IT-revision hösten 2001

Transkript

1 KPMG Revision Antal sidor: 9

2 Innehåll 1. Inledning 1 2. IT-struktur 1 3. IT-verksamheten Riskområden Kontrollområden 5 4. Sammanfattande förslag till förbättringar 9

3 1. Inledning KPMG har på uppdrag av kommunens revisorer genomfört en övergripande genomgång av ITverksamheten i Grästorps kommun. Syftet med granskningen har varit att bedöma ITverksamheten samt att ställa den i relation till verksamhetens behov. Genomgången har genomförts främst vid den centrala IT-enheten. Vi har också besökt andra verksamhetsområden inom kommunen såsom Barn- och ungdomsförvaltningen, Socialförvaltningen, Tekniska förvaltningen och Kultur- och fritidsförvaltningen. Tillvägagångssättet har varit att genom intervjuer och okulärbesiktning vid den centrala IT-enheten och utvalda förvaltningar fokusera på risker och ställa dessa i relation till kontroller vi bedömt nödvändiga. Vi har i vårt arbete varit i kontakt med: Lennart Blanckenfiell... Administrativ chef tillika IT-chef Kurt Eriksson... Rektor, Barn- och ungdomsförvaltningen Inger Knutssson... Systemansvarig IST Barn, Barn- och... ungdomsförvaltningen Christina Karlsson... Chef Socialförvaltningen Margot Svensson... Assistent, Socialförvaltningen Monica Alenhag... Assistent, Tekniska förvaltningen Yvonne Tosthage... Barnbiblotikarie, systemansvarig Libra, Kultur- och fritidsförvaltningen 2. IT-struktur Kommunens datorbestånd består av ca 300 st PC, varav 160 st inom administrationen och 140 st inom skolan. Det finns ingen policy bestämd standard för operativsystem utan både Windows 95, 98, och NT Workstation 4.0 används på arbetsstationerna. Serverbeståndet uppgår till ca 15 st administrativa servrar och ca 2 skolservrar. Novells NetWare 5 används som nätoperativsystem och ligger på kommunens fileserver. På databasservrarna används MS Windows NT som operativsystem och Oracle eller MS SQLserver som databashanterare. Den tekniska plattformen i kommunen skall enligt IT-strategin, antagen av kommunfullmäktige 1997, vara öppen, med vilket man menar bestå av standardkomponenter som kan köpas från valfri leverantör. Det finns två helt separerade fiber IT-nätverk inom Grästorps kommun; det administrativa nätet och skolnätet. Förutom åtkomst till servers och andra gemensamma resurser möjliggör de även förbindelse till Internet via router och brandvägg. De system som används inom kommunen består av ekonomisystem (Devis x), personaladministrativt system (WM-lön), övriga administrativa stöd och verksamhetsspecifika system som t ex Procapita (IFO), Beakta (Äldreomsorg), ITS-Barn (Barnomsorg), Depend (elevadministration och schema), kommunalt invånarregister (KIR) och ÄHS (ärendehanteringssystem). Kommunen har licenser för nyttjanderätt och samtliga verksamhetssystem körs lokalt i kommunen på utrustning placerad i kommunhuset. Inom Kultur- och Fritidsförvaltningen används systemet Libra 1 (9)

