen. Annan åtkomst går via Raindanceportalen som är ett webgränssnitt för att ta emot, kontera och attestera fakturor. Rollerna inom ekonomiavdelningen bygger på standardiserade roller i applikationen. Det finns ingen riskanalys gjord för vilka roller som är olämplig att kombinera. Attestflödet är styrt så att en person inte kan attestera och godkänna samma faktura, oavsett roll. Raindance använder sig inte av SSO utan säkerhetsinställningar hanteras i applikationen. Generellt för behörigheter så användas personliga konton. Arbetet med att städa upp bland opersonliga konton under de senaste åren har gett effekt och samtliga användare har numera personliga konton. Det finns vissa generiska konton kvar Oskarshamn kommun 6 av 22

9 inom IT-avdelningen. De generiska kontona är på väg att tas bort även inom ITavdelningen genom arbetet med Server Domain Isolation. För tilldelning, förändring och borttag av höga behörigheter på operativsystemsoch databasnivå ansvarar idag IT-avdelningen. Det finns inga formella kontroller vilket är en risk. Denna risk lindras något då avdelningen är liten. Det finns leverantörer som har direkt åtkomst till information. IT-avdelningen jobbar med ett projekt för Server Domin Isolation för att underlätt förvaltningen av operativsystemet och göra aktiviter mer spårbara och miljön säkrare genom bland annat personliga konton. Lösenordsinställningar för Active Directory (behörighetsstyrning för åtkomst till nätverk och operativsystem) och applikationen Raindance uppfyller inte de krav som kan anses vara god praxis för den typen av applikationer och funktioner de ger åtkomst till. För varken Public 360, Raindance, databaser eller operativsystemet finns det systematisk uppföljning av loggar. De loggar som övervakas och som larmar är loggar relaterade till prestanda, exempelvis larm för att diskutrymme håller på att ta slut eller att CPU-nivån är hög. Förändringshantering Det görs ingen egen utveckling av applikationerna och dess funktioner. De förändringar som utförs är standardiserad systemutveckling i form av versionsuppgraderingar eller tillägg av nya moduler. För Public 360 har det nyligen implementerats en ny version. Denna förändring hanterades med hjälp av en projektmodell som IT-avdelningen använder för alla större projekt. För Raindance läggs moduler till då ny funktionalitet krävs. För tillfället arbetar kommunen med att möjliggöra e-fakturor i större utsträckning vilket inneburit att en ny modul installeras. Större projekt hanteras vanligtvis genom projektmodell med implementerade kontroller och beslutspunkter, exempelvis för test och godkännande innan produktion. I och med att det inte görs någon egen utveckling så är ofta leverantören med i hela processen tills det att förändringen är implementerad. Vi har under granskningen inspekterat projektplanen för uppgraderingen till ny version av Public 360, vilken innehåller västenliga steg och beslutspunkter. Kommunen har uppskattningsvis sex större förändringar per år. Det finns inte kontroller för att säkerställa Segregation of Duties mellan personer som jobbar med systemutveckling och de som kan produktionssätta förändringar. Många delar av denna process hanteras av leverantörerna av applikationen. För databaser och operativsystem görs inga justeringar utan endast patchning och versionsuppgraderingar. Delvis finns det uppdateringar som sker automatiskt och Oskarshamn kommun 7 av 22

10 IT-avdelningen arbetar med att utveckla den automatiserade uppdateringen. Det finns en rutin framtagen för hur patchning ska hanteras, vilken anses vara ändamålsenlig. Drift Alla backuper hanteras av IT-avdelningen. Det finns systemstöd kallat Netapp som managerar och övervakar backuper. Den automatiska övervakningen sker i realtid och varnar för bland annat om det är mer än 27 timmar sedan senaste lyckade backup genomfördes eller om CPU belastning är för hög. Larmen från övervakningen skapar inte automatiskt incidenter och larm kan lösa sig av sig självt, om t.ex. belastningen på CPU går upp över kritiska nivåer. Servicetekniker är ansvarig för att följa upp och säkerställa att alla larm blir hanterade och att backuper går enligt plan. Det finns inga krav på att larm ska generera incidenter eller liknande. Det sker inte några regelbundna återläsningstester av backuper. Däremot har det skett återläsningar av information och hela system i skarpt läge, vilket enligt uppgift har fungerat bra. Det finns ett dokument framtaget med rutiner för backup, vilket anses vara ändamålsenligt. Återläsningar av backuper är inte en del av detta dokument. Kravställning av backuper och lagringstider kommer ofta som förslag från ITavdelningen till verksamheten som accepterar förslagen. IT-avdelningen upplever att verksamheten inte alltid reflekterar över den föreslagna lösningen utan accepterar rakt av vad IT-avdelningen säger. Det finns inga tydliga krav eller riktlinjer för hur länge olika typer av information ska sparas. Batchjobb hanteras på samma sätt som backuper. Det finns systemstöd som hanterar och övervakar. Inga incidenter skapas av larmen och uppföljningen av larm är manuell. Incidenter gällande driften hanteras i möjligaste mån av IT-avdelningen. Enligt ITavdelningen saknas det idag ett anpassat systemstöd för att hantera alla ITrelaterade incidenter. Det som används idag är det ärendehanteringssystem som kommunen service center hanterar alla sina ärenden i. IT-avdelningen har undersökt möjligheten att få ett ärendehanteringssystem som stöder ITIL-processerna för att kunna arbeta effektivare med hanteringen av incidenter. IT-avdelningen är medveten om att många incidenter som inte rör driften av plattformarna hamnar direkt vid systemägaren som kontaktar leverantör. Följden av detta är att IT-avdelningen inte har insikt i alla incidenter och inte heller kan arbeta proaktivt med att förhindra dessa. IT-avdelningen har börjat begära incidentrapporter från leverantörerna för att få bättre kontroll. För att få kontroll över allvarliga incidenter har IT-avdelningen tagit fram en mall för rapportering av allvarliga incidenter som anses uppfylla sitt syfte. Det finns en övergripande krishanteringsplan inom kommunen. Det finns inte Disaster recovery plan (DRP) för IT, som ska vara till hjälp för att hantera de IT- Oskarshamn kommun 8 av 22

