Revisionsrapport Stadsrevisionen. Granskning av informationssäkerhetsarbetet. goteborg.se/stadsrevisionen

Transkript

1 Revisionsrapport Stadsrevisionen Granskning av informationssäkerhetsarbetet i Göteborgs Stad goteborg.se/stadsrevisionen

2 2 December 2017 Titel: Granskning av informationssäkerhetsarbetet i Göteborgs stad Diarienummer: 0235/17 Stadsrevisionen i Göteborgs Stad Yrkesrevisorer: Charlotte Nätstrand (projektledare), Mia van Hoewijk och Lina Tjernberg

3 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D 3 Innehållsförteckning Inledning och läsanvisning 4 Läsanvisning 4 Sammanfattning 5 Stadsrevisionens iakttagelser och bedömning 5 Bakgrund 7 Granskningens utgångspunkter 9 Revisionskriterier 9 Metod 10 Avgränsningar 11 Granskningens iakttagelser 12 Förutsättningar för informationssäkerhetsarbetet 12 Verksamheternas arbete med informationssäkerhet 21 Uppföljning av informationssäkerhetsarbetet 30 Stadsrevisionens bedömning 34 Arbetar nämnder och styrelse i enlighet med gällande regelverk inom informationssäkerhetsområdet? 35 Har granskade nämnder och styrelse en tillräcklig styrning och uppföljning av informationssäkerhetsarbetet? 37 Stadsrevisionens uppdrag och rapportering 42 Språkbruk och revisionstermer 43

4 4 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D Inledning och läsanvisning Stadsrevisionens rapport Granskning av informationssäkerhetsarbetet i Göteborgs Stad blev klar den 12 december år Till rapporten finns också ett rapportsammandrag. Rapporten syftar till att bedöma om nämnder och styrelser bedriver ett ändamålsenligt informationssäkerhetsarbete. Läsanvisning Vi inleder med en sammanfattning av vad vi har granskat och vad vi har kommit fram till. Därefter beskriver vi utgångspunkterna för granskningen. På sidorna följer stadsrevisionens iakttagelser. Vi har delat in redovisningen i tre olika delar. För varje del beskriver vi de revisionskriterier som granskningen utgår ifrån och våra iakttagelser. Vår sammanfattande bedömning finns på sidorna Rapporten, med diarienummer 0235/17, och rapportsammandraget finns tillgängliga på kommunens hemsida (

5 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D 5 Sammanfattning Stadsrevisionen har granskat informationssäkerhetsarbete i Göteborgs Stad. Granskningen omfattar kommunstyrelsen, kretslopp och vattennämnden, nämnden för Intraservice, social resursnämnd samt Förvaltnings AB GöteborgsLokaler. Syftet har varit att bedöma om nämnder och styrelser bedriver ett ändamålsenligt informationssäkerhetsarbete. Med ändamålsenligt avses att granskade verksamheter lever upp till de riktlinjer och föreskrifter inom informationssäkerhetsområdet samt om ansvariga nämnder och styrelse har en styrning och uppföljning mot dessa bestämmelser. Inom ramen för ett ändamålsenligt informationssäkerhetsarbete avser vi även att granska om verksamheterna arbetar systematiskt med informationsklassning, riskanalyser, incidenthantering, kontinuitetsplanering samt uppföljning och kontroll, det vill säga bedriver ett systematiskt informationssäkerhetsarbete. Stadsrevisionens iakttagelser och bedömning Stadsrevisionens bedömning är att de granskade verksamheterna inte bedriver ett ändamålsenligt informationssäkerhetsarbete. Stadsrevisionen bedömer att de granskade verksamheterna brister i följsamhet mot gällande regelverk för informationssäkerhetsområdet. Granskningen visar till exempelvis att information i kommungemensamma system inte klassas, rutiner för behörighetshantering saknas och att beslutade kontinuitetsplaner saknas. Granskningen visar även låg kunskap om stadens styrande dokument för informationssäkerhet inklusive det regelverk som reglerar ansvarsfördelningen mellan verksamheterna och nämnden för Intraservice avseende de kommungemensamma systemen. Vidare visar granskningen låg kunskap om vilka krav som ställs på verksamheterna avseende informationssäkerhet kopplat till kommungemensamma system. Vår bedömning är att bristande följsamhet mot regelverket kan medföra ökad risk för att skyddsvärd information inte identifieras, skyddas eller skyddas på rätt sätt och att obehöriga får tillgång till känslig information. Stadsrevisionen bedömer även att de granskade verksamheterna har en bristande styrning och uppföljning av informationssäkerhetsarbetet. Granskningen visar att tre av de granskade nämnderna inte har dokumenterat sin organisation för informationssäkerhet. Ingen av de granskade nämnderna har förtydligat säkerhetschefens uppdrag och ansvar. Vi ser även i granskningen att två av nämnderna och bolaget inte har utsett informationsägare i kommungemensamma system. Vidare visar

6 6 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D granskningen att på tre av de granskade nämnderna saknas heltäckande kunskap bland verksamhetsansvariga chefer om vad chefsansvaret kopplat till informationssäkerhet innebär. Vår bedömning är att en tydlig organisation inom informationssäkerhet med klargjorda roller och ansvar inom informationssäkerhetsområdet är en viktig och grundläggande förutsättning för styrning av informationssäkerhetsfrågor och för att verksamheterna ska kunna bedriva ett heltäckande och systematiskt informationssäkerhetsarbete. Vår granskning visar bristande följsamhet mot styrdokument och mot det regelverk som reglerar ansvarsfördelningen mellan nämnder/styrelse och nämnden för Intraservice. Vi bedömer att de granskade nämndernas kunskaper om stadens styrdokument inom informationssäkerhet och deras innehåll behöver utvecklas och stärkas. Samtliga verksamheter behöver även stärka och utveckla sina kunskaper kring det regelverk som behandlar ansvarsfördelningen mellan verksamheterna och nämnden för Intraservice. Vidare visar granskningen att samtliga granskade verksamheter genomför grundläggande utbildning med inslag av informationssäkerhet. Utöver detta förekommer olika utbildningsinsatser inom samtliga granskade verksamheter. Vår bedömning är att utbildningsinsatserna inte är tillräckliga och merparten av dem handlar mer om säkerhet generellt än om informationssäkerhet. Vi bedömer att det inte sker någon systematisk och kontinuerlig fortbildning inom informationssäkerhet i någon av de granskade verksamheterna. Stadsrevisionen bedömer vidare att de granskade nämnderna brister med avseende på kontroll av efterlevnad. Granskningen visar att ingen av nämnderna gör någon systematisk och formaliserad kontroll av hur de efterlever regelverket inom informationssäkerhet. Bolaget gör systematiska kontroller av efterlevnad men de omfattar inte kommungemensamma system. Stadsrevisionen bedömer även att det inte går att få någon samlad och heltäckande bild av informationssäkerhetsnivån i någon av de granskade verksamheterna utifrån den uppföljning som genomförs. De granskade verksamheterna bör stärka sin uppföljning av informationssäkerhetsnivån vilken även bör täcka in kommungemensamma system. Stadsrevisionen bedömer slutligen att kommunstyrelsen inte lever upp till kraven på uppsikt över nämndernas och bolagens informationssäkerhetsarbete. Granskningen visar att kommunstyrelsen inte följer upp om stadens nämnder och bolag fullgör sina skyldigheter inom området. Stadsrevisionen lämnar tre rekommendationer med anledning av granskningen (se sidorna 36, 40 41).