4 för utlåning av böcker med mera. Servern finns placerad på biblioteket i kommunhuset. Kommunen använder Novells e-post system GroupWise. 3. IT-verksamheten 3.1 Riskområden Beroende av IT Inom kommunen finns många olika verksamhetsområden med olika krav på tillgänglighet i ITstödet. Behovet av tillgänglighet kan variera beroende på när under månaden en eventuell incident inträffar. Förståelsen för IT-säkerhet är varierande i organisationen. Utifrån våra intervjuer är vår bedömning att förståelsen för IT-säkerhet har ökat efter den sårbarhetsanalys av IT-stödet som ÖCB, Överstyrelsen för Civil Beredskap, gjorde under hösten I de datasystem som utnyttjas inom kommunens verksamhet bearbetas i huvudsak information i direkt kommunikation med användare och dator. Batch-jobb förekommer, dock inte i någon väsentlig omfattning och för det mesta initieras dessa jobb av användare. Baserat på de områden vi granskat är vår uppfattning att verksamheten kan få störningar, men att störningarna inte bedöms som väsentliga vid kortare driftstopp (maximalt en arbetsdag). Enligt uppgift har driftsstopp i ekonomisystemet Devis varit mer frekvent förekommande under senare tid. Orsaken till stoppen uppges vara att servern inte längre har den kapacitet som behövs efter ett flertal uppgraderingar av systemet. Bland annat har databashanteraren (Oracle) uppgraderats. Åtgärder för att lösa problemet planeras. Vid granskningen framkom att tillgängligheten till och beroendet av servrarna inom skolans verksamhet har i princip lika höga krav på tillgänglighet som kommunadministrationens servrar IT-kompetens och resurser Kommunens IT-enhet, bestående av en IT-chef, på ca 85 % och 2,5 tjänster för IT-tekniker. ITchefen är också administrativ chef i kommunen. IT-enheten ansvarar för kommunikation, driften av det administrativa nätet och skolnätet, applikationer/databaser (generella system), nätövervakning, helpdesk, serverdrift och internutbildning. Där IT-chefen bedömer att specialistkompetens erfordras, köps dessa tjänster in av externa konsulter. Samtliga servrar, förutom Kulturförvaltningens biblioteksserver, förvaras i kommunhusets serverrum och backup-tagning sker via en central backupserver med en backupstation ansluten. IT-enheten ansvarar för att detta arbete genomförs. Driften för biblioteksservern handhas av Kulturförvaltningen. Ansvaret för säkerhetskopiering m m på denna lokalt placerade server ligger på förvaltningsnivå. Drift och service av skolans nätverk hanteras av IT-enheten, vilka tar emot rapporter från skolans personal om servicebehov. Personalen inom IT-enheten betraktas som nyckelpersoner. Personalomsättningen är enligt uppgift låg och resurstillgången bedöms vara hårt belastad. Personalen arbetar mycket och antalet sparade semesterdagar är stort. 2 (9)

5 För kommunikation av IT-frågorna inom kommunen skall en IT-ansvarig enligt IT-strategin finnas på varje förvaltning. Dennes uppgift är bland annat att samordna förvaltningens behov av IT-stöd samt kontrollera förvaltningens ITsäkerhet och rapportera till förvaltningsledningen och kommunens IT-chef. Enligt uppgift bildar dessa förvaltningsrepresentanter från Socialförvaltningen, Barn- och ungdomsförvaltningen, Tekniska förvaltningen och Kulturförvaltningen, kommunens IT-grupp, där kommunövergripande IT-frågor diskuteras. Ansvaret för genomförande av utbildning i IT på förvaltningsnivå ligger enligt uppgift på systemägarna. Vid granskningen framkom att det på vissa håll finns behov av grundutbildning i IT på förvaltningsnivå. IT-enheten har på förfrågan tidigare initierat utbildningar bland annat för nyanställda inom skolan men upplever att uppslutningen varit låg. Det finns ett behov att pedagogiskt kommunicera IT-användning och IT-säkerhet, primärt inom barn- och ungdomsverksamheten Tillförlitlighet i IT-stödet Baserat på de områden vi besökt har vi fått uppfattningen att tillförlitligheten i IT-stödet fungerar bra. Eventuella driftstörningar i verksamheten är relativt få och korta. Incidenter som skett är intrångsförsök på kommunens Internet-server, belägen i en demilitariserad zon d v s placerad mellan brandvägg och router mot Internet. Detta observerades då viss funktion i servern förstördes, men enligt uppgift har ingen information förvanskats eller kommit i orätta händer. Trafiken loggas, men någon kontinuerlig genomgång av loggarna sker inte idag. Enligt uppgift finns planer på att upphandla tjänst hos säkerhetskonsult för att höja kompetensen att skapa och läsa loggar samt skapa en larmfunktion i kontrollen av obehöriga intrångsförsök. Möjligheter för anställda att arbeta på distans finns, dock har kommunen inte kommit igång med detta i någon större utsträckning ännu. Orsaken är att man först skall ta fram en säkerhetspolicy vid distansarbete. Vidare skall frågan om brandvägg och virusskydd på anställdas PC utredas. Det finns några anställda inom Socialförvaltningen som arbetar på distans vid enstaka tillfällen. Förfrågan om att arbeta hemifrån har inkommit från främst skolverksamheten. Dock uppges att man i nuläget, med hänsyn till säkerhetsaspekten, inte har för avsikt att skapa denna möjlighet. Möjlighet att läsa e-post finns redan via extern inloggning från Internet. Backuper görs varje natt enligt ett rullande tvåveckorsschema. Den ena veckas backupband förvaras i bankfack och den andra i ett av arkiven på kommunhuset. Kontroller finns som säkerställer att backuperna är läsbara Via serviceavtal finns möjligheten för systemleverantören/konsulten att med hjälp av modem få tillgång till nät och system vid exempelvis hjälp med problemlösning. Det har inträffat incidenter då kopplingen varit öppen onödigt länge, vilket skulle kunna resultera i otillbörlig access. Enligt uppgift ser nu IT-enheten över detta för att skapa en rutin för att begränsa öppethållandet till behovet. Det har enligt uppgift förekommit i något enstaka fall att lösenord till system som finns på en arbetsstations hårddisk som är försedd med ett s k hårdvarulås har förkommit. Detta resulterade i att data på den låsta utrustningen inte längre är tillgängligt för kommunen. 3 (9)

