Informationssäkerhet. Ett prioriterat granskningsområde. Ann-Marie Dahlros,

Transkript

1 Informationssäkerhet Ett prioriterat granskningsområde Ann-Marie Dahlros,

2 Kort om internrevisionen och Skatteverket Skatteverket Stor geografisk spridning Ca medarbetare Fr.o.m. 1 augusti styrelsemyndighet Internrevisionen 6 internrevisorer inkl chef 4 certifieringar

3

4 Audit Universe Ledningsprocesser Kärnprocess Stödprocess Exempel: Informationssäkerhet Verksamhetsstyrning Organisationskultur/Etik IT-strategi Exempel: Beskattning Brottsbekämpning Folkbokföring Fastighetstaxering ID-kort Bouppteckningar Exempel: Administration/ekonomi HR-frågor Rättsligt stöd IT-stöd Kommunikation Ledningssystem för informationssäkerhet (LIS)

5 Informationssäkerhet ett riskområde Skatteverket har samhällsviktig verksamhet Tillgänglighet, riktighet, konfidentialitet, spårbarhet Information är en av Skatteverkets viktigaste tillgångar. Känslig/kritisk information Funkar LIS? Information är mångfacetterad många informationsbärare Personal, IT-system, pappersform, skalskydd lokaler/utrustning, hantering krisberedskap Kräver målgruppsanpassad kunskap

6 Vilka revisioner har vi genomfört? Diarienummer Revision /1211 Riskhantering inom SKV ur ett säkerhetsperspektiv /1211 Informationssäkerhet Implementering av LIS /1211 IT-generella kontroller-skatteverkets behörighetsstruktur /1211 Informationssäkerhet Kontinuitetsplanering /1211 Riskhanteringsprocessen /1211 IT-säkerhet /1211 Informationssäkerhet Organisation och uppdrag

7 Status LIS 2013 Delvis uppdaterat dock senast 2009, dvs tiden före MSB:s första föreskrift (2010) Planer för uppdateringar som skjutits på framtiden Ingen tidigare genomförd internrevision på övergripande nivå för tiden innan 2012

8 Strategi för revisioner inom området 1. Starta från toppen Lagstiftning? MSFBS 2016:1 ISO Har SKV omsatt gällande lagstiftning? 2. Hur fungerar informationssäkerhetsstyrningen? Testa av om styrningen fungerar som tänkt inom några områden.

9

10 Generiska utmaningar under planeringsfasen Bedömning av risk: Är identifierad risk relevant? Syfte: Fångar syftet risken? Revisionsfrågor: Vilka revisionsfrågor är relevanta för att besvara syftet? Bedömningsgrunder/Kriterier: Utifrån vad ska revisionsfrågorna bedömas? Lagstiftning? COSO? Best practice?

11 Planeringsutmaningar revisionen Implementering LIS Finns en ISK som säkerställer ett fungerande ledningssystem för informationssäkerhet? Hur ta hjälp av COSO-ramverket? Bedömningsgrunder/kriterier?

12 COSO MSBFS 2016:1 Styrmiljö 3, 5, 6 och 7 Uppf o utvärdering Riskanalys 6 9 Info o kommunikation Kontrollåtgärder 5 och 8 8, 10 och 11 Resultat: Vi har identifierat bedömningsgrunder för en god ISK

13 Granskningsplan Syfte: Granska att Skatteverket implementerat och hanterat bestämmelserna i MSB:s föreskrifter om informationssäkerhet. Revisionsfrågor samt bedömningsgrunder: i MSB:s föreskrift Genomförande: Intervjuer och dokumentstudier. Ta hjälp av MSB:s metodstöd

14 Utfyllande beskrivning - MSB:s metodstöd Källa -

15 Sammanfattande slutsatser i revisionen Skatteverket hade inte en ISK som säkerställde ett fungerande ledningssystem för informationssäkerhetsområdet. Otydlighet i mandat för att leda och samordna Styrmiljö Systematiskt arbete för att identifiera risker saknades Avsaknad av granskningar och bristande underlag för utvärderingar av området Riskanalys Uppföljning och utvärdering

16 Framgångsfaktorer Utmaningar

17 Löpande informationsbevakning/uppföljning

18 Vad hände sedan? Diarienummer Revision /1211 Riskhantering inom SKV ur ett säkerhetsperspektiv /1211 Informationssäkerhet Implementering av LIS /1211 IT-generella kontroller-skatteverkets behörighetsstruktur /1211 Informationssäkerhet Kontinuitetsplanering /1211 Riskhanteringsprocessen /1211 IT-säkerhet /1211 Informationssäkerhet Organisation och uppdrag

19 2017 Senast genomförda revision Förutsättningar och input - Organisationsförändringar - Chefsbyten i flera nivåer - Resultat från tidigare genomförda revisioner inkl uppföljningar Underlag för granskningsplan Revisionsfrågor Har säkerhetsarbetet organiserats på ett för Skatteverket optimalt sätt? Finns förmåga att styra, leda och följa upp informationssäkerhetsarbete?

20 Lessons learned Kultur och attitydförändring viktig men tar tid Ligger på ledningens agenda Mandat och ansvar Spegla hela organisationen alla måste sitta i båten.

21 Tack för att ni lyssnat! 2