Stadens informationssäkerhetsarbete. Nr 8, Projektrapport från Stadsrevisionen
|
|
- Ingvar Sandberg
- för 6 år sedan
- Visningar:
Transkript
1 Stadens informationssäkerhetsarbete Nr 8, 2018 Projektrapport från Stadsrevisionen Dnr: /2018
2 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet som bedrivits i nämnder och bolag. Stadsrevisionen i Stockholm stad granskar nämnders och styrelsers ansvarstagande för att genomföra verksamheten enligt fullmäktiges uppdrag. Stadsrevisionen omfattar både de förtroendevalda revisorerna och revisionskontoret. I årsrapporter för nämnder och granskningspromemorior för bolagsstyrelser sammanfattar stadsrevisionen det gångna årets granskningar och bedömningar av verksamheten. Granskningar som genomförs under året kan också publiceras som projektrapporter. Publikationerna finns på stadsrevisionens hemsida, De kan också beställas från revisionskontoret, revision.rvk@stockholm.se. Stadens informationssäkerhetsarbete Nr 8, 2018 Dnr: /2018
3 Stadsrevisionen Dnr: / Till Kommunstyrelsen Fastighetsnämnden Servicenämnden Farsta stadsdelsnämnd Stadens informationssäkerhetsarbete Revisorsgrupp 1 har den 16 oktober 2018 behandlat bifogad revisionsrapport (nr 8/2018) I flera av stadens styrande dokument beskrivs stadens ambitioner för digitalisering av staden och dess verksamheter samt hur arbetet med informationssäkerhet ska bedrivas. Informationssäkerhet ska inte ses som en isolerad företeelse eller enskild verksamhet utan som en förutsättning för att bedriva en god verksamhet. Rapporten visar att kommunstyrelsens och nämndernas styrning, ledning och uppföljning av informationssäkerhetsarbete behöver utvecklas. Kommunstyrelsen bör i större uträckning styra, kontrollera efterlevnaden av gällande styrdokument samt följa upp nämndernas arbete med informationssäkerhet. Nämnderna bör säkerställa att stadens styrdokument på området kommuniceras och implementeras i organisationen. Vidare bör det i stadens dokument för incidenthantering tydligare framgå hur incidenter för stadsgemensamma system ska rapporteras. Det finns annars risk för att brister i informationssäkerheten kan ge konsekvenser för staden och för medborgarna genom exempelvis informationsförlust, ekonomisk skada eller bristande förtroende för staden. Vi hänvisar i övrigt till rapporten och överlämnar den till kommunstyrelsen, fastighetsnämnden, servicenämnden och Farsta stadsdelsnämnd för yttrande. Yttrandet ska ha inkommit till revisorsgrupp 1 senast den 25 januari På revisorernas vägnar Stadsrevisionen Revisionskontoret Hantverkargatan 3 D, 1 tr Postadress: Stockholm Telefon: Fax: Bosse Ringholm Ordförande Stefan Rydberg Sekreterare
4 Sammanfattning Verksamheterna i Stockholms stads nämnder hanterar en mängd informationstillgångar som är skyddsvärda. Det ställer krav på ett aktivt informationssäkerhetsarbete för att säkerställa att informationen vid varje tillfälle är konfidentiell, riktig, tillgänglig och spårbar. Revisionskontoret har genomfört en granskning för att bedöma om kommunstyrelsen, fastighetsnämnden, servicenämnden och Farsta stadsdelsnämnds styrning, ledning och uppföljning av informationssäkerhetsarbetet är tillräckligt. Revisionskontoret bedömer att styrningen, ledningen och uppföljningen av nämndernas informationssäkerhetsarbete behöver utvecklas. Staden har på en övergripande nivå relevanta styrdokument. Hur ansvaret för informationssäkerhetsarbetet fördelas inom staden beskrivs i dessa dokument. Granskningen visar dock att de förvaltningar som ingått i granskningen inte tycker att ansvaret i alla delar är tydligt samt att de efterfrågar stöd i hur arbetet ska organiseras och bedrivas. Vidare saknas det inom de nämnder som har granskats en tillräcklig kompetens om hur informationssäkerhetsarbetet ska bedrivas. Enligt ISO-standarden är kompetens en nödvändighet i en organisations arbete med informationssäkerhet. Nämnderna behöver säkerställa att det bedrivs ett aktivt arbete kring informationssäkerhet och att ledningen har en aktiv roll i detta arbete. Granskningen visar att stadens riktlinjer för informationssäkerhet inte har kommunicerats och implementerats fullt i de granskade nämnderna. Vidare har granskningen visat att det saknas en för staden grundläggande utbildning i informationssäkerhet. Det saknas också kompetenskrav på att särskilt viktiga roller, som till exempel informationssäkerhetssamordnare. Det görs heller inte i tillräcklig omfattning, vare sig på en stadsövergripande nivå eller förvaltningsnivå, kontroller av att ledningssystemet för informationssäkerhet efterlevs. För att kunna följa upp och utveckla arbetet kring informationssäkerhet bör nämnderna fånga upp vad som framkommer vid informationsklassificering, incidentrapportering och genomförda kontrollaktiviteter. Granskningen visar att nämnderna upplever att det finns oklarheter kring ansvaret för rapportering av händelser vad gäller stadsgemensamma system som till exempel LISA. Det sker heller inte någon stadsövergripande uppföljning och analys gällande
5 informationssäkerhet av nämndernas riskanalyser eller de händelser som nämnderna rapporterat i IA 1. I kommunstyrelsens pågående översyn av Riktlinjerna för informationssäkerhet bör det enligt revisionskontorets mening, då riktlinjerna är av strategisk betydelse, övervägas om kommunfullmäktige eller kommunstyrelsen ska fatta beslut om dessa. Den sammanfattande bedömningen är att stadens arbete avseende styrning, ledning och uppföljning av informationssäkerhetsarbetet behöver utvecklas. Kommunstyrelsen bör i större uträckning styra nämndernas arbete med informationssäkerhet. Då kommunfullmäktige har fastslagit inriktning och ambitionsnivå för stadens pågående digitalisering och hur informationssäkerhetsarbetet ska bedrivas bör en tydligare styrning inrymmas i kommunstyrelsen uppdrag. Utifrån redovisade iakttagelser och bedömningar lämnas följande rekommendationer: Kommunstyrelsen: Utveckla stödet, i form av anvisningar, instruktioner och arbetsverktyg samt utbildningsinsatser, till nämnderna i deras arbete med informationssäkerhet. Utveckla uppföljningen och tillsynen av nämndernas arbete med informationssäkerhet. Kommunfullmäktige eller kommunstyrelsen bör fatta beslut om riktlinjerna för informationssäkerhet då de utgör ett strategiskt och styrande dokument för stadens nämnder. Säkerställa att det finns teknisk kompetens för att säkerställa att leverantörerna hanterar säkerhetsrisker på ett tillfredsställande sätt. Fastighetsnämnden, servicenämnden och Farsta stadsdelsnämnd: Kommunicera och implementera stadens riktlinjer för informationssäkerhet i organisationen. Kontrollera efterlevnaden av stadens riktlinjer för informationssäkerhet. 1 IA, stadens system för händelsehantering.