6 Antivirus-program finns installerad i fileserver. Däremot finns inget program installerat på varje arbetsstation. Orsaken uppges vara att all data som produceras eller kommer till kommunen skall läggs på fileservern och där sker viruskontrollen. Vid en virusattack skickas ett meddelande till samtliga IT-tekniker och IT-chefen. Antivirusprogrammet är så konfigurerat att det automatiskt rensar den infekterade filen. Uppdatering av virusdefinitionerna i programmet sker varje dag Förändringar i IT Vid granskningen framkom att de generella system (applikationer) som används i kommunen är utbytta/uppgraderade relativt nyligen. Kommunen använder inom det administrativa nätet Microsofts produkter och inköp sker via ett s k Select-avtal. Kommunen har tidigare hållit fast vid äldre versioner av Microsofts officeprogram, vilket fått till följd att det varit svårt att läsa datafiler som skapats i nyare versioner av officeprogrammen. Internt uppges att detta inte vållat några problem. Samtliga arbetsstationer inom det administrativa nätet skall numera använda MS Office2000. Inom skolnätet används Corels Office produkter, som WordPerfect9, Presentations, QuatroPro och Corel Draw. Organisationsförändringar hos leverantören kan innebära en risk för att support och systemutveckling kan begränsas. Detta har man dock inte upplevt hos kommunen. Enligt uppgift har inga problem kring kompatibliteten mellan filer från de olika officeprogrammen identifierats inom kommunen. Även den miljö i vilken applikationerna utnyttjas har ändrats i samma takt som uppgradering av systemen, vilket ställer krav på IT-personalen för att de skall klara att sköta driften av datanät och applikationer med bibehållen tillgänglighet och säkerhet Extern IT Kommunen har för de använda systemen serviceavtal för både hård- och mjukvara. Här ingår i flertalet avtal även support för systemen. Viss IT-kunskap, t ex specialistkunskaper, köps av IT-konsulter för att komplettera de interna resurser som finns inom IT-enheten. Aktuell IT-konsult bestäms utifrån varje specifikt fall. Andelen köpta tjänster är dock låg och uppgår till ca 10% av den totala IT-drifts budgeten. I huvudsak tillämpas skriftliga avtal, men muntliga överenskommelser förekommer också. Enligt uppgift begär IT-chefen alltid skriftlig dokumentation från på det av IT-konsulter utförda arbetet. Betalning till konsultföretaget sker inte förrän godkänd dokumentation överlämnats till kommunen Verksamhetsfokusering En gemensam IT-strategi för kommunen finns framtagen och är antagen av kommunfullmäktige under IT-strategin anger områden som definition av IT, syfte, teknisk plattform och säkerhet, organisation och ansvar, administrativt utvecklingsarbete, vinst nytta av IT-system samt handlingsplan. Det framkom vid våra intervjuer att IT-strategin förefaller vara tämligen ambitiös men inte används fullt ut i kommunen. Begrepp som systemägare och systemförvaltare har inte utsetts för alla system. Verksamheten efterlyser förtydligande över innebörden av de angivna rollerna. 4 (9)