7 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D 7 Bakgrund Göteborgs Stad hanterar mycket information som är skyddsvärd. Informationssäkerhet innebär att se till att all skyddsvärd information är tillgänglig, riktig, konfidentiell och spårbar. För att kunna säkerställa en tillräcklig nivå av informationssäkerhet är det av stor vikt att informationssäkerhetsarbetet bedrivs systematiskt och långsiktigt samt att styrningen av informationssäkerhetsarbetet är integrerat i verksamhetens övriga former för styrning. Ett viktigt stöd för ledningens styrning av informationssäkerhetsarbetet är ett ledningssystem för informationssäkerhet. Detta innebär bland annat att det finns styrdokument för informationssäkerhet, att informationen klassificeras utifrån tillgänglighet, riktighet och konfidentialitet, att utifrån en riskanalys avgöra vilka skyddsåtgärder som krävs för att säkra informationen samt att kontinuerligt följa upp och kontrollera informationssäkerhetsarbetet. Informationssäkerhet berör alla anställda i en verksamhet, inte bara ledning och säkerhetspersonal. Samtliga anställda i en verksamhet har ett ansvar för att uppnå och behålla en god informationssäkerhet. Det är därför viktigt att fördela och tydliggöra ansvar och roller i verksamheten samt att utbilda anställda i förhållande till arbetsuppgifter och ansvar. Bristande informationssäkerhet kan få både allvarliga och direkta konsekvenser för såväl enskilda och organisationer som staden och samhället i stort. Europeiska Unionen har beslutat om en ny förordning om dataskydd som börjar gälla den 25 maj Förordningen ställer ökade krav på informationssäkerhet och hantering av känsliga personuppgifter. Det är således väsentligt att Göteborgs Stad har en effektiv intern styrning och kontroll av sitt informationssäkerhetsarbete. Under 2016 genomförde stadsrevisionen en kartläggning av Göteborgs Stads it-system vilken omfattade 49 av stadens verksamheter. Av rapporten framgick bland annat att många av stadens verksamheter hade en bristfällig kontinuitetsplanering och att informationsklassning inte hade genomförts eller inte genomförts i enlighet med riktlinjen för informationssäkerhet. 2 Det framgick även att det finns en uppfattning bland verksamheterna att det är svårt att tolka vad kraven i riktlinjen för informationssäkerhet innebär i praktiken. Vidare finns även en 1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april Kartläggning av Göteborgs Stads it-system (oktober 2016, Ernst & Young)

8 8 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D uppfattning att det är otydligt vilket ansvar nämnden för Intraservice har för verksamheternas information och vad de kan kräva i form av säkerhet och tillgänglighet. När Göteborgs Stad bedriver informationssäkerhetsarbete är det ansvariga nämnder och bolag som har att se till att fullmäktiges beslutade regelverk för informationssäkerhet efterlevs. Nämnderna och bolagen har ett uppföljningsansvar som innebär att de ska kontrollera att regelverken efterlevs inom verksamheterna samt följa upp och rapportera informationssäkerhetsnivån. Detta gäller oavsett om informationen hanteras i kommungemensamma system eller verksamhetsspecifika system 3. Nämnden för Intraservice har ett tudelat ansvar. Detta innebär att de dels ansvarar för att den egna förvaltningen lever upp till beslutat regelverk, dels ansvarar för att skapa förutsättningar för verksamheterna att efterleva regelverket kopplat till kommungemensamma tjänster genom att bland annat tillhandahålla säkerhetslösningar som möter verksamheternas krav och behov. Kommunstyrelsen ansvarar för att leda och samordna samt ha uppsikt över nämndernas och bolagens verksamheter, vilket bland annat innebär att verka för att dessa verksamheter bedrivs enligt gällande regelverk för informationssäkerhet. Även kommunstyrelsen har ett tudelat ansvar. Detta innebär att de dels ansvarar för uppsikten över stadens informationssäkerhetsarbete, dels ansvarar för den egna förvaltningens regelefterlevnad inom informationssäkerhet samt styrning och uppföljning av informationssäkerhetsarbetet. 3 Verksamhetsspecifikt system är verksamhetens lokala system och verksamheten är systemägare. Leverantörer är annan än Intraservice.