11 relaterade bitarna vid någon form av oförutsedd händelse. IT-avdelningen upplever inte att det finns något tydligt uppdrag från politiken att hantera frågan med DRP. Det finns det två datahallar, som till viss del täcker upp för varandra men det är ingen komplett duplicerad lösning. Den ena vid stadshuset och den andra vid räddningstjänsten, som båda är försedda med UPS och avbrottsfri strömförsörjning genom diesel. MSB har nyligen granskat dessa, som en del i ett projekt kallat den kommunala ledningsplatsen och kommit fram till att stadshuset måste ha ny dieselmotor som genererar reservkraft som täcker hela stadshusets behov. Idag är det endast vissa delar som har reservkraft genom diesel vilket bland annat påverkar kylningen till datahallen. MSBs granskning kom även fram till att det måste finns ytterligare en kylmetod för datahallen. Där av pågår ett projekt med en tredje kylmetod som baseras på kylning med hjälp av havsvatten. Den nya reservkraften är beställd. Summering Den övergripande bedömningen är att det görs många bra saker för att säkerställa tillgänglighet, riktighet, konfidentiallitet och spårbarhet i information och ITapplikationer. Det saknas styrande dokumentation såsom Informationssäkerhetspolicy och det saknas även formaliserade kontroller som är möjliga att följa upp, granska och bedöma. Sammanfattningsvis bör kommunen genomföra förbättringar inom följande områden: Informations- och IT-säkerhetspolicy Interna kontroller för kritiska applikationer inom kommunen inom behörighetshantering, förändringshantering och drift. Periodisk granskning av behörigheter bör ytterligare formaliseras och dokumenteras av de lokala enheterna gällande för alla applikationer där det anses nödvändigt. Återläsning av backuper. Gruppkonton för IT-avdelningen bör tas bort. Säkerhetsinställningar bör uppdateras. Vi bedömer att ovanstående inte är i enlighet med god praxis för intern kontroll och kommunen rekommenderas att genomföra föreslagna förbättringar. För samtliga observationer vilka noterats i samband med granskningen, se nedanstående tabell. Oskarshamn kommun 9 av 22

12 Nedan har observationer för granskningen sammanställts på aggregerad nivå. Observationerna har bedömts efter dess väsentlighet, graderingen illustreras med hjälp av följande definition: Hög En brist med stor påverkan på system, processer eller intern kontroll vilken kan medföra att verksamheten exponeras för betydande förluster eller väsentliga fel i den finansiella rapporteringen. Brister med prioritet hög bör hanterats snarat. Mellan En brist med påverkan på system, processer eller intern kontroll som kan medföra att verksamheten exponeras för förluster eller ett betydande fel i den finansiella rapporteringen. Brister med prioritet mellan bör hanteras inom ett år. Låg Mindre brister eller fel där risken för otillbörlig användning och/eller felaktigheter i bokföringen är lägre, men där det ändå bedöms finnas utrymme för förbättringar. Brister med prioritet låg bör hanteras inom två år. Ref. Observation Prioritet Styrning av informations- och IT-säkerhet Hög Avsaknad av formella rutiner för behörighetshantering Mellan Avsaknad av förvaltningsmodell Mellan Avsaknad av formella rutiner för direkta databasförändringar Mellan Avsaknad av rutiner för backup och avbrottshantering Mellan Säkerhetsinställningar Mellan Avsaknad av formella rutiner för förändringshantering Låg Avsaknad av utbildning Låg För mer information och detaljer gällande respektive observation se sektionen Observation, risk och rekommendation. Oskarshamn kommun 10 av 22

13 3. Observation, risk och rekommendation Styrning av informations- och IT-säkerhet Observation Det noterades under granskningen att det inte finns ett formellt uppdrag från politiken att arbeta med frågor kring informations- och IT-säkerhet. Följderna av detta är att det inte finns någon person som är utsedd att vara ansvarig för informationssäkerhet. Ansvaret för IT-säkerhet finns hos IT-chefen trots avsaknaden av tydligt formulerat uppdrag. Det finns inga uppdaterade styrdokument för informations- och IT-säkerhet. Detta innebär att det saknas en informationssäkerhetspolicy som är det dokumentet i vilket kommunstyrelsen sätter riktning och mål med informationssäkerhetsabetet. Trots att informationssäkerhetspolicyn saknas noterades det under granskningen att det finns tankar, arbetssätt och till viss del dokumenterade riktlinjer för hur kommunen arbetar med kontroller relaterade till informations- och IT-säkerhet. Exempelvis finns det riktlinjer för dokumenthantering som till viss del stödjer hur informationsklassning ska göras. Men riktlinjen uppfyller inte fullt ut de krav som gäller för informationsklassning i exempelvis ISO Det finns ingen övergripande dokumentation som identifierar alla kontroller eller kontrollmoment som utförs inom de olika förvaltningarna. Vi har sett ett antal initiativ som är påbörjade för att driva arbetet med informations- och IT-säkerhet framåt. Bland annat noterades det att Regionförbundet i Kalmar län har en gemensam resurs för att jobba med informationssäkerhet. Detta har bland annat resulterat i ett utkast till en informationssäkerhetspolicy och mall för systemsäkerhetsanalys. Det finns även två resurser som delas med Högsby och Hultsfreds kommun som arbetar med verksamhetsutveckling med stöd av IT. Risk Utan ett formellt uppdrag och någon som är formellt ansvarig för informationssäkerhet finns det en risk att ansvaret i frågan blir otydligt och att arbetet faller mellan olika stolar. Risken ökar i och med att det idag inte finns någon policy som berättar vad informationssäkerhet innebär och i förlängningen vad kommunen och dess anställda ska göra för att skydda sina informationstillgångar. Rekommendation Oskarshamns kommun rekommenderas att upprätta ett formellt uppdrag att jobba med informationssäkerhet och att peka ut ansvariga för både informations- och ITsäkerhet. Oskarshamns kommun rekommenderas även att införa en informationssäkerhetspolicy för att styra arbetet med informationssäkerhet. Prioritet: Hög Oskarshamn kommun 11 av 22