7 Vid våra intervjuer framkom det att ett förslag till uppdaterad IT-strategi är under arbete i IT-gruppen. Strategin bör i en omarbetad version ta ursprung i vision och framåtsträvanden med IT. Vi fick vid våra intervjuer den uppfattningen att stödet och samordningen från IT-enheten ibland kan dra ut på tiden men i huvudsak fungerar bra. Den service och feedback som verksamheten får på anmälda servicebehov har förbättrats. Verksamheten efterlyser dock kontinuerligt stöd avseende bland annat utbildning. Inom Barn- och Ungdomsförvaltningen finns en av nämnden fastställd IT-plan för skolverksamheten. Inom Socialförvaltningen finns idag inget systemstöd för äldreomsorgshanteringen. Det finns enligt uppgift tillsatt en projektgrupp som ser över en möjlig upphandling av systemstöd av denna typ. 3.2 Kontrollområden Styrning av IT-verksamheten Kommunens IT-funktion är organiserad under den administrativa funktionen inom kommunledningskontoret. Den administrativa chefen har också uppgiften som IT-chef och representerar därigenom IT-funktionen i kommunens ledningsgrupp. Därigenom kan han lyfta och bevaka de strategiska IT-frågorna. Inom kommunen finns en IT-grupp som består av utsedda IT-ansvariga från respektive förvaltning. IT-chefen är sammankallande för gruppen och möten sker ca 4 till 5 gånger per år. Förvaltningarna äger och har ansvar för de verksamhetsspecifika system (applikationer) som utnyttjas. IT-enheten ansvarar för driften av servrar m m. I IT-strategin finns översiktligt beskrivet ansvarsroller för systemen. Ett förtydligande av uppgifterna och ansvaret för de olika rollerna efterlyses av organisationen, vilket IT-gruppen har arbetat med. Det råder i organisationen viss oklarhet huruvida exempelvis nämnd eller förvaltningschef skall inneha rollen som systemägare. Ett utkast till IT-säkerhetsplan diskuteras inom kommunen. I denna finns definierat vilka arbetsuppgifter och ansvar en systemägare, systemansvarig och driftansvarig har. På förvaltningsnivå skall utses systemägare och systemansvariga för verksamhetsspecifika system. För varje system skall finnas en säkerhetsinstruktion och ett förslag till modell för säkerhetsinstruktionen har nyligen godkänts av förvaltningsrepresentanterna i IT-gruppen. ITsäkerhetsplanen kommer också att läggas fram i ledningsgruppen vid nästa möte. Synpunkter IT-enheten representeras av den administrativa chefen i kommunens ledningsgrupp. Detta innebär att IT-frågorna får en framskjuten plats i kommunen. IT-frågorna har en stående punkt på ledningsgruppens dagordning. För att tydliggöra ansvaret för systemägare och systemansvariga på förvaltningsnivå bör det framtagna arbetsdokumentet IT-säkerhetsplan fastställas inom kommunen. IT-ansvarigas roll bör även förtydligas. En uppföljning av det arbete som utifrån denna plan startar inom förvaltningarna bör följas upp för att erhålla kontinuitet i säkerhetsarbetet. 5 (9)

8 IT-strategin bör uppdateras med utgångspunkt från målsättningar och visioner samt en övergripande IT-policy konkretiseras Fysisk säkerhet Utrymmet för de centrala datasystemen (servrar och nätverksutrustning) är placerat i ett för ändamålet anpassat utrymme som är låsbart. Det saknas dock brandlarm, brandsläckare och fuktlarm i lokalen. Brandlarm saknas för övrigt i hela fastigheten. I våningen över lokalen finns ett bibliotek. Vägg och dörr ut mot korridor är förstärkt, men vägg mot lunchrum är ej helt ändamålsenlig. Galler finns för fönster i lokalen. Kylanläggning finns installerad. Utrustningen är placerad upphöjd nivå ovanför golvet. De kortare strömavbrott som inträffar hanteras via reservkraft, i form av UPS Dock har funktionaliteten i UPS-anläggningen ej varit helt tillfredsställande, varför underhåll har gjorts och en testning skett under början av september Testet visade att hela serverrummet har strömförsörjning under 37 minuter vid ett strömavbrott. Efter mellan tio och femton minuter tas databaserna ned automatiskt. När några minuter återstår stängs sevrarna ner automatiskt. IT-enhetens personal och kontorsvaktmästaren har tillgång till serverrummet. Dock måste för tillträde av kontorsvaktmästaren först IT-enhetens personal ha låst upp utrymmet. Kulturförvaltningens server för bibliotekssystemet förvaras i ett rum som ej är ändamålsenligt anpassat. Där saknas både larm- och kylanordning. Inom skolverksamheten har det på något håll förekommit att utrustning har försvunnit. Det har också observerats öppna dörrar till utrymmen där bland annat datorutrustning förvaras. Något nu uppdaterat register över befintlig utrustning finns inte inom denna verksamhet. Enligt uppgift hör dessa incidenter samman med ombyggnationer av lokaler. Det framkom också att servicebehov på maskiner inom skolnätet inte alltid rapporteras kontinuerligt till IT-enheten. Vad gäller larmanordning på skolorna, kunde konstateras att Lunnevi skolan saknar både inbrotts- och brandlarm. Synpunkter Vår bedömning är att de utrymmen som finns centralt bör förstärkas vad gäller den fysiska säkerheten (t ex brand- och fuktlarm). Kommunen bör vara medveten om den risk det bibliotek som finns i våningen över utrymmet för datautrustningen kan medföra. En förstärkning av den fysiska säkerheten för servern i det utrymmen som utnyttjas inom biblioteket bör även genomföras. Brister i den interna kontrollen över utrustningen inom skolverksamheten bör följas upp och förbättras. 6 (9)