9 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D 9 Granskningens utgångspunkter Granskningen har syftat till att bedöma om nämnder och styrelser bedriver ett ändamålsenligt informationssäkerhetsarbete. Granskade nämnder och styrelser är kommunstyrelsen, kretslopp och vattennämnden, nämnden för Intraservice, social resursnämnd samt Förvaltnings AB GöteborgsLokaler. Bedömningen tar sin utgångspunkt i följande revisionsfrågor: Arbetar granskade nämnder och styrelse i enlighet med gällande regelverk inom informationssäkerhetsområdet? Har granskade nämnder och styrelse en tillräcklig styrning och uppföljning av informationssäkerhetsarbetet? Med uttrycket ändamålsenligt avser vi att granska om verksamheterna lever upp till de krav och mål som gäller för verksamheten enligt riktlinjer och föreskrifter inom informationssäkerhetsområdet samt om ansvariga nämnder och styrelser har en styrning och uppföljning mot dessa bestämmelser. Inom ramen för ett ändamålsenligt informationssäkerhetsarbete avser vi även att granska om verksamheterna arbetar systematiskt med informationsklassning, riskanalyser, incidenthantering, kontinuitetsplanering samt uppföljning och kontroll, det vill säga bedriver ett systematiskt informationssäkerhetsarbete. Revisionskriterier Revisionskriterier är de bedömningsgrunder som stadsrevisionen utgår från vid analys och bedömning. I kapitlet där granskningens iakttagelser redovisas, beskriver vi revisionskriterierna mer detaljerat. Revisionskriterier i granskningen är: kommunallagen 6 kap. 1 och 7 kommunstyrelsens reglemente säkerhetspolicy för Göteborgs Stad riktlinje för informationssäkerhet regler gällande driftsdokumentation för it-baserade informationssystem

10 10 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D regler gällande informationssäkerhetsansvar för chefer i Göteborgs Stad riktlinje för hantering av säkerhetsrisker regler för it-användare i Göteborgs Stad regler för kommungemensamma interna tjänster generellt riktlinjer för styrning av kommungemensamma interna tjänster förvaltnings-/bolagsspecifika styrdokument Metod Granskningen har genomförts genom intervjuer och dokumentstudier av gällande regelverk samt förvaltnings- eller bolagsspecifika anvisningar och rutiner i den mån detta har funnits. Vi har även gjort stickprov på system vilka beskrivs nedan. Intervjuer har genomförts med säkerhetschefer eller motsvarande samt med it-chefer. På stadsledningskontoret har vi intervjuat stadens säkerhetschef och stadens informationssäkerhetschef samt även ställt frågor till stadsjurist. I stickprovet har vi gjort ett urval om två system per verksamhet, ett kommungemensamt 4 och ett verksamhetsspecifikt. För respektive system och förvaltning/bolag har vi intervjuat den person som verksamheten uppgett är ansvarig för förvaltningens/bolagets information i respektive system. Detta för att granska verksamhetens följsamhet mot gällande regelverk och hur ansvaret för informationssäkerhet omhändertas. Nämnden för Intraservice har inte återkommit med kontaktuppgifter till den person som är ansvarig för förvaltningens information i det utvalda verksamhetsspecifika systemet. Detta trots att stadsrevisionen vid upprepade tillfällen krävt att få uppgifterna. Vi har därför inte beretts möjlighet att granska systemet under granskningsperioden. Vi har därmed inte kunnat verifiera nämndens följsamhet mot regelverket och hur de omhändertar ansvaret för informationssäkerhet kopplat till det verksamhetsspecifika systemet. För de kommungemensamma systemen i granskningen har vi även intervjuat tjänsteansvariga för att belysa ansvarsfördelningen mellan nämnder/styrelser och Intraservice avseende informationssäkerhet. 4 Ett kommungemensamt system är ett it-stöd som ingår i en kommungemensam tjänst. En tjänst kan innefatta flera it-stöd, det vill säga flera kommungemensamma system. Se även avsnittet Ansvarsfördelning mellan nämnd/styrelse och Intraservice.

11 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D 11 I rapporten används begreppet kommungemensamma system och med detta avses de system som respektive verksamhet använder för hantering av förvaltnings-/bolagsspecifik information. I några fall refererar vi till Intraservice ansvar för kommungemensamma system och då avses Intraservice ansvar som leverantör till de granskade verksamheterna inklusive sin egen förvaltning. Avgränsningar Informationssäkerhetsarbetet beträffande fysisk säkerhet 5 och it-säkerhet i enskilda system omfattas inte av granskningen. 5 Fysisk säkerhet innebär bland annat lokaler skyddas mot obehörigt tillträde, finns dokumenterade besöksrutiner och larm för exempelvis inbrott och brand.

12 12 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D Granskningens iakttagelser I det här kapitlet redovisas granskningens iakttagelser. Redovisningen är indelad i tre avsnitt: förutsättningar för informationssäkerhetsarbetet, verksamheternas arbete med informationssäkerhet och uppföljning av informationssäkerhetsarbetet. Varje avsnitt inleds med en beskrivning av det ansvar som vilar på de granskade nämnderna och styrelsen utifrån stadens kravbild. Detta ansvar är även granskningens revisionskriterier. Därefter beskriver vi granskningens iakttagelser. 6 Förutsättningar för informationssäkerhetsarbetet Kommunstyrelsens ansvar för att leda och samordna Kommunstyrelsen ska enligt kommunallagen leda och samordna förvaltningen av kommunens angelägenheter. Kommunstyrelsens reglemente anger att det i kommunstyrelsens övergripande uppgifter ingår att leda kommunens verksamhet genom att utöva en samordnad styrning och leda arbetet med att ta fram styrande dokument för kommunen. Av reglementet framgår även att kommunstyrelsen har ett övergripande ansvar för interna säkerhetsfrågor i kommunen. Kommunstyrelsens ledning och samordning av informationssäkerhetsarbetet På stadsledningskontoret är det avdelningen för Samhällsskydd och beredskap som har i uppdrag att strategiskt leda, samordna och följa upp stadens säkerhetsarbete. Avdelningen leds av stadens säkerhetschef som tillika är säkerhetsskyddschef. 6 Redovisningen av iakttagelserna är huvudsakligen avvikelsebaserad. Det vill säga att vi fokuserar på att beskriva avvikelser och brister i förhållande till det ansvar som de granskade nämnderna och bolaget har.