14 Avsaknad av formella rutiner för behörighetshantering Observation Vi noterade under granskningen att det i de flesta fall saknas formella rutiner och kontroller för behörighetshantering. Tilldelning, ändring och borttag av behörigheter sker inte okontrollerat men det finns inga dokumenterade kontroller och de kontrollmoment som utförs dokumenteras inte alltid. Exempelvis kan inte vem som helst beställa eller ändra en behörighet och det genomförs regelbundna kontroller att användare fortfarande ska ha åtkomst till applikationen. IT-avdelningen har börjat undersöka systemstöd för att kunna koppla ihop åtkomsten till kommunens nätverk med information från HR-applikationen för att möjliggöra att den generella behörighet till nätverk avslutas med automatik när en person slutar. Detta ligger med i budgeten för år Vidare noterades att IT-avdelningen har jobbat med att rensa bort ej personliga användarkonton från IT-miljön. Detta har resulterat i att alla normala användare numera har personliga konton. Vi noterade att det finns opersonliga konton kvar på IT-avdelningen. Under granskningen informerades vi även om att det inte sker någon systematisk uppföljning av loggar för höga behörigheter i operativsystem, databaser eller applikationer. Risk Avsaknad av formella rutiner och kontroller för tilldelning, förändring och borttag av behörigheter ökar risken för att obehöriga användare har tillgång till funktioner eller information. Avsaknad av rutiner för uppföljning av loggar ökar risken för felaktiga eller bedrägliga förändringar till känslig data som exempelvis bankkontonummer, leverantörsuppgifter, kritiska konteringar etc. Risken gäller både finansiell information och de operativa processerna. Risken ökar om opersonliga konton används. Rekommendation Kommunen rekommenderas att införa en generell rutin för hur tilldelning, förändring och borttag av behörigheter ska hanteras för kommunens applikationer. Kommunen rekommenderas att utvärdera vilken typ av användare som bör loggas och vilken typ av logg som systematiskt bör granskas. Prioritet: Mellan Oskarshamn kommun 12 av 22

15 Avsaknad av förvaltningsmodell Observation Det finns ingen modell för systemförvaltning implementerad. Från IT-avdelningens sida har efterforskningar gjorts angående Pm3 och om det skulle vara möjligt att inför modellen. Organisationen kring IT är till viss del decentraliserad. Detta visar sig genom att lokala applikationsägare tar egna initiativ och ibland upphandlar och köper in applikationer utan den centrala IT-avdelningen vetskap. För att förhindra detta finns en investeringspolicy som ställer krav på att den centrala IT-avdelningen ska vara inblandad i alla beslut om nya applikationer. Vidare har applikationsägarna som ofta tillhör respektive förvaltning direkt kontakt med leverantörer gällande support och incidenter. Detta gör att IT-avdelningen inte har fullständig kontroll över vad som händer på respektive förvaltning. Driften av IT-miljön är centraliserad och sköts av IT-avdelningen. Vidare noterade vi att IT-avdelningen har jobbat aktivt med att skapa en avtalsdatabas för att möjliggöra fullständig kontroll över samtliga avtal. Även om situationen är bättre finns det fortfarande avtal som IT-avdelningen inte har någon kunskap om eller som är för dåligt utformade. Detta kan vara på grund av att förvaltningarna själva initierat processen och skrivit avtalen. Risk Avsaknaden av en förvaltningsmodell innebär en risk att arbete med förvaltningen kan falla mellan stolar eller att applikationsägaren inte vet vad deras roll innebär. I och med att applikationsägarna ofta tillhör respektive förvaltning ökar risken att ITavdelningen inte har möjlighet att kontrollera applikationerna. Den decentraliserade uppsättning som finns idag ökar risken för att icke strategiska beslut fattas av förvaltningarna och att kommunen inte drar nytta av sina stordriftsfördelar. Risken med att avtalen inte kontrolleras centralt är att det inte följs upp om kommunen får den service man betalar för, eller att det vid upphandling inte ställs tillräckliga krav på leverantören. Rekommendation Kommunen rekommenderas att införa tydliga roller och ansvar gällande förvaltning och inköp av IT-relaterade produkter. Applikationsägareansvar bör vara tydligt specificerat liksom ansvaret för att hantera inköp och avtal. Det bör undersökas om det finns ett värde för kommunen att implementera en modell för förvaltning av applikationerna. En tydlig förvaltningsmodell kan hjälpa till att skapa en mer centraliserad kontroll över IT genom definition av roller och ansvar. Dock är det inte säkert att implementationen av en hel förvaltningsmodell levererar värde utan att det kan vara vissa delar som man bör fokusera på. Prioritet: Mellan Oskarshamn kommun 13 av 22

16 Avsaknad av formella rutiner för direkta databasförändringar Observation Det noterades under granskningen att systemleverantörer i många fall har direkt åtkomst till de databaser som applikationen använder och att applikationsägare vanligtvis tar direkt kontakt med systemleverantörer vid incidenter eller liknande som kan leda till förändringar i databasen. Risk Avsaknad av formella rutiner för hantering av direkta databasförändringar ökar risken för att icke godkända förändringar genomförs och att spårbarheten i förändringarna är låg. Detta påverkar i sin tur hur tillförlitlig information i applikationerna är. Rekommendation Kommunen rekommenderas att införa en rutin för hur direkta förändringar till databasen hanteras. För att kunna kontrollera vem som har initierat förändringen och vem som har utför den. Prioritet: Mellan Oskarshamn kommun 14 av 22