9 3.2.3 Informationssäkerhet Den information som hanteras i IT-systemen kan klassas olika beroende på inom vilken verksamhet systemen används. Vi bedömer t ex att de system som används inom Socialomsorg och Individ- och Familjeomsorg (IFO) innehåller information som bör klassas som mer sekretessbelagd/känslig. På initiativ av kommunen utförde ÖCB en sårbarhetsanalys av utvalda system under hösten De system som då var fokus för genomgången var ekonomisystemet, personalsystemet, individoch familjeomsorgssystemet och barnomsorgssystemet. Genomgången resulterade i ett åtgärdsförslag som nu ligger till grund för det förbättringsarbete som påbörjats i kommunen. Vid intervjuerna framkom att en IT-säkerhetsplan finns framtagen i form av ett arbetsdokument. Dokumentet anger ansvarsorganisation, informationsklassning, uppföljning av dataloggar, säkerhetskopiering, virusskydd, behörighetsadministration m m. I dokumentet finns direktiv om att en IT-säkerhetsinstruktion skall tas fram för varje system, ett ansvar som ligger på varje systemägare. Det finns inga övergripande direktiv fastställda för hur säkerhetsadministrationen för behörigheter skall fungera. Vi kunde vid vårt besök konstatera att det inte finns någon formell beslutsväg då en ny användare skall nyregistreras och med vilken behörighet denna skall tilldelas. Likaså finns det inte några tydliga rutiner för hur uppföljning av användar-id och behörigheter skall ändras eller avaktiveras då personal slutar eller byter arbetsuppgifter inom kommunen. Det bör tilläggas att det inom Socialförvaltningen tagits fram en väl fungerande rutin för denna hantering. Samordning av behörigheter för servrar och nätverk står IT-enheten för. Samtliga anställda i kommunen och elever inom skolan har tillgång till Internet. Enligt uppgift sker ingen uppföljning av belastning och loggning av trafiken mot Internet och intrångsförsök. Dokumenterade riktlinjer/policy för hantering av Internet och elektronisk post finns inte för det administrativa nätet. Inom skolnätet finns framtaget regler för eleverna via ett datakörkort, som skall undertecknas både av elev, målsman och lärare. Uttjänta datorer skall enligt muntlig instruktion lämnas till IT-enheten. Någon dokumentation avseende hanteringen av äldre datorer finns dock inte framtagen. Synpunkter Det förbättringsarbete som påbörjats i kommunen efter genomgången av ÖCB bör färdigställas. Informationsklassning bör genomföras vid respektive förvaltning. En IT-säkerhetspolicy med systemspecifika riktlinjer bör därefter fastställas. För att förhindra otillbörlig åtkomst av information bör vidare användas ett nätverkslås då den anställde går ifrån sin arbetsplats. Policy för behörighetsregler och -administration bör tas fram. Uppföljning av behörigheter i ITsystemen bör ske årsvis, t ex per förvaltning. Riktlinjer/policy för hantering av Internet och elektronisk post för anställda inom kommunen bör tas fram. Det bör vara upp till varje förvaltning att följa upp och tillse att denna instruktion efterlevs. 7 (9)