13 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D 13 I fråga om säkerhetsskyddet är säkerhetsskyddschefen direkt underställd stadsdirektören 7. Avdelningen är organisatoriskt placerad under förvaltningsstaben som har till uppgift att även ansvara för stadsledningskontorets interna stödprocesser. När det gäller övriga frågor inom säkerhetsarbetet är säkerhetschefen direkt underställd chefen för förvaltningsstaben. Utöver stadens säkerhetschef finns en informationssäkerhetschef som ansvarar för informationssäkerheten och att säkerställa informationshanteringen inom staden. Informationssäkerhetschefen är organisatoriskt placerad på avdelningen Samhällsskydd och beredskap. Utöver informationssäkerhetschefen finns ingen annan som arbetar med informationssäkerhet på en övergripande nivå på stadsledningskontoret. Stadens informationssäkerhetsarbete tar sin utgångspunkt i ett antal styrdokument antagna av kommunfullmäktige. Säkerhetspolicyn är det övergripande styrdokumentet. Policyn konkretiseras i riktlinje för informationssäkerhet och riktlinje för hantering av säkerhetsrisker. Det finns också regler som omfattar olika krav för verksamhetens handlande. Det finns även ett antal stöddokument (råd) inom området som kompletterar de styrande dokumenten och ska ge vägledning i arbetet med informationssäkerhet. Därtill har stadens informationssäkerhetschef tagit fram en metodik för informationssäkerhetsarbetet i syfte att ge verksamheterna förutsättningar att integrera informationssäkerhetsarbetet med den interna styrningen och kontrollen. Stadsledningskontorets informationssäkerhetschef följer årligen upp att stadens styrdokument inom informationssäkerhetsområdet är aktuella. Det innebär bland annat kontroll av att styrdokumenten är i linje med aktuell lagstiftning och standards inom området. I slutet av 2016 genomfördes en särskild analys för att klargöra hur nya dataskyddsförordningen kommer att påverka stadens styr- och stöddokument inom informationssäkerhetsområdet. Av analysen framgick att stadens styrdokument och metodik i stort sett är i linje med dataskyddsförordningen. Flera av stadens stöddokument har dock uppdaterats för att skapa följsamhet mot förordningen 8. 7 På en myndighet ska säkerhetsskyddschefen, enligt Säkerhetsskyddsförordningen, vara direkt underställd myndighetschefen. Säkerhetsskydd är i Sverige skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet. Säkerhetsskydd ska även i övrigt skydda uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) och som rör rikets säkerhet. Säkerhetsskydd omfattar även skydd mot terroristbrott. 8 I Göteborgs Stad pågår för närvarande ett projekt som ska säkerställa att staden är redo att tillämpa dataskyddsförordningen (DSF) som träder i kraft den 25 maj Dataskyddsförordningen ersätter personuppgiftslagen. Personuppgiftslagen är en av de lagar som ställer direkta krav på

14 14 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D Under våren 2017 genomförde stadsledningskontoret en informationssäkerhetsutbildning via e-post. Utbildningen erbjöds samtliga anställda i staden som var innehavare av en e-postadress. Enligt uppgift har ca av stadens anställda deltagit i utbildningen. Informationssäkerhetschefen är enligt intervjuuppgift behjälplig när verksamheterna efterfrågar råd och stöd inom informationssäkerhetsområdet. En stor del av arbetet handlar om att på olika sätt tydliggöra vad som gäller inom området. Ibland efterfrågas även mer konkret hjälp med informationssäkerhetsarbetet exempelvis vid informationsklassning. Ansvarsfördelning mellan nämnd/styrelse och Intraservice Ansvarsfördelningen mellan nämnd/styrelse och Intraservice kopplat till de kommungemensamma systemen regleras i Regler för kommungemensamma interna tjänster generellt och Riktlinjer för styrning av kommungemensamma interna tjänster. Av Riktlinjer för styrning av kommungemensamma interna tjänster framgår vilket uppdrag Intraservice och de tjänsteansvariga på Intraservice har. Intraservice uppdrag är att leverera, driva, utveckla och följa upp arbetet med de kommungemensamma tjänsterna 9. Varje kommungemensam tjänst har en tjänsteansvarig vars uppdrag bland annat är att se till att tjänstens samtliga funktioner tillsammans möter verksamheternas behov. De ska även löpande följa upp och analysera tjänsternas ekonomi och kvalitet. Verksamheternas ansvar kopplat till de kommungemensamma systemen framgår av Regler för kommungemensamma interna tjänster generellt. Representanter från förvaltnings- och bolagsledningar ska tydliggöra den egna verksamhetens behov och krav till tjänsteansvarig på Intraservice. Förhöjda säkerhetskrav, krisberedskap och krav på kompletterande formella regleringar ska alltid finnas tydliggjort innan en tjänst kan användas samt verifieras minst årligen. Vidare framgår av reglerna att i verksamhetsansvaret för respektive nämnd/styrelse ingår bland annat att säkerställa att tillämpliga lagar, föreskrifter, styrande dokument och beslut följs samt att skyddsbehov och informationssäkerheten och förändringen har därför betydelse för informationssäkerhetsarbetet i staden. Analysen har genomförts inom ramen för detta projekt. 9 En tjänst består av verksamhetskomponenter, it-komponenter och it-infrastrukturkomponenter. En itkomponent avser det it-stöd som ingår i tjänsten ex Personec och Winst. I rapporten benämner vi dessa itstöd kommungemensamma system.

15 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D 15 accepterad risk- och säkerhetsnivå uppfylls. Detta gäller oavsett om verksamhetens göromål och/eller information hanteras av en underleverantör eller i en kommungemensam intern tjänst. Samtidigt anger reglerna att tjänsteansvarig ska upprätta en uppföljningsrapport som beskriver tjänstens följsamhet mot säkerhetskrav och väsentliga brister samt följsamhet mot tillämpliga lagar och styrande dokument. Att tydliggöra krav och behov tillsammans med att uppföljningsrapport upprättas är enligt reglerna av stor vikt för att nämnd/styrelse ska kunna ta sitt verksamhetsansvar. Intraservice ansvar för informationssäkerheten i kommungemensamma system I intervjuer på Intraservice framkommer att deras ansvar gällande kommungemensamma system handlar om att leverera it-lösningar med en säkerhet som möter verksamheternas krav och behov. Det är verksamheterna som ska ställa krav på Intraservice och systemen de använder. Intraservice hanterar tekniken indirekt genom kontrollen över hur systemet fungerar, autentisering, kontakt med leverantör och infrastrukturen etc. Vidare uppges att verksamheterna är ansvariga för den information som läggs in i systemen. I intervjuer framkommer även att tjänsteansvarigas uppdrag inte omfattar ansvar för verksamheternas information utan det ansvaret vilar på respektive verksamhet. Verksamheterna ansvar för informationssäkerheten i kommungemensamma system För att Intraservice ska kunna realisera en it-lösning med en säkerhet som möter verksamheternas krav ska verksamheterna tydliggöra krav och behov. En genomförd informationsklassning utgör grunden till att identifiera om eventuella krav och behov föreligger såsom förhöjda säkerhetskrav samt för att verksamheterna ska kunna genomföra en årlig verifiering av säkerhetskraven. Granskningen visar att kretslopp och vattenförvaltningen, Intraservice och GöteborgsLokaler inte klassar sin information i kommungemensamma system. Kretslopp och vattenförvaltningen samt Intraservice har dock påbörjat ett arbete med klassning. Social resursförvaltning klassar från och med Granskningen indikerar därför att dessa verksamheter inte har tydliggjort eventuella krav och behov eller verifierar dessa årligen. Stadsledningskontoret som klassar från och med 2016 uppger att de inte funnit någon anledning att ställa