17 Avsaknad av rutiner för backup och avbrottshantering Observation Det noterades att det inte finns några formella kontroller relaterade till uppföljning av larm för backuper. Det finns manuella kontroller som genomförs. Det noterades även under granskningen att det inte finns några formella rutiner för att genomföra återläsningstester av backuper. Det har skett återläsningar av information och hela system i skarpt läge vilket har gått bra. Vidare saknas det också formella riktlinjer om hur länge viss information ska sparas. IT-avdelningen kommunicerar hur backuper och arkivering fungerar med enligt information är respons från verksamheten låg när det kommer till aktiva beslut om hur länge något måste sparas. Risk Det finns risk att kontroller som inte går att följa upp och verifiera inte utförts, vilket är risken kopplade till uppföljningen av larm. Risken är förhållandevis låg. Risken kopplad till avsaknaden av formella rutiner för att genomföra återläsningstester av backup är att informationen inte är tillgänglig när den behövs. Det finns risk att backuper inte går att använda vilket gör att information kan gå förlorad. Avsaknad av formella riktlinjer för hur länge information ska sparas ökar risken att information inte finns tillgänglig när den behövs. Det ökar även risken att kommunen inte följer lagar och regler gällande hur länge information ska sparas. Rekommendation Kommunen rekommenderas att se över om det finns möjlighet att implementera kontroller relaterade till uppföljning av larm kopplade till backuper. Vidare rekommenderas kommunen att införa en rutin för återläsning av backuper för att öka säkerheten i att backuper kan användas på det sätt som är tänkt. Kommunen rekommenderas också att ställa krav på verksamheten och begära uppgifter om hur länge information ska finnas tillgänglig för att säkerställa att nuvarande uppsättning fyller deras krav. Prioritet: Mellan Oskarshamn kommun 15 av 22

18 Säkerhetsinställningar Observation Under granskningen noterades det att Windows Active Directory (AD) används för att ge generell åtkomst till kommunens nätverk och till vissa applikationer genom Singel Sign On (SSO). AD har inte lösenordsoinställningar som anses vara god praxis. Den granskade applikationen Public 360 använder SSO. Applikationen Raindance använder inte SSO utan inställningar för lösenord hanteras i applikationen. Inställningarna för Raindance anses inte uppfylla god praxis. Risk Det finns en ökad risk att obehöriga användare kommer åt information eller funktioner i systemet om de lösenord som skyddar användaren inte är tillräckligt långa eller ställer vissa krav på komplexitet och periodiska byten. Rekommendation Kommunen föreslås införa starkare krav på lösenord för att säkerställa att de lösenord som används uppnår sitt syfte. Prioritet: Mellan Oskarshamn kommun 16 av 22

19 Avsaknad av formella rutiner för förändringshantering Observation Under granskningen noterades att det inte finns några formella rutiner för förändringshantering. Vi noterade att det inte genomförs förändringar (change) till applikationerna utan att det som sker handlar om utveckling (development). Det som genomförs är versionsuppgraderingar och tillägg av moduler etc. Dessa är i många fall kontrollerade genom den projektmodell som IT-avdelningen använder sig av, vilken innehåller beslutspunkter och kontrollmoment för bland annat test och godkännande före produktionssättning. Risk Avsaknad av tydliga krav i rutinen för förändringshantering ökar risken för att felaktiga implementeringar görs i produktionsmiljö som kan påverka applikationernas funktionalitet. Risken lindras av att det endast är större och standardiserade förändringar som implementeras och inte förändringar som är initierade och utvecklade för kommunens räkning. Risken lindras även av att projekten för dessa införanden ofta är stora nog av att hanteras i projektmodellen. Rekommendation Kommunen rekommenderas att införa en process för ändringshantering för att se till att alla förändringar som görs följer projektmodellen och att det finns tydliga beslutspunkter för testning av förändringen och beslut om att införa denna i produktionsmiljö. Prioritet: Låg Oskarshamn kommun 17 av 22

20 Avsaknad av utbildning Observation Det noterades under granskningen att det inte förkommer någon regelbunden utbildning i informationssäkerhet för anställda inom kommunen. Kommunens nyanställda genomgår en kortare utbildning (ca 20 minuter) vid anställning där syftet är att informera om informationssäkerhet. Denna utbildning är tillgänglig genom MSB (Myndigheten för samhällsskydd och beredskap) och kallas för DISA (Datorstöd informationssäkerhetsutbildning för användare). Risk Avsaknad av regelbunden utbildning i informationssäkerhet gör att medvetenheten om risker förknippande med informationssäkerhet kan hamna på en låg nivå. Utan medvetenheten ökar risken att avancerade tekniska lösningar som skyddar information inte fungerar då anställda medvetet eller omedvetet kringgår dessa. Exempelvis genom att ha lösenord nedskrivet på en lapp. Rekommendation Kommunen rekommenderas att utvärdera möjligheterna till att regelbundet utbilda och informera sina anställda i aktuella frågeställningar och risker kring informationssäkerhet. Prioritet: Låg Oskarshamn kommun 18 av 22

21 4. Appendix 1 - Genomförande Granskningen har genomförts via intervjuer med IT-chef och Säkerhetschef på Oskarshamns Kommun samt personal gällande förvaltning av applikationerna Public 360 och Raindance. I samband med dessa intervjuer har följande generella kontroller gällande drift och hantering och applikationer granskats: IT-styrning/ ansvarfördelning och förvaltningsrutiner - Det finns ett strukturerat arbete för att säkerställa en god ITsäkerhet? - Det finns erforderliga styrande dokument framtagna som är kommunicerade till intressenterna (t ex verksamheten)? - Utbildning av personal sker i IT-säkerhet? Behörighetshantering - Hantering av behörigheter (tillägg, förändring, borttag) sker strukturerat. - Behörigheter till applikationer granskas periodiskt? - Applikationen skyddas med lösenord som efterlever satta policys och leading practice? - Loggfunktionalitet finns aktiverad i kritiska applikationer? - Regelbundna logguttag och analys av genomförd aktivitet för de centrala enheterna? Förändringshantering - Ändamålsenlig förändringshanteringsrutin finns på plats? Drift - Rutiner för backup och avbrottshantering finns definierade? Följande personer har intervjuats i samband med granskningen: Tomas Karlsson, IT-chef Lars Blomberg, Säkerhetschef Andreas Carlsson, Driftansvarig IT-avdelningen Eva Nilsson, Systemförvaltare Public 360 Elin Johansson, Systemförvaltare Public 360 Kristina Danielsson, Systemförvaltare Raindance Intervjufrågor har baserats på de generella kontroller som identifieras ovan. För vissa områden där det funnits stödjande dokumentation har vi granskat denna. Dokumentation och information från intervjun har varit till underlag för de bedömningar som gjorts relaterade till kontrollen. All typ av information och dokumentation har beaktats, även om den inte anses var av formell karaktär. Samtliga intervjuade personer har fått möjligheten att lämna kommentarer på de områden i rapporeten som de varit involverade i. Oskarshamn kommun 19 av 22