6 Innehåll 1. Inledning Bakgrund Granskningens genomförande Syfte och revisionsfrågor Avgränsning Ansvarig nämnd/styrelse Revisionskriterier Metod Informationssäkerhet i Stockholms stad Granskningens resultat Organisation och ansvar Ledningssystem Implementering Uppföljning och utveckling Systemet LISA Sammanfattande bedömning och rekommendationer Bilagor Bilaga 1 Intervjupersoner... 15
7 1 (15) 1. Inledning 1.1 Bakgrund Verksamheterna i Stockholms stads nämnder och bolag hanterar en mängd informationstillgångar som är skyddsvärda. Det ställer krav på ett aktivt informationssäkerhetsarbete för att säkerställa att informationen vid varje tillfälle är konfidentiell, riktig, tillgänglig och spårbar. Kommunfullmäktige har i stadens budget för år 2018 tydliggjort att nämnder och bolagsstyrelser ska säkerställa att det i enlighet med stadens styrande dokument inom området finns ett effektivt och ändamålsenligt informationssäkerhetsarbete med åtgärder som består av processer, teknik och medarbetare som tillsammans utgör en kedja av skydd för stadens informationstillgångar. Inom staden finns flera it-system som är väsentliga för att stadens olika verksamheter ska fungera. Exempelvis it-system för handläggning inom socialtjänsten, verksamhetssystem inom skola och äldreomsorg samt administrativa stödsystem för bland annat ekonomi och lönehantering. Bristande informationssäkerhet kan leda till allvarliga konsekvenser för staden och för medborgarna genom exempelvis informationsförlust, ekonomisk skada eller bristande förtroende för staden. 2. Granskningens genomförande 2.1 Syfte och revisionsfrågor Syftet med granskningen har varit att bedöma om stadens styrning, ledning och uppföljning av informationssäkerhetsarbetet är tillräckligt. Granskningen besvaras med följande revisionsfrågor: Är ansvar och organisation tydligt beskrivet i stadens riktlinjer, på förvaltningsnivå och för respektive förvaltningsobjekt? Hur arbetar verksamheterna för att säkerställa att de styrdokument som finns på området efterlevs? Finns en organisationskultur och mognad hos medarbetare som överensstämmer med ansvar och befogenheter?
8 2 (15) 2.2 Avgränsning Granskningen omfattar stadens övergripande informationssäkerhetsarbete samt informationssäkerhetsarbetet specifikt för systemet LISA 2 Bas inom förvaltningsobjektet Personaladministrativa system. 2.3 Ansvarig nämnd/styrelse Granskningen omfattar kommunstyrelsen, servicenämnden, fastighetsnämnden samt Farsta stadsdelsnämnd. Kommunstyrelsen omfattas av granskningen som ansvarig för stadens informationssäkerhetsarbete på en övergripande nivå. Vidare är personalstrategiska avdelningen inom stadsledningskontoret systemägare av förvaltningsobjektet Personaladministrativa system vilket systemen LISA Bas 3 och LISA Självservice 4 är en del av. Fastighetsnämnden, Farsta stadsdelsnämnd och Servicenämnden omfattas av granskningen dels som ansvariga för informationssäkerhetsarbetet inom nämndens verksamhetsansvar och dels som informationsägare i systemet LISA. I servicenämndens ansvar ingår ansvar för stadens löne- och pensionsadministration. 2.4 Revisionskriterier Revisionskriterier är de bedömningsgrunder som revisionen utgår ifrån vid analys och bedömning. Följande revisionskriterier har tillämpas i granskningen: Stockholms stads riktlinje för informationssäkerhet (dnr /2014) ISO 27001:2014 Ledningssystem för informationssäkerhet. Stockholms stads budget 2018 (sid , 43-44, 49-50, 59-60) 2.5 Metod Granskningen har genomförts genom intervjuer och dokumentstudier. Intervjuer har genomförts med medarbetare som på olika nivåer och i olika roller har ett informationssäkerhetsansvar. 2 Löne- och informationssystem i Stockholms stad. 3 LISA Bas är lönekärnan i stordatormiljö, där löneadministratörer registrerar enligt underlag från förvaltningarna. 4 LISA Självservice är ett webbaserat försystem till LISA Bas där medarbetarna registrerar frånvaro, övertid, egna utlägg mm.
9 3 (15) Utgångspunkten för hur ett ledningssystem för informationssäkerhet kan utformas och hur arbetet ska bedrivas har varit ISO 27000:2014 Ledningssystem för informationssäkerhet. I stadens Riktlinje för informationssäkerhet anges att de är anpassade till den då gällande ISO-standarden (SS-ISO/IEC 27002:2005). Lönesystemet LISA har utgjort ett case där vi i granskningen har tittat på hur arbetet med informationssäkerhet fungerar i praktiken i den dagliga verksamheten. Granskningen har genomförts av Susanne Eriksson på revisionskontoret tillsammans med konsulter från Sentor Managed Security Services AB. Rapporten har faktakontrollerats av berörda förvaltningar. 3. Informationssäkerhet i Stockholms stad Verksamheterna i Stockholms stads nämnder och bolag hanterar en mängd informationstillgångar som är skyddsvärda. Det ställer krav på ett aktivt informationssäkerhetsarbete för att säkerställa att informationen vid varje tillfälle är konfidentiell, riktig, tillgänglig och spårbar. Bristande informationssäkerhet kan leda till allvarliga konsekvenser för staden och för medborgarna genom exempelvis bristande kontinuitet i vård- och omsorg, anseendeförluster eller ekonomiska skada I takt med att samhället och stadens verksamheter går mot en ökad digitalisering ökar också kravet på att informationssäkerhetsarbetet bedrivs på ett systematiskt sätt. Det bör dock understrykas att informationssäkerhet inte enbart rör it-system och teknik, utan hela kommunens verksamhet och all information oavsett om den finns datorer, på ett papper eller i telefonen. Vidare berör informationssäkerhet samtlig personal i en organisation. Informationssäkerhet ska inte ses som en isolerad företeelse eller enskild verksamhet utan som en förutsättning för att bedriva en god verksamhet. Det kräver i sin tur att det i likhet med andra områden, exempelvis ekonomi och HR, finns grundläggande processer och rutiner för hur arbetet ska bedrivas. I flera av stadens styrande dokument beskrivs stadens ambitioner för digitalisering av staden och dess verksamheter samt hur arbetet
10 4 (15) med informationssäkerhet ska bedrivas. I stadens Budget beskrivs att samtliga nämnder och bolagsstyrelser ska säkerställa att det finns ett effektivt och ändamålsenligt informationssäkerhetsarbete. Det anges även att uppföljning och intern kontroll, för att upptäcka och rätta till brister, är en viktig komponent i säkerhetsarbetet samt att det är angeläget med en hög riskmedvetenhet bland stadens medarbetare. I Stockholms stads trygghets- och säkerhetsprogram 6 framhålls att alla nämnder och bolag ska arbeta med informationssäkerhet och ha en utsedd informationssäkerhetssamordnare. Vidare framgår att samtliga nämnder och bolag ska säkerställa att korrekt information finns tillgänglig för behöriga på ett spårbart sätt när den behövs. Strategi för Stockholm som smart och uppkopplad stad 7 framhåller behovet av gemensamma arbetssätt och processer samt att en gemensam informationsstruktur utvecklas för att säkerställa enhetlighet i den insamlade informationen. Strategin ska tillsammans med stadens kommande digitaliseringsprogram beskriva hur arbetet ska gå till. 4. Granskningens resultat 4.1 Organisation och ansvar Kännetecknande för en god informationssäkerhet är en tydlig ansvarsfördelning och befogenheter. Det är också viktigt att ledningen är ledande i arbetet med informationssäkerhet. Det gäller såväl på stadsövergripande nivå som på förvaltningsnivå. Hur ansvaret fördelas och vad det omfattar framgår av riktlinjerna för informationssäkerhet och stadens budget. En förutsättning för att bedriva ett informationssäkerhetsarbete är också att medarbetarna har tillräcklig kompetens i förhållande till ansvar och befogenheter. Kommunstyrelsen har ansvar för att initiera aktiviteter för att bemöta säkerhetshot och risker. Kommunstyrelsens förvaltning stadsledningskontoret ansvarar för de strategiska och stadsövergripande frågorna inom digitalisering och verksamhetsutveckling med hjälp av it. I detta ingår också ett övergripande ansvar för informationssäkerhet samt att utfärda och förvalta stadens riktlinje för informationssäkerhet. Inom stadsledningskontoret finns avdelningen för digital utveckling som har ett övergripande ansvar för att styra och följa upp informationssäkerhetsarbetet inom staden. På avdelningen är stadens informationssäkerhetsansvarig (CISO 8 ) 5 Dnr /2018, beslutad av KF Dnr KS 2017/001309, beslutad av KF Dnr /2016, beslutad av KF CISO Chief information security officer