16 16 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D krav mot Intraservice då merparten av informationen är klassad i nivå 1 10 och att de säkerställt att det system som hanterar information i nivå 2 har tillräcklig säkerhet vad gäller kraven på konfidentialitet. Enligt uppgift från förvaltningen har verifieringen skett muntligt med stadens informationssäkerhetschef och inte med tjänsteansvarig på Intraservice såsom reglerna anger. Vi ser i granskningen att de granskade verksamheterna tenderar att i flera delar lägga över verksamhetsansvaret kopplat till de kommungemensamma systemen på de tjänsteansvariga på Intraservice. Exempelvis kan nämnas informationsägaransvaret, klassning av information i de kommungemensamma systemen, driftsdokumentation och kontinuitetsplanering. Samtidigt visar granskningen att tjänsteansvariga på Intraservice inte upprättar den uppföljningsrapport som reglerna beskriver. Organisation och ansvar inom informationssäkerhet I Säkerhetspolicyn för Göteborgs Stad fastställs att respektive förvaltnings- /bolagsledning ska engagera sig i säkerhetsarbetet genom en tydlig inriktning och ansvarsfördelning. Varje verksamhet ska även ha en utsedd säkerhetschef som ska driva och hålla ihop, initiera och genom stöd och uppföljning utveckla säkerhetsarbetet. Organisation och delegation beträffande säkerhetsarbetet ska dokumenteras. När det gäller informationsansvaret utgår Riktlinje för informationssäkerhet från att verksamheten äger sin information och att ansvaret för informationen följer verksamhetsansvaret. Det innebär att högst ansvarig chef för respektive verksamhet också har ett informationsägaransvar. Informationsägarskapet omfattar ansvar för informationsklassning och ansvar för informationens säkerhet samt att säkerheten uppfyller ställda och rättsliga krav. Vi noterar att riktlinjen inte gör skillnad på om informationen hanteras i kommungemensamma eller verksamhetsspecifika system. Regler gällande informationssäkerhetsansvar för chefer i Göteborgs Stad reglerar chefers ansvar för informationssäkerhet. Reglerna anger att chefer bland annat ska ansvara för uppföljning av att säkerhetsrutiner och regelverk efterlevs och att anställda har tillräckliga kunskaper och förståelse för säkerhetsrutiner och regelverk. 10 Nivå 1 = grundsäkerhetsnivå enligt stadens modell för informationsklassning

17 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D 17 Utöver ovan nämnda ansvar är det upp till varje verksamhet att organisera sitt informationssäkerhetsarbete med avseende på roller och ansvar. Organisation och ansvar för informationssäkerhet har inte dokumenterats Granskningen visar att Intraservice, kommunstyrelsen och kretslopp och vattenförvaltningen inte har dokumenterat sin organisation för informationssäkerhet och det ansvar som följer av denna. Social resursförvaltning har en dokumenterad roll- och ansvarsfördelning, men där framgår inte säkerhetschefens ansvar. Säkerhetschefernas uppdrag och ansvar har inte tydliggjorts fullt ut Granskningen visar att samtliga granskade verksamheter har utsett en säkerhetschef. GöteborgsLokaler har förtydligat säkerhetschefens uppdrag och ansvar utöver vad som framgår av stadens säkerhetspolicy. Övriga granskade verksamheter har inte gjort motsvarande förtydliganden. Samtidigt ges det i flera intervjuer en mer konkret bild av vad säkerhetschefens uppdrag och ansvar omfattar. Exempelvis nämns samordningsansvar för informationssäkerhetsrisker och kontroll av efterlevnad av regelverk. Intervjuerna vid social resursförvaltning gav dock inte någon konkret bild av säkerhetschefens uppdrag och ansvar. Vid granskningstillfället hade Intraservice både en tillförordnad säkerhetschef och en tillförordnad informationssäkerhetsansvarig. Hur uppdrag och ansvar dem emellan var fördelat vad gäller informationssäkerhetsfrågor kunde förvaltningen inte redogöra för. En ny säkerhetschef tillträdde i slutet av oktober. Informationsägarna är inte alltid medvetna om sitt ansvar Vad gäller informationsägaransvaret framträder i granskningen en relativt blandad bild av hur verksamheterna hanterar detta ansvar. Granskningen visar att Intraservice, stadsledningskontoret och GöteborgsLokaler inte har utsett informationsägare för sina kommungemensamma system. Även om informationsägare har utsetts i övriga förvaltningar ser vi exempel på att berörda personer inte har informerats om ansvaret samt att ansvaret inte finns definierat och dokumenterat. Om Intraservice har utsett informationsägare för sitt verksamhetsspecifika system har vi inte beretts möjlighet att verifiera i granskningen. Vi noterar att kretslopp och vattenförvaltningen samt