22 5. Appendix 2 - Dokumentförteckning samt intervjuer Under granskningen tagit del av följande dokument: Dokument Arkivbeskrivning för kommunstyrelsen Arkivreglemente fastställt Backuprutiner HSA_Anslutningsavtal_HPTA_Oskar shamns_kommun_version_3.6.2 Incidentrapport strömavbrott Informationssäkerhetspolicy Oskarshamns kommun IT-regler KS Strategi för bredband Oskarshamns kommun.doc _5_0 PatchrutinerServrarochDB Projektplan ver 5 Public 360 SP7 Restorerutiner Riktlinjer för avtalshantering Riktlinjer för bredband Rutiner_OskarshamnsKommun_SE _version_1_2 Service o Support Struktur AD Tjänsteavtal SITHS bilaga RAPS KO Oskarshamn Kort information Sammanfattning hur arkiv är organiserat Reglemente för kommunfullmäktige samt kommunens myndigheter Information om hantering av backuper Speglingsdokument till HSA-policyn anpassat till kommunen Exempel på incidentrapport Information om kommunens arbete med informationssäkerhet Regler för användning av IT-system Kommunens strategi för bredband Patchhantering på Kommunen Projektplan Oskarshamn Kommun, för Public 360 Restorerutiner Oskarshamn Kommun Avtalshantering för verksamheter inom Kommunen Riktlinjer för bredbandsutbyggnad Skriftliga rutiner i samband med kort- och certifikatutgivning Flödesschema service och support Karta över AD-strukturen Beskriver hur RA-organisationen är utformad i Kommunen Oskarshamn kommun 20 av 22

23 6. Appendix 3 - Definitioner Ord Informationssäkerhet IT-säkerhet Pm3 Patch Definition Informationssäkerhet syftar till de rutiner som kommunen implementerar för att säkerställa informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet. Det vill säga att rätt information är tillgänglig för rätt person inom rimlig tid. IT-säkerhet syftar till att skydda kommunens värdefulla tillgångar som information, hårdvara och mjukvara. IT-säkerheten fokuserar främst på att hantera risker förknippade med användningen av IT. Pm3 är en förvaltnings- och portföljstyrningsmodell. Det betyder att pm3 både kan användas till att skapa ordning och reda i det enskilda förvaltningsuppdraget samt för att hantera organisationens totala uppdragsportfölj avseende förvaltning och utveckling. Är en rättning (programfix eller buggfix) som installeras i en applikation. En mindre uppdatering som ofta genomförs regelbundet. Oskarshamn kommun 21 av 22

24 Ragnar Malmros Projektledare Pär Sturesson Uppdragsledare Oskarshamn kommun 22 av 22

Revisionsrapport. IT-revision Solna Stad ecompanion

Revisionsrapport. IT-revision Solna Stad ecompanion Revisionsrapport IT-revision 2013 Solna Stad ecompanion Fredrik Dreimanis November 2013 Innehållsförteckning Inledning... 3 Avgränsning.3 Granskningens omfattning... 4 Sammanfattning... 5 Observationer

Läs mer

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017 Region Gotland Generella IT kontroller Visma och HR Plus Detaljerade observationer och rekommendationer Februari 2017 Fredrik Dreimanis Jonas Leander Innehållsförteckning Sammanfattning av granskningen...

Läs mer

Uppföljningsrapport IT-revision 2013

Uppföljningsrapport IT-revision 2013 Revisionsrapport Uppföljningsrapport IT-revision 2013 Solna Stad Raindance Fredrik Dreimanis November 2013 1 av 10 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning... 5

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010. Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen

Läs mer

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer. Botkyrka Kommun Revisionsrapport Generella IT kontroller Aditro och HRM Detaljerade observationer och rekommendationer Oktober 2015 Anders Hägg Fredrik Dreimanis Anna Lång Thomas Bauer Innehållsförteckning

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång.  Informationssäkerhetsspecialister: www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet angående externt och internt dataintrång Informationssäkerhetsspecialister: Pernilla Nordström Viktor Bergvall Victor Svensson Kommunalrevisor:

Läs mer

Region Skåne Granskning av IT-kontroller

Region Skåne Granskning av IT-kontroller Region Skåne Granskning av IT-kontroller Per Stomberg Niklas Westerlund Deloitte AB Januari 2016 2 Innehållsförteckning 1. Sammanfattning... 3 2. Inledning... 4 2.1 Bakgrund och syfte... 4 2.2 Revisionskriterier...

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Granskning av generella IT-kontroller för PLSsystemet

Granskning av generella IT-kontroller för PLSsystemet F Ö R S V A R E T S M A T E R I E LV E R K (F M V ) 115 88 S T O C K HO LM Försvarets materielverk (FMV) Granskning av generella IT-kontroller för PLSsystemet vid Försvarets materielverk (FMV) Som ett

Läs mer

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016 www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016 Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4

Läs mer

Revision av den interna kontrollen kring uppbördssystemet REX

Revision av den interna kontrollen kring uppbördssystemet REX 1 Revision av den interna kontrollen kring uppbördssystemet REX 1 Inledning Riksrevisionen har som ett led i den årliga revisionen 2012 av Kronofogdemyndigheten (KFM) granskat den interna kontrollen kring

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Granskning av intern kontroll i kommunens huvudboksprocess

Granskning av intern kontroll i kommunens huvudboksprocess Revisionsrapport Granskning av intern kontroll i kommunens huvudboksprocess Marks kommun Andreas Crusell Erik Sellergren Augusti 2015 Innehållsförteckning 1. Introduktion... 1 1.1. Bakgrund och revisionsfråga...