11 5 (15) organisatoriskt placerad. Rollen innebär att hålla samman stadens arbete med informationssäkerhet, förvalta ledningssystemet samt att ha tillsyn av det informationssäkerhetsarbete som bedrivs vid stadens förvaltningar och bolag. Varje nämnd ska säkerställa att det finns ett effektivt och ändamålsenligt informationssäkerhetsarbete. Varje nämnd har vidare ansvar för informationssäkerheten inom sitt verksamhetsområde och ska årligen planlägga och löpande följa upp informationssäkerhetsarbetet. Som riktlinjerna gör gällande är det förvaltningschefen som är ansvarig för att utöva ett ledande och aktivt informationssäkerhetsarbete. Förvaltningschefen utser också vem som ska vara informationssäkerhetssamordnare för förvaltningen. Som informationssäkerhetssamordnare är man förvaltningens kontaktperson avseende informationssäkerhet gentemot stadens informationssäkerhetsansvarig, men ska också verka för en god informationssäkerhet i organisationen. Informationssäkerhetssamordnaren ska ha kunskap om stadens regler för informationssäkerhet och om stadens säkerhetsarbete. 4.2 Ledningssystem Stadens Riktlinje för informationssäkerhet utgör ledningssystemet för informationssäkerhet. Den bygger till stor del på ISO-standarden för informationssäkerhet. Genom att arbeta efter ISO serien kan man säkerställa en bra struktur på säkerhetsarbetet, intern kontroll och att få en hög grad av förutsägbarhet. Följden blir en minimering av risker och färre misstag som kan leda till kostsamma säkerhetsincidenter. Nedanstående processer utgör de olika delarna i ett systematiskt informationssäkerhetsarbete. Informationsklassning - Klassificering av alla tillgångar utifrån konfidentialitet, riktighet, tillgänglighet och spårbarhet. Riskanalys Genomförande av risk- och sårbarhetsanalys för att identifiera verksamhetens kritiska risker. Intern kontroll Mitigerande kontroller åt de risker som identifierats vid risk- och sårbarhetsanalys. Incidentrapportering Systematisk och kontinuerlig incidentrapportering med tydliga ansvarsroller och spårbarhet. Kontinuerlig uppföljning av efterlevnad och förbättring
12 6 (15) Tydlig ansvarsfördelning och befogenheter är en förutsättning för att uppnå tillräcklig nivå av informationssäkerhet. Granskningen visar att riktlinjerna är anpassade till den ISOstandard 9 som gällde vid beslutstillfället. Vi kan dock konstatera att riktlinjerna inte har granskats och reviderats sedan de upprättades 2014, trots att det i riktlinjen framgår att så ska ske årligen. Riktlinjen är beslutad av stadsdirektören år Det pågår enligt uppgift ett arbete med att uppdatera stadens riktlinje för informationssäkerhet och i samband med detta anpassa dem efter den målgrupp de vänder sig till. Utöver riktlinjen för informationssäkerhet saknas stadsövergripande anvisningar, instruktioner och arbetsverktyg som stöd för förvaltningarnas arbete med att efterleva riktlinjen. I de intervjuer som har genomförts har det framkommit att riktlinjen upplevs som komplicerad och att den inte är anpassad till den målgrupp den vänder sig till. I intervjuerna framkommer också att det efterfrågas mer stöd och tydlighet från stadsledningskontoret i förvaltningarnas informationssäkerhetsarbete. Det stöd som bland annat efterfrågas är hur styrdokument bör utformas på förvaltningen utifrån stadens riktlinje samt forum för dialog. Stadens nätverk för informationssäkerhetssamordnare med syfte att informera och stödja verksamheterna är enligt uppgift vilande Analys och bedömning Staden har på en övergripande nivå relevanta ledningssystem/ styrdokument för hur informationssäkerhetsarbetet ska bedrivas. Vidare finns formellt en tydlig rollfördelning avseende ansvaret för det informationssäkerhetsarbete som ska bedrivas i staden. Vår bedömning är dock att styrningen, ledningen och uppföljningen av nämndernas informationssäkerhetsarbete behöver utvecklas. Det saknas stöd till nämnderna, i form av exempelvis stadsövergripande anvisningar, instruktioner eller arbetsverktyg, i deras arbete med att implementera och efterleva det styrande ledningssystemet. En konsekvens av detta blir att stadens övergripande arbete och uppföljning försvåras då nämnderna inte arbetar på ett konsekvent och likartat sätt. För att säkerställa att staden har en god informationssäkerhet bör det i likhet med andra stödfunktioner som ekonomi och personal finnas en tydligare styrning från kommunstyrelsen. 9 SS-ISO/IEC 27002:2005
13 7 (15) Då informationssäkerhet omfattar hela stadens verksamhet, all information och samtlig personal är antagandet av ett ledningssystem för informationssäkerhet ett strategiskt beslut för en organisation. Med anledning av detta bör kommunfullmäktige eller kommunstyrelsen fatta beslut om riktlinjerna då de utgör ett strategiskt och styrande dokument för stadens nämnder. 4.3 Implementering Utbildning och kommunikation ger förutsättningar för att öka kunskapen och acceptansen om informationssäkerhet. Vidare krävs att efterlevnaden av ledningssystemet kontrolleras. Granskningen visar att det i dagsläget inte finns någon gemensam utbildning som säkerställer att samtliga medarbetare har en grundläggande förståelse för informationssäkerhet. Det finns heller inte något krav på att informationssäkerhetssamordnaren ska ha kompetens inom området. De intervjuer som har genomförts visar att rollen som informationssäkerhetssamordnare ofta kombineras med andra uppdrag som exempelvis ansvar för ekonomi eller administration. Uppskattningsvis utgör rollen som informationssäkerhetssamordnare 5-10 procent av en årsarbetstid vid de granskade nämnderna. När det kommer till hur förvaltningarna arbetar med informations säkerhet visar granskningen att det inte är en fråga som finns på ledningens agenda. Enligt stadens budget har stadsledningskontoret bland annat ansvar för att styra och följa upp informationssäkerhetsarbete inom staden Intervjuer som genomförts visar att det på stadsövergripande nivå inte sker någon tillsyn av efterlevnaden av ledningssystemet för informationssäkerhet eller av det informationssäkerhetsarbete som bedrivs vid förvaltningar och bolag. Granskningen visar även att det på förvaltningsnivå endast sker få eller inga kontroller för att säkerställa att ledningssystemet efterlevs i förvaltningens olika verksamheter Analys och bedömning Bristande kompetens och förståelse för informationssäkerhet kan leda till, medvetet eller omedvetet, konsekvenser för staden och för medborgarna genom exempelvis informationsförluster, ekonomisk skada eller bristande förtroende för staden.