18 18 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D GöteborgsLokaler inte har definierat och dokumenterat ansvaret som informationsägare 11. De förvaltningar som har definierat informationsägarens ansvar beskriver att i det ingår att klassificera verksamhetens information och att ansvaret följer ansvaret för verksamheten. Detta stämmer överens med riktlinjen för informationssäkerhet. Vi noterar dock att definitionerna inte omfattar informationsägarens ansvar för att erforderligt skydd införs och att säkerheten uppfyller ställda och rättsliga krav. Social resursförvaltning har dock utsett såväl verksamhetschefer som enhetschefer till informationsägare. Informationsklassning ingår dock inte i enhetschefernas ansvar. Cheferna är inte alltid medvetna om sitt ansvar Granskningen visar att chefer tilldelas ansvar för vissa delar av informationssäkerhetsarbetet genom stadens styrdokument och genom egna anvisningar. Exempelvis anger styrdokumentet Regler gällande informationssäkerhetsansvar för chefer i Göteborgs Stad att chefer bland annat ska ansvara för uppföljning av att säkerhetsrutiner och regelverk efterlevs och att anställda har tillräckliga kunskaper och förståelse för säkerhetsrutiner och regelverk. Vid intervjuer framkommer dock att det bland chefer på Intraservice, kretslopp och vattenförvaltningen och social resursförvaltning saknas heltäckande kunskap om vad som ingår ansvaret. Vissa av cheferna känner inte till innehållet i stadens styrdokument och vad de har för ansvar inom informationssäkerhetsområdet. På Intraservice saknas medvetenhet om informationsägaransvaret för förvaltningens egen information i det granskade kommungemensamma systemet. Verksamheternas kunskap och kompetens inom informationssäkerhet Krav på kunskaper i förhållande till arbetsuppgifter och kontinuerlig utbildning regleras i stadens Säkerhetspolicy och Riktlinje för informationssäkerhet. Staden ställer också krav på chefer som ska se till att personal har kunskap och förståelse för tillämpliga säkerhetsrutiner och regelverk vilket framgår av Regler gällande informationssäkerhet för chefer i Göteborgs stad. 11 Kretslopp och vattenförvaltningen använder begreppet objektsägare istället för informationsägare.

19 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D 19 Till Riktlinjen för hantering av säkerhetsrisker finns bilagan Plan för riskreducerande arbete som bland annat omfattar en övnings- och utbildningsplan. Planen anger att alla verksamhetsansvariga chefer och alla medarbetare som hanterar information och it-verktyg ska med visst intervall och vid behov genomgå grundutbildningar inom informationssäkerhet. Staden har tagit fram en metodik för informationssäkerhetsarbetet med utgångspunkt i verksamheten vilken är indelad i åtta steg. 12 Metodiken ska ge verksamheten förutsättningar att integrera informationssäkerhetsarbetet med den interna styrningen och kontrollen och på så sätt systematisera informationssäkerhetsarbetet och möjliggöra efterlevnad av stadens styr- och stöddokument. Metodiken finns att tillgå på stadens intranät. Verksamheternas kunskaper om de styrande dokumenten Granskningen visar att kunskapen om stadens styr- och stöddokument och deras innehåll varierar. Styr- och stöddokumenten är många till antalet vilket är en uppfattning som flera av de intervjuade delar. Några intervjuade upplever dock att det krävs grundläggande kunskap inom informationssäkerhet för att kunna tolka styrdokumenten och förstå deras innebörd. Överlag uppvisar säkerhetschefer hög grad av kännedom om styrdokumentens existens och innehåll. Även stöddokumenten är relativt kända och tillämpas i olika omfattning. Däremot visar granskningen att stadens metodik inte är känd bland säkerhetscheferna inom de granskade verksamheterna. På verksamhetsnivå ser vi i granskningen att verksamhetsansvariga på GöteborgsLokaler uppvisar god kännedom om styr- och stöddokument då de uppges vara inarbetade i bolagets interna styrdokument. Däremot uppvisar verksamhetsansvariga på förvaltningarna en generellt lägre kunskapsnivå kring styr- och stöddokument. I intervjuer uppges att de känner till dem och var de finns att tillgå men samtidigt kan de inte uppge vilka av dokumenten som är styrande för deras arbete med informationssäkerhet. De intervjuade gör ingen koppling mellan styrdokument och ansvar. Det förekommer också verksamhetsansvariga 12 identifiera verksamhet, identifiera information, identifiera krav på information, informationsklassa, genomföra riskanalys, tydliggöra skyddsåtgärder, verifiera skyddsåtgärder och följa upp.

20 20 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D som helt saknar kunskap om styrdokumentens innehåll. I flera intervjuer uppges emellertid olika lagstiftning kopplat till informationssäkerhet såsom personuppgiftslagen samt offentlighet och sekretesslagen. GöteborgsLokaler, Intraservice, kretslopp och vattenförvaltningen samt stadsledningskontoret har konkretiserat stadens styrdokument i egna anvisningar och rutiner för informationssäkerhet. Granskningen visar dock att det finns verksamhetsansvariga inom förvaltningarna med låg kännedom om respektive verksamhets anvisningar och rutiner. I något fall saknas kunskap helt. Vi noterar att det regelverk som hanterar ansvarsfördelningen mellan förvaltningen/bolaget och de tjänsteansvariga på Intraservice inte är särskilt känt i någon av de granskade verksamheterna. Verksamheternas kompetens inom informationssäkerhet Granskningen visar att nyanställda och chefer ges en introduktion och att säkerhet uppges ingå samtidigt uppges också en viss osäkerhet kring informationssäkerhetsaspekten i introduktionen. Vi har fått del av stadsledningskontorets introduktionsmaterial kring informationssäkerhet som ger en mycket kortfattad och begränsad beskrivning av området. Vi har även fått del av den checklista som GöteborgsLokaler använder vid introduktion. Denna tar dock inte specifikt upp informationssäkerhet utan går igenom säkerhetsarbete, incidentsystem och personuppgiftslagen på en övergripande nivå. Kretslopp och vattenförvaltningens utbildningsmaterial är avsett både för introduktion och andra utbildningsinsatser för personer som hanterar samhällskritisk säkerhetsklassad information. Materialet tar inte specifikt upp informationssäkerhet utan är mer inriktat på säkerhetsskyddsaspekter kopplade till verksamhetskritiska anläggningar. Någon koppling till stadens krav för informationssäkerhet framgår inte av materialet. Enligt uppgift från förvaltningen kommer de att påbörja ett arbete med att bland annat ta fram en introduktion speciellt riktad till chefer vilken kommer inkludera stadens riktlinjer och informationsägaransvaret. Övriga verksamheters utbildningsmaterial har vi inte fått del av varför vi inte kan avgöra i vilken omfattning informationssäkerhet behandlas vid introduktioner. Merparten av de intervjuade i granskningen uppger att stadens e-learning inom informationssäkerhet har genomförts. Däremot uppger social resursförvaltningen att den var obligatorisk för chefer men valbar för övriga medarbetare. Utöver introduktion och stadens utbildning ser utbildningsinsatserna inom informationssäkerhet olika ut på de granskade verksamheterna. I intervjuer på stadsledningskontoret och Intraservice uppges att chefer och