Läs mer

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag Förfrågningsunderlag stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav

Läs mer

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Granskning av generella IT-kontroller för ett urval system vid Skatteverket SKATTEVERKET 171 94 SOLNA Granskning av generella IT-kontroller för ett urval system vid Skatteverket Som ett led i granskningen av årsredovisningen med syfte att göra uttalanden om denna har Riksrevisionen

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret GRANSKNINGS Uppföljning IT-granskningar Projektledare: Lotta Onsö Beslutad av revisorskollegiet 2013-06-12 RAPP Uppföljning IT-granskningar Postadress: Stadshuset, 205 80 Malmö Besöksadress: August Palms

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Granskning av applikationenn Basware oktober 2012*

Granskning av applikationenn Basware oktober 2012* Granskning av applikationenn Basware 2012 22 oktober 2012* 1. Granskningens omfattning PwC har på uppdrag av revisionskontoret (Kjell Johansson) genomfört en granskning av applikationen Basware. Syftet

Läs mer

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket 171 94 Solna. Datum Dnr 2012-02-03 32-2011-0544

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket 171 94 Solna. Datum Dnr 2012-02-03 32-2011-0544 Revisionsrapport Skatteverket 171 94 Solna Datum Dnr 2012-02-03 32-2011-0544 Revision av uppbördsprocessen Moms 1 Inledning Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen 2014-05-03, dnr VER 2014-132

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen 2014-05-03, dnr VER 2014-132 Riksrevisionen årlig revision 1 (12) 4.2 Systemgenererade listor över applikationsförändringar kan för närvarande inte produceras. Avsaknad av fullständiga listor över applikationsförändringar som har

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Svar på revisionsskrivelse informationssäkerhet

Svar på revisionsskrivelse informationssäkerhet TJÄNSTEUTLÅTANDE Personalavdelningen Dnr KS/2014:280-007 2015-03-03 1/3 KS 10:1 Handläggare Annica Strandberg Tel. 0152-291 63 Kommunrevisionen Svar på revisionsskrivelse informationssäkerhet Förslag till

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

POLICY INFORMATIONSSÄKERHET

POLICY INFORMATIONSSÄKERHET POLICY INFORMATIONSSÄKERHET Fastställd av Kommunfullmäktige 2016-03-21 56 Bo Jensen Säkerhetsstrateg Policy - Informationssäkerhet Denna policy innehåller Haninge kommuns viljeinriktning och övergripande

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Granskning av IT-säkerhet

Granskning av IT-säkerhet TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet

Läs mer

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011 Revisionsrapport Förstudie av personalsystemet Kalmar kommun Caroline Liljebjörn Förstudie av personalsystemet 2011-10-10 Caroline Liljebjörn Stefan Wik Kalmar kommun Förstudie av personalsystemet Innehållsförteckning

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Granskning av intern kontroll i kommunens centrala löneprocess

Granskning av intern kontroll i kommunens centrala löneprocess Revisionsrapport Granskning av intern kontroll i kommunens centrala löneprocess Amanda Elg Fredrik Jilmstad Joakim Rydberg Januari 2016 Innehållsförteckning 1. Sammanfattning... 1 2. Introduktion... 2

Läs mer

Styrning av behörigheter

Styrning av behörigheter Revisionsrapport Styrning av behörigheter i journalsystem Landstinget i Östergötland Janne Swenson Kerem Kocaer Jens Ryning Eva Andlert, cert. kommunal revisor Styrning av behörigheter i journalsystem

Läs mer

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören Version: 1 Beslutsinstans: Regiondirektören 2(10) ÄNDRINGSFÖRTECKNING Version Datum Ändring Beslutat av 1. 2016-06-30 Nyutgåva Regiondirektören 3(10) INNEHÅLLSFÖRTECKNING 1 INLEDNING...4 2 ANSVAR FÖR INFORMATIONSSÄKERHET...4

Läs mer

Granskning av bokslutsprocessen

Granskning av bokslutsprocessen www.pwc.se Revisionsrapport Martin Westholm Granskning av bokslutsprocessen Motala kommun Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Bakgrund... 2 2.2.

Läs mer

Externt finansierade projekt

Externt finansierade projekt Revisionsrapport Externt finansierade projekt Gällivare kommun Mars 2010 Hans Forsström, certifierad kommunal revisor Rolf Särkimukka, revisionskonsult 2010-03-11 Hans Forsström Rolf Särkimukka Innehållsförteckning

Läs mer

Övergripande granskning IT-driften

Övergripande granskning IT-driften www.pwc.se Övergripande granskning IT-driften Sollentuna Kommun Bakgrund och syfte Inledning Under augusti-september 2013 har på uppdrag av de förtroendevalda revisorerna i Sollentuna kommun genomfört

Läs mer

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy EDA KOMMUN nformationssäkerhet - Informationssäkerhetspolicy Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål... 2 3 Organisation, roller

Läs mer

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål. Informationssäkerhetspolicy 2011-2014 1. Bakgrund Detta dokument fastställs av kommunfullmäktige och gäller för all verksamhet inom kommunen. Detta betyder att det inte finns utrymme att besluta om lokala

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy Styrdokument, policy Kommunledningskontoret 2011-05-03 Per-Ola Lindahl 08-590 970 35 Dnr Fax 08-590 733 40 KS/2015:315 per-ola.lindahl@upplandsvasby.se Informationssäkerhetspolicy Nivå: Kommungemensamt

Läs mer

Granskning av intern styrning och kontroll vid Statens servicecenter

Granskning av intern styrning och kontroll vid Statens servicecenter 1 Granskning av intern styrning och kontroll vid Statens servicecenter Riksrevisionen har som ett led i den årliga revisionen av Statens Servicecenter granskat den interna styrning och kontroll i myndighetens

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem Karin Norrman Elgh Översiktlig revisionsrapport Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem Vara kommun Anställningar och avslut i lönesystemet

Läs mer

Granskning intern kontroll

Granskning intern kontroll Revisionsrapport Granskning intern kontroll Kinda kommun Karin Jäderbrink Cert. kommunal revisor Innehållsförteckning 1 Sammanfattande bedömning 1 2 Bakgrund 2 2.1 Uppdrag och revisionsfråga 2 2.2 Avgränsning