14 8 (15) Revisionskontorets bedömning är att stadens ledningssystem inte har implementerats fullt ut i de granskade nämnderna. En orsak är att ledningssystemet inte har kommunicerats på ett sätt som bidragit till förståelse för informationssäkerhet i organisationen. Resultatet av detta är att stadens olika förvaltningar och verksamheter inte arbetar på ett konsekvent och likartat sätt. För att säkerställa en god informationssäkerhet bör kommunstyrelsen vara styrande och stödjande i detta arbete på liknade sätt som inom exempelvis ekonomi och HR. För att öka kunskapen och acceptansen om informationssäkerhet i organisationen krävs att samtliga medarbetare har en grundläggande förståelse för ämnet, varför det bör finnas en för staden gemensam utbildning. Därutöver bör ledningen för respektive förvaltning tillse att medarbetarna har tillräcklig kunskap i förhållande till ansvar och befogenheter. Vidare bör det för informationssäkerhetssamordnare finnas krav på kompetens inom informationssäkerhet då dessa i dagsläget inte i tillräcklig omfattning arbetar i denna roll för att upprätthålla en tillfredsställande kunskapsnivån kring området. Utan att granska kan ledningen inte säkerställa att det beslutade ledningssystemet efterlevs i organisationen. Revisionskontorets bedömning är att det inte görs tillräckliga kontroller, var sig på en stadsövergripande nivå eller förvaltningsnivå, av att ledningssystemet efterlevs. Detta kan medföra att eventuella brister i efterlevnaden inte upptäcks vilket på olika sätt kan leda till skada för staden och dess medborgare. 4.4 Uppföljning och utveckling Riskanalysen är viktig för att säkerställa en ändamålsenlig hantering av informationstillgångar i förvaltningarna. En riskanalys bör fånga upp vad som framkommit i bland annat informationsklassificeringen, incidentrapporteringen samt genomförda internkontrollaktiviteter. I stadens anvisningar för nämndernas arbete med verksamhetsplan år 2018 anges it-säkerhet som ett av tre obligatoriska förvaltningsövergripande riskområden utöver de risker nämnderna själva identifierar. Utöver denna skrivelse i anvisningarna saknas det styrande dokument för riskanalyser avseende informationssäkerhet. Riskanalyser genomförs årligen som en del i förvaltningarnas arbete med att ta fram en internkontrollplan. I de väsentlighets- och riskanalyser som finns rapporterade i ILS och som revisionskontoret
15 9 (15) tagit del av är riskerna på en övergripande nivå och saknar koppling till förvaltningens utvecklingsarbete. Det saknas även en koppling mellan identifierade risker och vad som framkommit i incidentrapportering, informationsklassificering och genomförda internkontrollaktiviteter. Av ledningssystemet och stadens rutin för rapportering av incidenter framgår att samtliga förvaltningar och bolag ska rapportera och följa upp incidenter som rör informationssäkerhet. Av information 10 på stadens intranät framgår att it-relaterade incidenter ska rapporteras i systemet för händelsehantering, IA. Det kan röra sig om datorintrång, informationsförlust, stillastående system samt missbruk av system, tjänster och funktioner. Enligt stadens SIKT-avtal ska anmälan även göras till driftleverantörens ärendehantering. I granskningen har det framkommit att de granskade nämnderna upplever att det finns en otydlighet kring hur incidentrapportering ska ske, via vilket verktyg och kanaler samt vilken typ av incidenter som ska rapporteras i IA respektive till driftleverantören. Detta gäller dels incidenter som rör stadsgemensamma system men också händelser som rör den egna verksamheten. På liknade sätt som vid efterlevnaden av ledningssystemet sker det enligt uppgift inte någon stadsövergripande analys och uppföljning av de informationssäkerhetsrisker som nämnderna rapporterat. Det görs inte heller någon uppföljning av de incidenter som rapporterats i IA vad gäller informationssäkerhet Analys och bedömning För att utveckla sitt arbete kring informationssäkerhet är revisionskontorets bedömning att nämnderna bör säkerställa att riskanalyserna fångar upp vad som identifierats vid informationsklassificering, incidentrapportering och genomförda internkontrollaktiviteter. Nämnderna bör också säkerställa att de har fungerande rutiner för att it-relaterade händelser rapporteras i IA. Det finns inget stöd för att det inträffat händelser som rör informationssäkerhet men det går heller inte att utesluta då endast ett fåtal händelser har rapporterats i IA. Då incidentrapporteringen är ett viktigt underlag för att identifiera risker bör det säkerställas att staden har en fungerande incidentrapportering. Det är därför av vikt att förtydliga och kommunicera 10 IA Frågor och svar
16 10 (15) ansvaret för incidentrapportering gällande stadsgemensamma system. Det bör tydligt framgå vem som ska rapportera vilka händelser samt hur denna rapportering ska ske. Det finns annars en risk för att incidenter inte rapporteras samt tas om hand på ett korrekt sätt. Uppföljning och utveckling av stadens arbete med informationssäkerhet kan kopplas till riktlinjen där det framgår att modellen PDCA (Plan-Do-Check-Act) utgör grunden för uppföljning och utveckling av informationssäkerhetsarbetet. Modellen är processorienterad och målet är att nå ständiga förbättringar. Revisionskontoret kan i granskningen inte se att modellen eller motsvarande används för att utvärdera informationssäkerhetsarbetet i de nämnder som ingått i granskningen. 4.5 Systemet LISA LISA Bas kallas det it-stöd som staden använder för beräkning och utbetalning av löner, arvoden mm. Personalstrategiska avdelningen vid stadsledningskontoret utövar det fortlöpande systemägarskapet för systemen LISA Bas och LISA Självservice inom Personaladministrativa system. Systemägaren fattar de övergripande besluten om systemets drift och mål. I ansvaret ingår bland annat att fatta beslut om systemens säkerhetsnivå, sekretessbelagda funktioner och behörighetskontroller. För att nå ut med information till förvaltningarna finns mötesforum för personalchefer och administratörer av Lisa Självservice. Vidare finns det en referensgrupp med löneadministratörer för LISA Bas. Det finns också ett verksamhetsråd där representanter från personalstrategiska avdelningen och serviceförvaltningen deltar. Information finns också att ta del av på stadens intranät. Styrande i den övergripande förvaltningen av personaladministrativa system är Förvaltningsplan 2018 Personaladministrativa system. Planen uppdateras årligen och beskriver vilka uppgifter som ska utföras i förvaltningen av systemet samt hur den ska bemannas och styras. Utifrån förvaltningsplanen tas en årlig beställning fram för förvaltning och utveckling av LISA Bas, LISA Självservice samt övriga HR-system. Förvaltningsplanen följs upp löpande tillsammans med driftleverantören. Detta bekräftas av de protokoll som revisionskontoret tagit del av. Intervjuer har visat att systemägaren har identifierat att det i organisationen saknas teknisk kompetens för att ställa krav på
17 11 (15) leverantörer vad gäller tekniskt skydd mot informationssäkerhetsrisker kopplat till systemet LISA. Som informationsägare är varje förvaltning som använder systemet LISA Självservice bland annat ansvariga för att systemet och informationen används på bästa sätt. I förvaltningarnas ansvar ingår även att tillse att deras del av informationen i systemet LISA Självservice samt de manuella underlag som skickas till serviceförvaltningen för registrering i LISA Bas håller hög kvalitet och är aktuell (registeransvar). Vidare ansvarar förvaltningarna för att säkerhetsrutinerna i LISA Självservice fungerar lokalt (exempelvis hantering av behörigheter) samt att alla som arbetar med LISA Självservice får erforderlig utbildning och instruktioner till LISA Självservice. Som stöd i förvaltningarnas praktiska arbete i systemet LISA Bas finns en handbok på serviceförvaltningens intranät. Personalstrategiska avdelningen vid stadsledningskontoret har även tagit fram Riktlinjer för internkontroll av lönehantering. Riktlinjerna beskriver vilka kontroller som årligen ska genomföras av lönehanteringen. Respektive förvaltning (informationsägare) ansvarar för att integrera arbetssätten i sin verksamhet och tillse att riktlinjerna efterlevs. I de granskade nämndernas väsentlighets- och riskanalyser som revisionskontoret tagit del av saknas risker som berör informationssäkerhet kopplat till förvaltningarnas ansvar som informationssägare i LISA Självservice. Löneadministratörerna på serviceförvaltningen är de enda som har behörighet att registrera i systemet LISA Bas. För dessa behörigheter beslutar stadens personaldirektör. Vid de övriga förvaltningarna har vanligen personalchef och HR-konsult begränsad behörighet att titta/läsa information om den egna förvaltningen. När det kommer till behörigheter ansvarar respektive förvaltning för att följa upp behörigheter i LISA Självservice och personalstrategiska avdelningen för behörigheter i LISA Bas. Förvaltningarna har enligt gällande rutin ansvar för att följa upp behörigheterna i LISA Självservice varje månad så att användarna har rätt behörighet och att behörigheter avslutas. Personalstrategiska avdelningen gjorde våren 2018 en genomgång av samtliga behörigheter i LISA Bas vilket resulterade i att vissa användare fick en lägre behörighet samt att behörigheter avslutades. I övrigt gör personalstrategiska avdelningen uppföljning av behörigheter i LISA Bas kvartalsvis.