21 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D 21 anställda ges möjlighet att genomföra DISA-utbildning 13 som är en staden-anpassad version av den utbildning som Myndigheten för samhällsskydd och beredskap tagit fram. Intraservice uppger även att anställda i viss utsträckning utbildas av leverantörer. Vidare framkommer i intervjuer att GöteborgsLokaler genomför en egen webb-utbildning och utbildar även inom informationsklassning samt att social resursförvaltningen har genomfört en riktad utbildning inom informationssäkerhet till systemägare inför förvaltningens arbete med informationsklassning. Vi har inte fått del av bolagets eller social resursförvaltningens utbildningsmaterial varför vi inte kan verifiera i vilken omfattning informationssäkerhet behandlas inom ramen för utbildningarna eller vad verksamheterna lär ut inom informationssäkerhet. Chefernas ansvar för medarbetarnas kunskap inom informationssäkerhet Enligt Regler gällande informationssäkerhet för chefer i Göteborgs stad åläggs stadens chefer att se till att medarbetare har kunskap och förståelse om tillämpliga regelverk och säkerhetsrutiner. Som påtalats tidigare i rapporten varierar kunskapen om innehållet i stadens styrdokument och att de inte kan kopplas till ansvaret för informationssäkerhet. Även varierande kännedom om egna anvisningar och rutiner föreligger. Granskningen visar att det finns verksamhetsansvariga chefer som har låg kännedom om att de är ansvariga för att deras medarbetare har den kunskap och förståelse som krävs. Det finns dock chefer som är medvetna om ansvaret men som inte omhändertar det fullt ut. Verksamheternas arbete med informationssäkerhet Som vi beskriver tidigare i rapporten har vi granskat två system per verksamhet, ett kommungemensamt och ett verksamhetsspecifikt. För respektive system och verksamhet har vi granskat verksamhetens följsamhet mot gällande regelverk och hur ansvaret för 13 Datorstödd informationssäkerhetsutbildning för användare (DISA) som syftar till att på ett enkelt sätt höja nivån på informationssäkerheten inom en organisation genom att säkerställa att samtliga medarbetare har förståelse för grunderna med informationssäkerhet. ww.msb.se/sv/forebyggande/informationssakerhet/stod-inom-informationssakerhet/disa--utbildninginformationssakerhet/.

22 22 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D informationssäkerhet omhändertas. Intraservice har inte berett oss möjlighet att granska det verksamhetsspecifika systemet under granskningsperioden. Vi har därför inte kunnat verifiera Intraservice följsamhet mot regelverket och hur de omhändertar ansvaret för informationssäkerhet kopplat till det verksamhetsspecifika systemet. Förteckningar över informationssystem är ofullständiga Riktlinjen för informationssäkerhet anger att det ska finnas en förteckning över samtliga informationssystem som bland annat beskriver ansvarsfördelning såsom informationsägare, systemägare etc. Granskningen visar att stadsledningskontorets och GöteborgsLokalers förteckningar inte fullt ut innehåller de uppgifter som riktlinjen föreskriver. Exempelvis saknas information om informationsägare. De har heller inte utsett någon ansvarig för förteckningen och dess uppdatering. Intraservice har inte uppvisat någon förteckning i enlighet med riktlinjen. Bristande informationsklassning Med bland annat förteckningen som grund ska all information klassas av informationsägaren utifrån stadens modell 14 och klassning ska ske kontinuerligt vilket framgår av Riktlinjen för informationssäkerhet. Verksamhetens ansvar för att informationen är rätt säkerhetsklassad följer även av policy och riktlinjer för användning av informationsteknik inom Göteborgs Stad. Hur en informationsklassning ska genomföras framgår dock inte av stadens styrande dokument. Däremot finns stöddokumentet Råd genomförande av informationsklassning som ger vägledning. Granskningen visar en relativt blandad bild av hur de granskade verksamheterna omhändertar kravet på informationsklassning. Intraservice, kretslopp och vattenförvaltningen samt GöteborgsLokaler klassar inte information som hanteras av kommungemensamma system. De två förvaltningarna uppger dock att det pågår ett arbete med klassning. Vad gäller verksamhetsspecifika system ser vi i granskningen att GöteborgsLokaler klassar system snarare än själva informationen samt att klassningen inte sker kontinuerligt. Bolaget uppger dock att information klassas kontinuerligt men vi har inte fått ta del av klassningen i granskningen. Kretslopp och vattenförvaltningen klassar både system och 14 Klassningen ska ske utifrån informationens krav på konfidentialitet, riktighet och tillgänglighet.

23 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D 23 skyddsvärd information rörande kärnverksamheten som systemen hanterar. Klassning av informationen sker utifrån konfidentialitet med paragrafer i lagen om offentlighet och sekretess som grund. Detta för att informationen ska hanteras korrekt om den begärs ut. Förvaltningen uppger att informationens riktighet säkerställs genom krav i andra rutiner Om och hur Intraservice klassar information i det verksamhetsspecifika systemet har vi inte beretts möjlighet att verifiera i granskningen. I intervjuer på stadsledningskontoret uppges att klassning av all information oavsett system genomförs i enlighet med stadens modell. De uppger även att klassning genomförs från och med Detta har verifierats då vi fått del av dem. Även intervjuade på social resursförvaltning uppger att klassning av all information oavsett system genomförs i enlighet med stadens modell men att det sker först Vi har fått del av förvaltningens klassningar men det framgår inte av dem vilken information som klassats. I intervjuer på kretslopp och vattenförvaltningen framkommer att förvaltningen fram till nyligen endast har klassat med avseende på konfidentialitet. Stadsledningskontoret, kretslopp och vattenförvaltningen, Intraservice och GöteborgsLokaler har inga förvaltnings-/bolagsspecifika rutiner för informationsklassning. Enligt intervjuade på stadsledningskontoret och social resursförvaltning uppges dock att rådet för informationsklassning har använts som vägledning. Riskanalyser genomförs på olika sätt Enligt stadens säkerhetspolicy ska säkerhetsarbetet utgå från kontinuerliga riskanalyser och med tyngdpunkt på förebyggande aktiviteter. Riktlinjen för hantering av säkerhetsrisker föreskriver att risker ska analyseras, utvärderas och behandlas samt att beslut om behandling ska dokumenteras och status på säkerhetsrisker ska övervakas och granskas kontinuerligt. Hur riskanalyser ska genomföras framgår dock inte av stadens styrande dokument. Däremot finns stöddokumentet Rådet för riskanalys avseende informationssäkerhet som ger vägledning. Rådet beskriver en metod som bygger på genomförd informationsklassning och att de tre skyddsaspekterna konfidentialitet, riktighet och tillgänglighet beaktas vid analys och utvärdering. Granskningen visar att det inte finns någon fastställd metod för riskanalys avseende informationssäkerhet inom Göteborgs Stad. I de intervjuer som vi genomfört uppges att det inte genomförs någon separat riskanalys av informationssäkerheten utan att informationssäkerhetsrisker hanteras inom ramen för verksamhetens