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

Service Level Agreement mall för kommunalt IT-stöd

Service Level Agreement mall för kommunalt IT-stöd Service Level Agreement mall för kommunalt IT-stöd v1.0-2010-11-02 Kim Weyns & Martin Höst Institutionen för Datavetenskap, Lunds Universitet Box 118, S-221 00 Lund kim.weyns@cs.lth.se Inledning Ett Service

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy. Linköpings kommun Informationssäkerhetspolicy Linköpings kommun Antaget av: Kommunfullmäktige Status: Antaget 2016-08-30 291 Giltighetstid: Tillsvidare Linköpings kommun linkoping.se Sekretess: Öppen Diarienummer: Ks 2016-481

Läs mer

Datum 2014-04-11. Kommunrevisionen: Granskning av generalla IT-kontroller 2013

Datum 2014-04-11. Kommunrevisionen: Granskning av generalla IT-kontroller 2013 ta,xj -Zoty-OG-I^ Uppsala "KOMMUN A retat. 4-5 KONTORET FÖR BARN, UNGDOM OCH ARBETSMARKNAD Handläggare Wicks Elaine Datum 2014-04-11 Diarienummer BUN-2014-0631 Barn och ungdomsnämnden Kommunrevisionen:

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Granskning av utbetalningar

Granskning av utbetalningar Revisionsrapport Granskning av utbetalningar Trelleborgs kommun Bengt-Åke Hägg Godkänd revisor Innehållsförteckning 1. Sammanfattning... 1 2. Inledning... 1 2.1. Bakgrund... 1 2.2. Revisionsfråga... 1

Läs mer

Granskning av bokslutsprocessen

Granskning av bokslutsprocessen www.pwc.se Revisionsrapport Martin Westholm Granskning av bokslutsprocessen Mjölby kommun Innehållsförteckning 1. Sammanfattning... 1 2. Inledning... 2 2.1. Bakgrund... 2 2.2. Uppdrag... 2 2.3. Metod och

Läs mer

Uppföljning av tidigare granskning

Uppföljning av tidigare granskning Uppföljning av tidigare granskning Härnösands kommun Maj 2015 Innehåll Sammanfattning 1 Uppdrag och bakgrund 1 Revisionsfråga 1 Revisionskriterier 1 Svar på revisionsfrågan 1 1. Inledning 2 Uppdrag och

Läs mer

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen 2014-05-16 dnr 017721-2014

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen 2014-05-16 dnr 017721-2014 Riksrevisionen årlig revision 1 (14) 5.2 Systemgenererade listor över applikationsförändringar kan för närvarande inte produceras. Avsaknad av fullständiga listor över applikationsförändringar som har

Läs mer

Uppföljning av tidigare granskningar

Uppföljning av tidigare granskningar Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2

Läs mer

Uppföljning avseende granskning av attestrutiner

Uppföljning avseende granskning av attestrutiner Revisionsrapport Uppföljning avseende granskning av attestrutiner Nynäshamns kommun December 2010 Jonas Eriksson Innehållsförteckning 1 Inledning... 1 1.1 Syfte och revisionsfråga... 1 1.2 Avgränsning

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Stockholms Stadshus AB. Granskning av IT-intern kontroll 11 December 2014

Stockholms Stadshus AB. Granskning av IT-intern kontroll 11 December 2014 Stockholms Stadshus AB Granskning av IT-intern kontroll 11 December 2014 Innehåll Innehåll 1. Inledning 1.1 Sammanfattning 2. Introduktion 2.1 Bakgrund syfte 2.2 Omfattning av granskning 2.3 Utvärderingskriterier

Läs mer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad

Läs mer

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc www.pwc.se Revisionsrapport Joanna Hägg Tilda Lindell Granskning av intern kontroll Tierps kommun pwc Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Granskningsbakgrund...

Läs mer

Slutrapport. Certifiering LADOK Pontus Abrahamsson Lösningsarkitekt Säkerhet

Slutrapport. Certifiering LADOK Pontus Abrahamsson Lösningsarkitekt Säkerhet Slutrapport 2015-11-11 Certifiering LADOK Pontus Abrahamsson Lösningsarkitekt Säkerhet 046-16 34 02 Pontus.Abrahamsson@atea.se Atea Sverige AB Roskildevägen 1B, vån 5 211 47 Malmö Org. Nr: 556448-0282

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

1(6) Informationssäkerhetspolicy. Styrdokument

1(6) Informationssäkerhetspolicy. Styrdokument 1(6) Styrdokument 2(6) Styrdokument Dokumenttyp Policy Beslutad av Kommunfullmäktige 2017-05-17 73 Dokumentansvarig IT-chef Reviderad av 3(6) Innehållsförteckning 1 Inledning...4 1.1 Begreppsförklaring...4

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Revisionsrapport E-förvaltning: molntjänster Skellefteå kommun Bo Rehnberg Cert. kommunal revisor

Revisionsrapport E-förvaltning: molntjänster Skellefteå kommun Bo Rehnberg Cert. kommunal revisor www.pwc.se Revisionsrapport E-förvaltning: molntjänster Bo Rehnberg Cert. kommunal revisor Januari 2017 Innehåll Sammanfattning...2 1. Inledning...3 1.1. Bakgrund...3 1.2. Syfte och kontrollområden...3

Läs mer

Policy för säkerhetsarbetet i. Södertälje kommun

Policy för säkerhetsarbetet i. Södertälje kommun Policy för säkerhetsarbetet i Södertälje kommun Antagen av kommunfullmäktige den 28 september 1998 2 Södertälje kommun reglerar genom detta policydokument sin inställning till säkerhet och trygghet. Säkerhetspolicyn

Läs mer

Övergripande granskning av IT-driften - förstudie

Övergripande granskning av IT-driften - förstudie MISSIV 1(1) 2013-09-04 LJ2013/1116 Landstingsstyrelsen Övergripande granskning av IT-driften - förstudie Bakgrund Landstingets revisorer har i skrivelse 2013-06-13 redovisat en övergripande granskning

Läs mer

Svar på revisionsrapport om kommunens IT-strategi

Svar på revisionsrapport om kommunens IT-strategi TJÄNSTEUTLÅTANDE 2010-02-09 Dnr KS 157/2009-01 Leif Eriksson Kommunstyrelsen 2010-03-08 Svar på revisionsrapport om kommunens IT-strategi Sammanfattning KPMG har av Täby kommuns revisorer fått i uppdrag