18 12 (15) Genomförda intervjuer med förvaltningarna visar att det finns en oklarhet vad gäller ansvaret för att rapportera incidenter som rör stadsgemensamma system, däribland systemet LISA. Det gäller bland annat om det är systemägaren eller informationsägaren som ska rapportera och om incidenten/händelsen ska rapporteras i IA eller till driftleverantören. Stadsledningskontorets personalstrategiska avdelning följer löpande upp de incidenter som rapporterats till driftleverantören. Uppföljningen sker i samband med leverans- och förvaltningsmöten. Incidenter som rör LISA Bas och som rapporterats i IA följs månatligen upp av stadens personaldirektör. Vidare genomför personalstrategiska avdelningen informationsklassificering av systemen LISA Bas och LISA Självservice. I dokumentet Hantering och förvaring av personalhandlingar i Stockholms stad beskrivs bland annat ansvarsfördelning för personalhandlingar inom staden, sekretess inom personalområdet, överlämning av personalhandlingar till annan förvaltning, utlämnande av handlingar till allmänheten. Intervjuer visar att det finns en förståelse bland medarbetarna som praktiskt arbetar i systemen LISA Bas och LISA Självservice hur personalhandlingar ska hanteras samt vilka uppgifter och handlingar som får lämnas ut Analys och bedömning Revisionskontorets granskning visar att det finns former för den övergripande förvaltningen av personaladministrativa system. I förvaltningsplanen beskrivs vilka uppgifter som ska utföras i förvaltningen av systemet samt hur den ska bemannas och styras. Vid leverans- och förvaltningsmöten följs förvaltningsplanen upp samt de incidenter som rapporterats till driftleverantören. Det finns vidare etablerade mötesforum där medarbetarna på förvaltningarna ges information. Dock är vår bedömning, enligt vad som framkommit i granskningen, att det finns risk för att informationssäkerhetsarbetet avseende förvaltningarnas ansvar som informationsägare inte är tillräckligt. Vad gäller den tekniska kompetensen är revisionskontorets bedömning att det är angeläget att denna kompetens finns i organisationen för att kunna ställa krav på samt säkerställa att leverantörer av system upprätthåller en tillfredsställande nivå av säkerhet. Stadsledningskontorets personalstrategiska avdelning gör en analys för staden utifrån de incidenter som rapporterats till driftleveran-
19 13 (15) tören och i IA samt vad som framkommit av informationsklassificeringen av system LISA Bas och LISA Självservice. Analysen sker dock inte samlat. 5. Sammanfattande bedömning och rekommendationer Staden har på en övergripande nivå relevanta styrdokument i vilka också ansvarsfördelningen för informationssäkerhetsarbetet beskrivs. Granskningen visar dock att de förvaltningar som ingått i granskningen inte tycker att ansvaret i alla delar är tydligt samt att de efterfrågar stöd i hur arbetet ska organiseras och bedrivas. Vidare saknas det inom de nämnder som har granskats tillräcklig kompetens om hur informationssäkerhetsarbetet ska bedrivas. Enligt ISOstandarden är kompetens en nödvändighet i en organisations arbete med informationssäkerhet. Granskningen visar att nämndernas arbete med att säkerställa efterlevnaden av gällande styrdokument på området behöver utvecklas. Riktlinjerna för informationssäkerhet behöver på ett tydligare och aktivare sätt kommuniceras och implementeras i verksamheterna. Vidare bör det för att skapa acceptans och förståelse för informationssäkerhet bland medarbetarna finnas en för staden grundläggande utbildning i informationssäkerhet. Det görs inte heller i tillräcklig omfattning, vare sig på en stadsövergripande nivå eller förvaltningsnivå, kontroller av att ledningssystemet efterlevs. Granskningen visar också att nämnderna, för att följa upp och utveckla informationssäkerhetsarbetet, bör fånga vad som framkommer vid informationsklassificering, incidentrapportering och genomförda kontrollaktiviteter. Den sammanfattande bedömningen är att stadens arbete avseende styrning, ledning och uppföljning av informationssäkerhetsarbetet behöver utvecklas. Kommunstyrelsen bör i större uträckning styra nämndernas arbete med informationssäkerhet. Då kommunfullmäktige har fastslagit inriktning och ambitionsnivå för stadens pågående digitalisering och hur informationssäkerhetsarbetet ska bedrivas bör en tydligare styrning inrymmas i kommunstyrelsen uppdrag. Utifrån redovisade iakttagelser och bedömningar lämnas följande rekommendationer:
20 14 (15) Kommunstyrelsen: Utveckla stödet, i form av anvisningar, instruktioner och arbetsverktyg samt utbildningsinsatser, till nämnderna i deras arbete med informationssäkerhet. Utveckla uppföljningen och tillsynen av nämndernas arbete med informationssäkerhet. Kommunfullmäktige eller kommunstyrelsen bör fatta beslut om riktlinjerna för informationssäkerhet då de utgör ett strategiskt och styrande dokument för stadens nämnder. Säkerställa att det finns teknisk kompetens för att säkerställa att leverantörerna hanterar säkerhetsrisker på ett tillfredsställande sätt. Fastighetsnämnden, servicenämnden och Farsta stadsdelsnämnd: Kommunicera och implementera stadens riktlinjer för informationssäkerhet i organisationen. Kontrollera efterlevnaden av stadens riktlinjer för informationssäkerhet.
21 15 (15) Bilaga 1 Intervjupersoner Farsta stadsdelsförvaltning Förvaltningschef Informationssäkerhetssamordnare Strateg, ekonomiavdelningen Fastighetskontoret Förvaltningschef Enhetschef, enheten för digitalt stöd Informationssäkerhetssamordnare HR-konsult, HR-enheten, HR- och kommunikationsavdelningen Enhetschef, HR-enheten, HR- och kommunikationsavdelningen Serviceförvaltningen Tf. förvaltningschef Avdelningschef, avdelningen lön och pension Informationssäkerhetssamordnare Stadsledningskontoret Personaldirektör, personalstrategiska avdelningen Enhetschef, enheten för HR-system, personalstrategiska avdelningen Strateg, enheten för HR-system, personalstrategiska avdelningen Informationssäkerhetsansvarig, avdelningen för digital utveckling Enhetschef, enheten för infrastruktur, plattformar och support, avdelningen för digital utveckling Handläggare, enheten för upphandling och avtal, avdelningen för digital utveckling
Årsrapport 2013 Valnämnden
Årsrapport 2013 Rapport från Stadsrevisionen Nr 2, 2014 Dnr 3.1.2-38/2014 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet som bedrivs i nämnder och bolagsstyrelser.
Årsrapport 2018 Valnämnden
Rapport från Stadsrevisionen Nr 2, 2019 Dnr: 3.1.2-23/2019 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet som bedrivits i nämnder och bolag. Stadsrevisionen
Årsrapport 2015 Valnämnden
Årsrapport 2015 Valnämnden Rapport från Stadsrevisionen Nr 2, 2016 Dnr 3.1.2-45/2016 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet som bedrivs i nämnder och
Årsrapport 2017 Valnämnden
Årsrapport 2017 Rapport från Stadsrevisionen Nr 2, 2018 Dnr: 3.1.2-20/2018 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet som bedrivits i nämnder och bolag.
Årsrapport 2014 Kulturnämnden avseende stadsarkivet
Årsrapport 2014 Kulturnämnden avseende stadsarkivet Rapport från Stadsrevisionen Nr 23, 2015 Dnr 3.1.2-65/2015 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet
Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57
1 (5) Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige 2018-05-07, 57 Postadress Besöksadress Telefon Internet och fax Giro och org.nr Sunne kommun Verksamhetsstöd
Årsrapport 2014 Valnämnden
Årsrapport 2014 Rapport från Stadsrevisionen Nr 2, 2015 Dnr 3.1.2-40/2015 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet som bedrivs i nämnder och bolagsstyrelser.
System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning
System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning stockholm.se Augusti 2017 Dnr: 1.2.1-264-2017 Kontaktperson: Per Lindberg 3 (11) Innehåll Inledning... 4 Kontrollsystemet... 5 Ansvarsfördelning...
Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen
Stadsrevisionen Projektplan Informationssäkerhetsarbetet i Göteborgs Stad goteborg.se/stadsrevisionen 2 PROJEKTPLAN INFORMATIONSSÄKERHETSARBETET I GÖTEBORGS STAD Informationssäkerhetsarbetet i Göteborgs
1(6) Informationssäkerhetspolicy. Styrdokument
1(6) Styrdokument 2(6) Styrdokument Dokumenttyp Policy Beslutad av Kommunfullmäktige 2017-05-17 73 Dokumentansvarig IT-chef Reviderad av 3(6) Innehållsförteckning 1 Inledning...4 1.1 Begreppsförklaring...4
Informationssäkerhetspolicy för Ystads kommun F 17:01
KS 2017/147 2017.2189 2017-06-29 Informationssäkerhetspolicy för Ystads kommun F 17:01 Dokumentet gäller för: Ystads kommuns nämnder, kommunala bolag och kommunala förbund Gäller fr.o.m. - t.o.m. 2017-08-01-tillsvidare
DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen
TJÄNSTESKRIVELSE Datum DNR: KS2016/918/01 2018-03-07 1 (1) Kommunstyrelsen Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Förslag till beslut Förslaget till Informationssäkerhetspolicy för
Informationssäkerhetspolicy för Ånge kommun
INFORMATIONSSÄKERHETSPOLICY 1 (10) Informationssäkerhetspolicy för Ånge kommun Denna informationssäkerhetspolicy anger hur Ånge kommun arbetar med informationssäkerhet och uttrycker kommunens stöd för
Svar på revisionsskrivelse informationssäkerhet
TJÄNSTEUTLÅTANDE Personalavdelningen Dnr KS/2014:280-007 2015-03-03 1/3 KS 10:1 Handläggare Annica Strandberg Tel. 0152-291 63 Kommunrevisionen Svar på revisionsskrivelse informationssäkerhet Förslag till
Informationssäkerhetspolicy
Antagen av kommunfullmäktige 2018-04-23 149 Dnr 2017/13 100 2018-03-09 1(5) Kommunledningsförvaltningen Håkan Helgesson 0476-550 Hakan.helgesson@almhult.se Policy 2018-03-09 2(5) Innehåll Om dokumentet...
SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum
SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum 2018-08-15 117 KS 245/18 Upprättande av riktlinjer för informationssäkerhet Beslut Arbetsutskottets förslag till kommunstyrelsen Kommunstyrelsen
Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad
Informationssäkerhetspolicy i Borlänge kommunkoncern Beslutad av kommunfullmäktige 2012-12-18 238, reviderad 2017-09-19 153 Metadata om dokumentet Dokumentnamn Informationssäkerhetspolicy i Borlänge kommunkoncern
Årsrapport 2016 Valnämnden
Årsrapport 2016 Rapport från Nr 2, 2017 Dnr 3.1.2-26/2017 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet som bedrivs i nämnder och bolagsstyrelser. i Stockholm
Årsrapport 2011 ÖVERFÖRMYNDARNÄMNDEN. STADSREVISIONEN
STADSREVISIONEN www.stockholm.se/revision Nr 32 Mars 2012 DNR 353-52/2012 Årsrapport 2011 ÖVERFÖRMYNDARNÄMNDEN Ekonomiskt och verksamhetsmässigt resultat är inte helt tillfredsställande Styrning, uppföljning
Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret
Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet
Policy för informations- säkerhet och personuppgiftshantering
Policy för informations- säkerhet och personuppgiftshantering i Vårgårda kommun Beslutat av: Kommunfullmäktige för beslut: 208-04- För revidering ansvarar: Kommunfullmäktige Ansvarig verksamhet: Strategisk
Informationssäkerhetspolicy för Umeå universitet
Sid 1 (7) Informationssäkerhetspolicy för Umeå universitet Sid 2 (7) Inledning Denna policy utgör grunden i universitetets ledningssystem för informationssäkerhet (LIS) och beskriver Umeå universitets
2012-12-12 Dnr 074-11-19
HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)
Informationssäkerhetspolicy inom Stockholms läns landsting
LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4
Granskning av delårsrapport Rapport från Stadsrevisionen
Granskning av delårsrapport 2015-08-31 Rapport från Stadsrevisionen Dnr 3.1.2-205/2015 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet som bedrivs i nämnder och
Informationssäkerhetspolicy. Linköpings kommun
Informationssäkerhetspolicy Linköpings kommun Antaget av: Kommunfullmäktige Status: Antaget 2016-08-30 291 Giltighetstid: Tillsvidare Linköpings kommun linkoping.se Sekretess: Öppen Diarienummer: Ks 2016-481
Årsrapport 2015 Rådet till skydd för Stockholms skönhet (Skönhetsrådet)
Årsrapport 2015 Rådet till skydd för Stockholms skönhet (Skönhetsrådet) Rapport från Stadsrevisionen Nr 3, 2016 Dnr 3.1.2-46/2016 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska
Årsrapport 2017 Enskede-Årsta-Vantörs stadsdelsnämnd
Enskede- Årsta- Vantör stadsdelsförvaltning Staben Tjänsteutlåtande Sida 1 (6) 2018-05-14 Handläggare Tove Bodin Telefon: 08-508 203 02 Till Enskede- Årsta-Vantörs stadsdelsnämnd 2018-06-14 Årsrapport
INFORMATIONSSÄKERHETSGRANSKNING AV PARAPLYSYSTEMETS APPLIKATION PARASOL
STADSREVISIONEN www.stockholm.se/revision Nr 6 September 2008 DNR 420-117/2008 Revisionsrapport INFORMATIONSSÄKERHETSGRANSKNING AV PARAPLYSYSTEMETS APPLIKATION PARASOL Stadsdelsnämndernas tilldelning av
TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63
TJÄNSTESKRIVELSE 2019-01-14 Kommunstyrelsen Richard Buske Tf säkerhetschef Telefon 08 555 010 22 richard.buske@nykvarn.se informationssäkerhetspolicy KS/2019:63 Förvaltningens förslag till beslut Revidering
Direktupphandling Nr 8, Projektrapport från Stadsrevisionen
Nr 8, 2017 Projektrapport från Stadsrevisionen Dnr: 3.1.3-90/2017 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet som bedrivits i nämnder och bolag. Stadsrevisionen
Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag
Förfrågningsunderlag stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav
STADSREVISIONEN November 2012 DNR /2012. Rapport 2012 GRANSKNING AV DELÅRSRAPPORT
STADSREVISIONEN www.stockholm.se/revision November 2012 DNR 310-146/2012 Rapport 2012 GRANSKNING AV DELÅRSRAPPORT 2012-08-31 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska
Ledningssystem för Informationssäkerhet
Dnr 2017/651 Ledningssystem för Informationssäkerhet Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställd av Säkerhetschefen 2016-04-26 Innehåll 1 Inledning... 3 2 Organisationens förutsättningar...