24 24 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D övergripande riskhantering. Granskningen visar att riskanalyser genomförs på olika sätt och med olika kontinuitet. Intervjuade på stadsledningskontoret och social resursförvaltning uppger att de genomför årliga riskanalyser både på verksamhetsnivå och på en övergripande nivå men att riskanalysprocessen inte finns dokumenterad. Stadsledningskontoret uppger att de tillämpar rådet för riskanalys i riskanalysarbetet. Samtidigt noterar vi att förvaltningens övergripande riskanalys och interna kontrollplan som utgör ett och samma dokument inte beaktar konfidentialitet, riktighet och tillgänglighet vid riskvärdering utan endast sannolikhet och konsekvens. GöteborgsLokaler och kretslopp och vattenförvaltningen gör övergripande risk- och sårbarhetsanalyser årligen respektive med ett intervall på tre till fem år. GöteborgsLokalers analys bygger på risker som verksamhetsansvariga identifierat och omfattar även andra områden än verksamhetsprocesserna som exempelvis it. I intervjuer på Intraservice uppges att en risk- och sårbarhetsanalys upprättas men däremot uppges inte hur och när den genomförs. I intervjuer på stadsledningskontoret, Intraservice och social resursförvaltning framkommer inte någon tydlig bild av vilken input förvaltningarna beaktar vid identifiering av risker kopplade till informationssäkerhet. Om och hur exempelvis informationsklassningen används som input framkommer inte vid intervjuerna. Däremot ser vi att stadsledningskontorets informationsklassning utgör åtgärd i den interna kontrollplanen för 2017 och 2018 snarare än att utgöra underlag till riskanalys. Vi har fått del av stadsledningskontorets och GöteborgsLokalers riskanalyser på övergripande nivå för 2017 och båda omfattar risker med bäring på informationssäkerhetsområdet. Bolagets risker är dock mer konkreta och fler till antalet. Om riskerna i de båda verksamheterna kan kopplas till information i kommungemensamma system är svårt att avgöra. Vi ser däremot att majoriteten av de risker som identifieras i analyserna tar utgångspunkt i verksamheternas processer och avser främst strategisk och operativ styrning. I intervju med kretslopp och vattenförvaltningen framgår att risk- och sårbarhetsanalysen omfattar informationssäkerhetsrisker. Dessa risker tas in i förvaltningens säkerhetsskyddsanalys vilken är säkerhetsklassad. Vi har därför inte tagit del av analysen. Vad gäller riskanalyser på verksamhetsnivå har stadsledningskontoret, social resursförvaltning och GöteborgsLokaler inte uppvisat några dokumenterade analyser. Om informationssäkerhetsrisker identifieras på verksamhetsnivå i dessa verksamheter kan därför inte verifieras. Vi har däremot tagit del av en riskanalys på verksamhetsnivå för 2017 inom Intraservice men denna innefattar inga informationssäkerhetsrisker.

25 G R A N S K N I N G AV I N F O R M AT I O N S S Ä K E R H E T S A R B E T E T I G Ö T E B O R G S S TA D 25 Vi noterar att ingen av de riskanalyser vi tagit del av beaktar de tre skyddsaspekterna konfidentialitet, riktighet och tillgänglighet. Dock sker värdering av risker med avseende på sannolikhet och konsekvens vilket är i enlighet med riktlinjen för hantering av säkerhetsrisker. Tidigare i rapporten beskrivs att säkerhetschef bland annat är samordningsansvarig för informationssäkerhetsrisker. Hur detta ansvar hanteras i praktiken framkommer inte tydligt i granskningen det vill säga på vilket sätt samordningen sker beaktat att merparten av verksamheterna inte verkar dokumentera riskanalyser på verksamhetsnivå. I intervju på social resursförvaltningen uppges att säkerhetschefen inte medverkar i förvaltningens riskanalysarbete. Förvaltnings- och bolagsövergripande riskanalyser för 2017 resulterar i en intern kontrollplan för beslut men granskning visar att informationssäkerhetsrisker inte alltid lyfts. Exempelvis återfinns inga informationssäkerhetsrisker eller säkerhetsrisker alls i Intraservice interna kontrollplan för Däremot identifieras risker i åtgärdsplanen inför 2018 vilka kan kopplas till informationssäkerhet. Dessa har lyfts in i intern kontrollplan för De risker som beslutats via den interna kontrollplanen ska återrapporteras i någon form till nämnden/styrelsen. Detta sker exempelvis i uppföljningsrapporter eller genom separat uppföljning av intern kontrollplan. Stadsledningskontoret har inte återrapporterat 2016 års informationssäkerhetsrisk i enlighet med vad som beslutats. Beslutad driftsdokumentation saknas Riktlinjen för informationssäkerhet anger att ska det finnas en formellt beslutad driftsdokumentation. Regler gällande driftsdokumentation för IT-baserade informationssystem förtydligar kraven i riktlinjen och beskriver vad driftsdokumentation minst måste omfatta, exempelvis nämns ansvarsfördelning och uppdelning inom driftsåtagandet, regler och rutiner för incidenthantering 15 och rutiner för säkerhetskopiering. Reglerna gäller oavsett om driften sker internt eller hos extern part. Granskningen visar att Intraservice ansvarar för driftsdokumentationen för de kommungemensamma systemen samt även för andra system de 15 Rapportering, loggning, åtgärdande, informationsspridning, eskalering, uppföljning och analys av funktionsfel och incidenter.