Läs mer

Matarengivägsprojektet

Matarengivägsprojektet www.pwc.se Revisionsrapport Robert Bergman, revisionskonsult Matarengivägsprojektet Övertorneå kommun Mars 2013 Innehållsförteckning 1. Sammanfattning... 1 2. Inledning...3 2.1. Bakgrund...3 2.2. Revisionsfråga...3

Läs mer

Revisionsrapport Rutiner och intern styrning och kontroll 2016

Revisionsrapport Rutiner och intern styrning och kontroll 2016 T R A N S P O R T S T Y R E LSEN 601 73 N O R R K Ö P I N G B E S LUT: 20 1 7-04- 12 Transportstyrelsen Revisionsrapport Rutiner och intern styrning och kontroll 2016 Som ett led i granskningen av årsredovisningen

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Revisionsrapport angående granskning av kommunens anpassning till nya IT-lösningar

Revisionsrapport angående granskning av kommunens anpassning till nya IT-lösningar IT-avdelningen Stellan Sjögren,0550-88 020 stellan.sjogren@kristinehamn.se Tjänsteskrivelse Datum 2016-01-08 Ks/2015:205 006 Revision Sida 1(2) Revisionsrapport angående granskning av kommunens anpassning

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Uppföljning av revisionsrapport om kommunens IT-hantering från 2010

Uppföljning av revisionsrapport om kommunens IT-hantering från 2010 PM Uppföljning av revisionsrapport om kommunens IT-hantering från 2010 Emmaboda kommun 11 juni 2012 Jard Larsson Certifierad kommunal revisor 2010-års granskning Följande revisionsfrågor ställdes 2010:

Läs mer

Rapport intern kontroll 2016

Rapport intern kontroll 2016 Rapport Dnr: 2016/13 2017-01-27 Kommunstyrelsen Rapport intern kontroll 2016 Bakgrund och sammanfattning Enligt reglementet för internkontroll ska varje nämnd årligen anta en plan för granskning samt uppföljning

Läs mer

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Kommunens revisorer 2013-04-08 GRANSKNING AV INTERNKONTROLLPLANER I HÄRRYDA KOMMUN Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Rapporten

Läs mer

Granskning av utbetalningar

Granskning av utbetalningar Revisionsrapport Granskning av utbetalningar Trelleborgs kommun Bengt-Åke Hägg Godkänd revisor Innehållsförteckning 1. Sammanfattning... 1 2. Inledning... 1 2.1. Bakgrund... 1 2.2. Revisionsfråga... 1

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

IT-policy. Styrdokument, policy Kommunledningskontoret Per-Ola Lindahl

IT-policy. Styrdokument, policy Kommunledningskontoret Per-Ola Lindahl Styrdokument, policy Kommunledningskontoret 2011-05-03 Per-Ola Lindahl 08-590 970 35 Dnr Fax 08-590 733 40 KS/2015:314 per-ola.lindahl@upplandsvasby.se IT-policy Nivå: Kommungemensamt styrdokument Antagen:

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Rapport avseende granskning av IT-säkerhet. Östersunds kommun Rapport avseende granskning av IT-säkerhet Östersunds kommun November 2014 Innehåll Sammanfattning 1 1. Inledning 2 1.1. Uppdrag och bakgrund 2 1.2. Revisionsfråga 2 1.3. Revisionskriterier 2 1.4. Avgränsning

Läs mer

Vetenskapsrådets informationssäkerhetspolicy

Vetenskapsrådets informationssäkerhetspolicy Vetenskapsrådets informationssäkerhetspolicy 1 (6) Ändringshistorik Datum Version Beskrivning av ändring Vem 2014-01-07 PA1 Initial version Torulf Lind 2014-01-07 PA2 Uppdatering roller Torulf Lind 2014-01-17

Läs mer

ABCD. Intern kontroll avseende inköp Revisionsrapport. Arvika kommun. KPMG 2011-11-15 Antal sidor: 12

ABCD. Intern kontroll avseende inköp Revisionsrapport. Arvika kommun. KPMG 2011-11-15 Antal sidor: 12 ABCD Arvika kommun Intern kontroll avseende inköp Revisionsrapport KPMG 2011-11-15 Antal sidor: 12 ABCD Arvika kommun Intern kontroll avseende inköp 2011-11-15 Innehåll 1. Sammanfattning 1 2. Bakgrund

Läs mer

Upphandling och inköp

Upphandling och inköp www.pwc.se Revisionsrapport Bo Rehnberg Cert. kommunal revisor December 2014 Upphandling och inköp Skellefteå kommun Innehållsförteckning 1. Sammanfattning... 1 2. Inledning...2 2.1. Bakgrund...2 2.2.

Läs mer

Revisionsrapport. Granskning av leverantörsregister. Sollentuna kommun. pwc

Revisionsrapport. Granskning av leverantörsregister. Sollentuna kommun. pwc Revisionsrapport Granskning av leverantörsregister Sollentuna kommun pwc 2012-11-09 Anders Petersson Anders Haglund Projektledare Uppdragsledare Namn förtydligande Namnförtydligande Innehållsförteckning

Läs mer

Bilaga 3 Säkerhet Dnr: /

Bilaga 3 Säkerhet Dnr: / stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet

Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet Utbildningsnämnden Ordförandeförslag Diarienummer Göran Nilsson (M) 2014-02-08 UN-2013/279 Utbildningsnämnden Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet UN-2013/279 Förslag

Läs mer

Stadsrevisionen. Projektplan. Intern styrning och kontroll leverantörer. goteborg.se/stadsrevisionen

Stadsrevisionen. Projektplan. Intern styrning och kontroll leverantörer. goteborg.se/stadsrevisionen Stadsrevisionen Projektplan Intern styrning och kontroll leverantörer goteborg.se/stadsrevisionen 2 INTERN STYRNING OCH KONTROLL LEVERANTÖRER Intern styrning och kontroll leverantörer I revisionsplanen

Läs mer