Granskningspromemoria. S:t Erik Markutveckling AB
Granskningspromemoria 2017 S:t Erik Markutveckling AB Granskningspromemoria från Stadsrevisionen Nr 17, 2018 Dnr: 3.1-2-18/2018 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska
Informationssäkerhetspolicy KS/2018:260
Informationssäkerhetspolicy KS/2018:260 Innehållsförteckning Antagen av kommunfullmäktige den [månad_år] Informationssäkerhetspolicy...22 Ändringar införda till och med KF, [nr/år] Inledning och bakgrund...22
Stadsledningskontorets system för intern kontroll
Bilaga Stadsledningskontorets system för intern kontroll Inledning I dokumentet redovisas de grundläggande lagarna och reglerna som styr den interna kontrollen samt en definition av begreppet intern kontroll
Informationssäkerhetspolicy
Informationssäkerhetspolicy GULLSPÅNG KOMMUN Antagen av kommunfullmäktige 2017-06-21, 98 Dnr: KS 2017/314 Revideras vid behov Kommunledningskontoret Torggatan 19, Box 80 548 22 HOVA Tel: 0506-360 00 www.gullspang.se
Årsrapport 2013 för Hässelby-Vällingby stadsdelsnämnd
Hässelby-Vällingby stadsdelsförvaltning Strategiska avdelningen Handläggare Marie Janemar Telefon: 08-508 04 012 Sida 1 (8) 2014-06-02 Till Hässelby-Vällingby stadsdelsnämnd 2014-06-12 Årsrapport 2013
STADSREVISIONEN Nr 2 Mars 2012 DNR /2012. Årsrapport 2011 VALNÄMNDEN
Nr 2 Mars 2012 Årsrapport 2011 VALNÄMNDEN Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet som bedrivs i nämnder och bolagsstyrelser. Stadsrevisionen i Stockholm
Uppföljningsrapport för internkontrollplan 2016 för fastighetsnämnden
Bilaga 8 Sida 1 (5) 2017-01-23 Tina Lindberg 08-508 26 735 tina.lindberg@stockholm.se Uppföljningsrapport för internkontrollplan 2016 för fastighetsnämnden Sida 2 (5) Inledning Fastighetsnämnden fastställde
Informationssäkerhetspolicy
Informationssäkerhetspolicy KS/2018:260 Ansvarig: Kanslichef Gäller från och med: 2018-07-19 Uppföljning / revidering ska senast ske: 2019-07-19 Beslutad av kommunfullmäktige 2018-06-20, 60 Innehållsförteckning
Policy och strategi för informationssäkerhet
Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy
Granskningspromemoria. Stockholms Stadsteater AB
Granskningspromemoria 2018 Stockholms Stadsteater AB Granskningspromemoria från Stadsrevisionen Nr 11, 2019 Dnr: 3.1.4-11/2019 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska
Ledningssystem för Informationssäkerhet
Dnr 2017/651 Ledningssystem för Informationssäkerhet Riktlinjer för säkerhetsarbetet vid Uppsala universitet Innehåll 1 Inledning... 3 2 Organisationens förutsättningar... 4 3 Ledarskap... 5 4 Planering...
STYRNING OCH KONTROLL AV RAMAVTAL FÖR MISSBRUKSVÅRD. Styrningen och samordningen av avtalen är tillfredsställande
STADSREVISIONEN www.stockholm.se/revision Nr 5 Januari 2009 DNR 420-19/09 Revisionsrapport STYRNING OCH KONTROLL AV RAMAVTAL FÖR MISSBRUKSVÅRD Styrningen och samordningen av avtalen är tillfredsställande
HANTERING AV SKYDDADE PERSONUPPGIFTER INOM STADENS INDIVID- OCH FAMILJEOMSORG
STADSREVISIONEN www.stockholm.se/revision Nr 2 Januari 2009 DNR 420-01/2009 Revisionsrapport HANTERING AV SKYDDADE PERSONUPPGIFTER INOM STADENS INDIVID- OCH FAMILJEOMSORG En stadsövergripande policy för
Internkontrollplan 2015 för moderbolaget Stockholms Stadshus AB
Tjänsteutlåtande Koncernstyrelsen 2014-12-15 Ärende 7 Dnr 2014/1.2.1/150 Sid. 1 (5) 2014-11-24 Handläggare: Sara Feinberg, 08-508 29 097 Till Koncernstyrelsen Internkontrollplan 2015 för moderbolaget Stockholms
Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting
Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad
Årsrapport 2013 Kyrkogårdsnämnden
Årsrapport 2013 Kyrkogårdsnämnden Rapport från Stadsrevisionen Nr 24, 2014 Dnr 3.1.2-60/2014 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet som bedrivs i nämnder
myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete
BILAGA TILL GRANSKNINGSRAPPORT DNR: 31-2014-1526 Bilaga 5. Enkät till Affärsverket svenska kraftnät, Bolagsverket, Lantmäteriet, Post- och telestyrelsen, Sjöfartsverket samt Statens tjänstepensionsverk
Årsrapport 2016 Enskede- Årsta- Vantörs stadsdelsnämnd
Enskede- Årsta- Vantör stadsdelsförvaltning Lokal och stadsmiljö Tjänsteutlåtande Sida 1 (5) 2017-04-13 Handläggare Eskil Swerkersson Telefon: 08-50814020 Till Enskede- Årtsa- Vantörs stadsdelsnämnd Årsrapport
S:t Erik Livförsäkrings AB
Granskningspromemoria 2014 S:t Erik Livförsäkrings AB Granskningspromemoria från Stadsrevisionen Nr 15, 2015 Dnr 3.1.2-16/2015 2015-02-04 Den kommunala revisionen är fullmäktiges kontrollinstrument för
AKTIV AVTALSFÖRVALTNING INOM HEMTJÄNST?
STADSREVISIONEN www.stockholm.se/revision Nr 6 Oktober 2010 DNR 420-150/2010 Revisionsrapport AKTIV AVTALSFÖRVALTNING INOM HEMTJÄNST? Den kommunala revisionen är fullmäktiges kontrollinstrument för att
Avtalsförvaltning avseende Gemensam ITservice
Avtalsförvaltning avseende Gemensam ITservice Nr 1, 2015 Projektrapport från Stadsrevisionen Dnr 3.1.3-177/2014 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet
POLICY INFORMATIONSSÄKERHET
POLICY INFORMATIONSSÄKERHET Fastställd av Kommunfullmäktige 2016-03-21 56 Bo Jensen Säkerhetsstrateg Policy - Informationssäkerhet Denna policy innehåller Haninge kommuns viljeinriktning och övergripande
Informationssäkerhetspolicy
Informationssäkerhetspolicy Tyresö kommun 2014-03-06 Innehållsförteckning 1 Mål för informationssäkerhetsarbetet... 3 2 Policyns syfte... 3 3 Grundprinciper... 4 4 Generella krav... 4 4.1 Kommunens informationstillgångar...
Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1
DIARIENUMMER: KS 47/2018 FASTSTÄLLD: 2018-04-10 VERSION: 1 SENAS T REVIDERAD: GILTIG TILL: DOKUMENTANSVAR: Tills vidare Fullmäktige Policy Policy för informationssäkerhet och personuppgiftshantering i
Årsrapport 2014 Kyrkogårdsnämnden
Årsrapport 2014 Kyrkogårdsnämnden Rapport från Stadsrevisionen Nr 24, 2015 Dnr 3.1.2-66/2015 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet som bedrivs i nämnder
Svar på stadsrevisionens årsrapport 2018
Sida 1 (7) 2019-05-08 Handläggare Per Onning Telefon: 0850804045 Till Hässelby-Vällingby stadsdelsnämnd 2019-06-13 Svar på stadsrevisionens årsrapport 2018 Förslag till beslut Stadsdelsnämnden överlämnar
Granskning av intern kontroll. Söderhamns kommun. Revisionsrapport. Februari 2011. Micaela Hedin Certifierad kommunal revisor
Granskning av intern kontroll Söderhamns kommun Revisionsrapport Februari 2011 Micaela Hedin Certifierad kommunal revisor Robert Heed Revisionskonsult Innehållsförteckning Sammanfattning... 3 1. Inledning...
Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10
Revisionsrapport KPMG AB Antal sidor: 10 Innehåll 1. Sammanfattning 1 2. Bakgrund 3 3. Syfte 3 4. Avgränsning 3 5. Revisionskriterier 4 6. Ansvarig styrelse/nämnd 4 7. Metod 4 8. Projektorganisation 4
Koncernkontoret Enheten för säkerhet och intern miljöledning
Koncernkontoret Enheten för säkerhet och intern miljöledning Johan Reuterhäll Informationssäkerhetschef johan.reuterhall@skane.se RIKTLINJER Datum: 2017-12-07 Dnr: 1604263 1 (8) Riktlinjer för informationssäkerhet
Myndigheten för samhällsskydd och beredskaps författningssamling
Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Anna Asp, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 30 oktober 2018 Myndigheten
Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13
Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13 Människors liv och hälsa samt landstingets samhällsviktiga verksamhet skall värnas. Ingen, eller inget, skall skadas av sådant som
Granskning av IT-säkerhet
TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet
Årsrapport 2015 Servicenämnden
Årsrapport 2015 Servicenämnden Rapport från Stadsrevisionen Nr 4, 2016 Dnr 3.1.2-47/2016 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet som bedrivs i nämnder
Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport
Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll Revisionsrapport KPMG AB Antal sidor: 9 Innehåll 1. Sammanfattning och kommentarer/rekommendationer 1 2. Uppdrag 2
Kommunrevisionen: Granskning av intern kontroll 2016
STADSBYGGNADSFÖRVALTNINGEN Handläggare Rinander Barbro Datum 2017-09-19 Diarienummer GSN-2017-1376 Gatu- och samhällsmiljönämnden Kommunrevisionen: Granskning av intern kontroll 2016 Förslag till beslut
Granskningspromemoria 2012
STADSREVISIONEN www.stockholm.se/revision Nr 12 Februari 2013 DNR 375-15/2013 Granskningspromemoria 2012 STOCKHOLM GLOBE ARENA FASTIGHETER AB Den kommunala revisionen är fullmäktiges kontrollinstrument
Årsrapport 2017 Rådet till skydd för Stockholms skönhet (Skönhetsrådet)
Årsrapport 2017 Rådet till skydd för Stockholms skönhet Rapport från Stadsrevisionen Nr 3 Dnr: 3.1.2-21/2018 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet som
Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016
Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn
Granskning av Intern kontroll
www.pwc.se Revisionsrapport Lars Wigström Cert. kommunal revisor Granskning av Intern kontroll Vingåkers kommun Innehållsförteckning 1. Sammanfattande bedömning och rekommendationer... 1 2. Inledning...3
Anvisning för intern kontroll och styrning
Bilaga 14 Sida 1 Styrelsen 2016-06-07 Handläggare: Anders Söderberg Tel: 031-368 4018 E-post: anders.soderberg@goteborg.com Anvisning för intern kontroll och styrning Förslag till beslut i styrelsen för
Årsrapport 2017 Kulturnämnden avseende stadsarkivet
Årsrapport 2017 Kulturnämnden avseende stadsarkivet Rapport från Stadsrevisionen Nr 23, 2018 Dnr: 3.1.2-41/2018 Den kommunala revisionen är fullmäktiges kontrollinstrument för att granska den verksamhet
Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören
Version: 1 Beslutsinstans: Regiondirektören 2(10) ÄNDRINGSFÖRTECKNING Version Datum Ändring Beslutat av 1. 2016-06-30 Nyutgåva Regiondirektören 3(10) INNEHÅLLSFÖRTECKNING 1 INLEDNING...4 2 ANSVAR FÖR INFORMATIONSSÄKERHET...4
Internkontrollplan 2017
KULTURFÖRVALTNINGEN Handläggare Datum Diarienummer Strömberg Annika 2016-11-23 KTN-2016-0393 Kulturnämnden Internkontrollplan 2017 Förslag till beslut Kulturnämnden föreslås besluta att anta förslag till
Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336
Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336 Sida 151 av 282 Tjänsteskrivelse 1(2) 2018-03-26 Dnr: KS 2017/336 Kommunfullmäktige Revidering av
Informationssäkerhetspolicy
2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan
Ärende- och dokumenthantering
www.pwc.se Revisionsrapport Ärende- och dokumenthantering Robert Bergman Projektledare 2016 Christer Marklund Kvalitetssäkrare Mars/2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund...
System för intern kontroll Spånga-Tensta Stadsdelsnämnd
System för intern kontroll Spånga-Tensta Stadsdelsnämnd stockholm.se Innehåll Syfte och funktion... 3 Internkontrollsarbetets förutsättningar och utförande... 3 Systematiska kontroller... 4 Internkontrollplanen...
Kalmar kommun Uppföljande granskning Granskning av lönehanteringen
Kalmar kommun Uppföljande granskning Granskning av lönehanteringen 2016-10-20 Innehåll 1. Sammanfattning... 3 2. Bakgrund... 4 2.1. Syfte och avgränsning... 4 2.2. Revisionsfrågor... 4 2.3. Revisionskriterier...
Välkommen till enkäten!
Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av
Bilaga 3 Säkerhet Dnr: /
stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete
Riktlinjer för internkontroll
Dokumentansvarig Åsa Bejvall, 0485-470 35 asa.bejvall@morbylanga.se RIKTLINJE Beslutande Kommunstyrelsen 259 2018-12-04 1(5) Beteckning Handbok Giltighetstid 2018-12-04 Aktualitetsprövning/revidering senast
Plan för internkontroll med väsentlighets- och riskanalys 2018 för
Fastighetsnämnden Dnr: FSK 2017/432 Sid 1 (10) 2017-12-04 Handläggare Lena Lien Telefon: 08-508 270 00 Till Fastighetsnämnden Plan för internkontroll med väsentlighets- och riskanalys 2018 för Fastighetsnämnden
ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning
ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation
Granskning av stadens arbete med åtgärder och uppföljning avseende intern styrning och kontroll
www.pwc.se Revisionsrapport Tilda Lindell Margareta Irenaeus Granskning av stadens arbete med åtgärder och uppföljning avseende intern styrning och kontroll Solna stad Åtgärder och uppföljning avseende
Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:
www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet avseende externt och internt dataintrång Informationssäkerhetsspecialister: Viktor Bergvall Linus Owman Certifierad kommunal revisor: Lena
Granskning intern kontroll
Revisionsrapport Granskning intern kontroll Kinda kommun Karin Jäderbrink Cert. kommunal revisor Innehållsförteckning 1 Sammanfattande bedömning 1 2 Bakgrund 2 2.1 Uppdrag och revisionsfråga 2 2.2 Avgränsning
Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och
Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis
Informationssäkerhetspolicy
2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,
Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet
Revisionsrapport Karolinska institutet 171 77 Stockholm Datum Dnr 2011-02-01 32-2010-0715 Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet 2010 Riksrevisionen
System för internkontroll
BROMMA STADSDELSFÖRVALTNING VERKSAMHETSOMRÅDE ADMINI STRATION STABSENHETEN BILAGA 7 SID 1 (7) 2011-09-10 System för internkontroll Inledning I kommunallagen (SFS 1991:900) 6 kapitlet 7 fördelas ansvaret
Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket
15-12-07 1/6 Tillämpningsområde 1 Denna författning innehåller bestämmelser om myndigheternas arbete med informationssäkerhet och deras tillämpning av standarder i sådant arbete. 2 Författningen gäller
Idrottsnämndens system för internkontroll
Idrottsförvaltningen Avdelningen för lednings- och verksamhetsstöd Sida 1 (7) 2016-11-30 IDN 2016-12-20 Handläggare Sara Östling Telefon: 08-508 27 918 Till Idrottsnämnden Idrottsnämndens system för internkontroll
Regler och instruktioner för verksamheten
Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig
STADENS SÄKERHETSARBETE UPPFÖLJNING AV TIDIGARE GRANSKNING. Kommunstyrelsen har gett säkerhetsfrågorna hög prioritet
STADSREVISIONEN www.stockholm.se/revision Nr 1 Januari 2008 DNR 420-17/2008 Revisionsrapport STADENS SÄKERHETSARBETE UPPFÖLJNING AV TIDIGARE GRANSKNING Kommunstyrelsen har gett säkerhetsfrågorna hög prioritet
TOMELILLA KOMMUN KOMMUNAL FÖRFATTNINGSSAMLING Nr B 17:1
TOMELILLA KOMMUN KOMMUNAL FÖRFATTNINGSSAMLING Nr B 17:1 Kf 6/2017 Dnr Ks 2016/319 Reglemente för intern kontroll Antagen av kommunfullmäktige 6 februari 2017, Kf 6. Gäller från datum: 1 mars 2017. Dokumentansvarig
Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning
Uppföljning av revisionsgranskning Offentlig sektor KPMG AB 2012-10-02 Antal sidor: 6 Antal bilagor: X Innehåll 1. Sammanfattning 1 2. Bakgrund 1 3. Syfte 2 4. Avgränsning 2 5. Ansvarig styrelse 2 6. Metod