10 3.2.4 Avbrottsplanering Vid intervjuerna framkom att beredskaps-/avbrottsplaner inte finns framtagna generellt för ITverksamheten på central nivå och på verksamhetsnivå. Inom Socialförvaltningen finns dock rutiner framtagna för manuella rutiner vid ett eventuellt avbrott. I samband med att IT-säkerhetsplanen fastställs och fullföljs, kommer det enligt uppgift att finnas avbrottsplaner dels för varje system, dels för den omständighet att hela nätet skulle står still. Synpunkter Beredskaps-/avbrottsplaner för IT-verksamheten bör utarbetas och dokumenteras. En uppföljning bör ske som säkerställer att hanteringen genomförs inom samtliga delar av kommunen Förändringsprocessen Inköp av utrustning och programvara skall enligt uppgift samordnas via IT-enheten. Dock är det varje förvaltning som initierar och beslutar om investeringar. Vi har vid våra intervjuer i verksamheten fått den uppfattningen att konkreta anvisningar på hur inköp ska ske inte är helt klara. Det förekommer att utrustning som PC både köps in och leasas. Respektive förvaltning ansvarar för utbildningsplaner för de verksamhetsspecifika systemen. Det förekommer att utbildningsplaner inte finns framtagna, men vår uppfattning är att denna typ av utbildning är ett prioriterat område inom verksamheternas IT-hantering. Synpunkter Vi kan se ett behov av att ytterligare konkretisera anvisningar kring inköp och leasing av utrustning. Vidare bör en kontrollfunktion skapas för säkerställande av att endast licensierad programvara används. 8 (9)

11 4. Sammanfattande förslag till förbättringar Vi bedömer att IT-hanteringen inom Grästorps kommun i grund och botten fungerar bra. Engagemanget från IT-chefen är stort och IT-gruppen har tagit fram ett flertal bra idéer som nu är i färd att sättas i bruk. Som avslutning på vår granskningsrapport har vi nedan sammanfattat våra observationer av områden där förbättringar kan göras och framförallt, påbörjat arbete fullföljas. De olika ansvarsrollerna kring IT, exempelvis ansvaret för systemägare och systemansvariga bör tydliggöras och kommuniceras i organisationen, lämpligtvis via den IT-säkerhetsplan som arbetats fram av IT-gruppen. Säkerhetsarbetet som vidtagit efter rapporteringen från ÖCB bör fortgå och följas upp. Informationsklassning bör göras utifrån en bedömd säkerhetsnivå. Arbetet kring fram-tagandet av IT-säkerhetsinstruktioner för verksamhetsspecifika system inom kommunen bör genomföras. Detta för att kunna ha en ändamålsenlig säkerhetsnivå för IT-stödet. IT-strategin bör uppdateras till aktuella förhållanden med utgångspunkt från målsättningar och visioner samt en övergripande IT-policy bör fastställas. IT-säkerhetsplanen bör färdigställas och antas. Dokumenten bör sedan förankras i hela organisationen. En översyn/förstärkning av den fysiska säkerheten i de utrymmen som kommunen utnyttjar för servrar och kommunikationsutrustning bör genomföras, primärt bör brandlarm installeras. Beredskaps-/avbrottsplaner för såväl IT-verksamheten som annan väsentlig verksamhet inom kommunen bör utarbetas och dokumenteras. Loggning av trafiken mot Internet och eventuella intrångsförsök bör ses över och kontinuerligt följas upp. Behörighetsregler och administrativa rutiner bör tas fram. Företrädesvis bör denna uppgift ligga på respektive förvaltning och systemägare. Uppföljning av behörigheter bör ske årsvis per förvaltning. Policy för hur de anställda bör hantera elektronisk post och Internet bör upprättas och fastställas inom kommunen. Kontrollen över utrustningen inom skolverksamheten bör förbättras på så sätt att inventarieförteckningar uppdateras och utrymmen i möjligaste mån hålls låsta eller hålls under uppsikt då de står öppna. En översyn av virusskyddet på kommunens arbetsstationer bör initieras och följas upp. Anvisningar för inköp och/eller leasing av utrustning bör konkretiseras och kommuniceras i organisationen. Vidare bör en kontrollfunktion skapas som säkerställer att endast licensierad programvara används på arbetsstationerna. Göteborg som ovan KPMG Information Risk Management 9 (9)

12 Camilla Rahm Auktoriserad revisor, IT-revisor Pierre Wennström IT-revisor 10 (9)