Översiktlig granskning av IT-säkerheten
|
|
- Jan-Olof Lind
- för 8 år sedan
- Visningar:
Transkript
1 Revisionsrapport Översiktlig granskning av IT-säkerheten Finspångs kommun Maj 2010 Göran Persson Lingman
2 Innehållsförteckning 1. SAMMANFATTANDE BEDÖMNING INLEDNING BAKGRUND SYFTE METOD AVGRÄNSNING IT-VERKSAMHETEN I KOMMUNEN HANTERING AV INFORMATION GRANSKNINGSRESULTAT FINNS AKTUELLA STYRANDE OCH STÖDJANDE DOKUMENT SOM BERÖR IT-SÄKERHET OCH ÄR DESSA INFÖRDA INOM NÄMNDERNA? FINNS TYDLIGT ANSVAR FÖR ATT ARBETA AKTIVT MED FRÅGOR SOM BERÖR IT-SÄKERHET? FINNS BRA RUTINER FÖR ATT RAPPORTERING AV SÄKERHETSRELATERADE HÄNDELSER (INCIDENTER) OCH ÄR FÖREKOMST AV STÖRNINGAR OCH PROBLEM RIMLIGA? FINNS ETT TILLRÄCKLIGT SKYDD KRING RUM SOM ANVÄNDS FÖR DATORDRIFT (FÖRHINDRA STÖRNINGAR, AVBROTT, OBEHÖRIGT TILLTRÄDE OCH STÖLD)? HAR KOMMUNEN TILLFREDSSTÄLLANDE RUTINER FÖR SÄKERHETSKOPIERING? HAR ANVÄNDARE TILLRÄCKLIG KUNSKAP OM HOT OCH RISKER FÖR IT-SÄKERHETEN? FINNS TILLFREDSSTÄLLANDE RUTINER FÖR HANTERING AV BEHÖRIGHET OCH LÖSEN TILL GEMENSAMT NÄTVERK? FINNS DET EN AVBROTTSPLAN SOM STÖD KRING ATT ÅTERSTÄLLA FUNKTIONER INOM ERFORDERLIG TID? FINNS TILLFREDSSTÄLLANDE SKYDD MOT VIRUS OCH SPIONPROGRAM? FINNS TILLFREDSTÄLLANDE HANTERING AV DATORER, (T.EX. TAS DE OM HAND PÅ ETT TILLFREDSTÄLLANDE SÄTT)?...25 Bilaga 1 Bilaga 2 Checklista fysiskt skydd Bedömning av förlorad tid p g a störningar och problem 2
3 1. Sammanfattande bedömning Vi vill sammanfatta granskningen med att flera av de kontroller som vi genomfört varit tillfredställande. Dock har vi i granskningen funnit brister och viktiga förbättringsområden. Vi konstaterar att inom flera områden där vi uppmärksammat brister så pågår ett förbättringsarbete. Nedan sammanfattas bedömningar och våra förslag till förbättringar. Vi konstaterar att det inom kommunens finns ett flertal aktuella dokument som på olika sätt berör IT-säkerhetsområdet. Dokumenten anger t.ex. ansvar kring IT-hanteringen. Dokumenten är idag inte tillräckligt införda inom verksamheterna vilket är otillfredsställande. Kring detta pågår dock ett införandearbete vilket är positivt. Enligt vår uppfattning är det viktigt att IT-säkerhetspolicyn fastställs av kommunstyrelsen. Vår bedömning är att rollen som övergripande IT/informationssäkerhetsansvarig inte är tillräckligt tydliggjord. Ökad tydlighet krävs t ex hur arbetet med information och uppföljning mot verksamheterna ska bedrivas, vad det är för frågor som förvaltningsledningar och kommunstyrelse behöver få återkopplade samt på vilket sätt rapportering ska ske. Det är viktigt att kommunstyrelsen säkerställer att det genomförs systemsäkerhetsanalyser för verksamhetskritiska system inom kommunen i enlighet med det arbetet som pågår och de intentioner som finns i upprättade dokument. Vi föreslår att det sker en översyn kring hur IT-säkerhetsrelaterade dokument och information kring området ska kommuniceras till ansvariga och användare. Intranätet bör vara ett bra sätt för detta men vi har i vår granskning uppmärksammat att många användare sannolikt inte använder intranätet i enlighet med ansvarigas intentioner. Utgångspunkten i översynen bör vara att rätt information når rätt målgrupp och givetvis att den är aktuell. Svaren från användare indikerar att det finns IT-relaterade problem i verksamheten som sannolikt påverkar verksamheternas effektivitet och säkerhet negativt. Det är viktigt att det analyseras närmare vilka konsekvenser detta ger för verksamheterna och vad som kan vara orsaken. Detta är viktigt för att kunna åtgärda och förebygga samt utgöra underlag för uppföljning och resurstilldelning. I detta arbete bör underlag från ärendehanteringssystemet kunna utgöra ett ökat stöd. Det är viktigt att det genomförs en översyn kring hur leverantörer hanteras då de ges åtkomst till kommunens servrar och IT-system. Skriftliga regler och rutiner bör därefter tas fram. 3
4 Det är viktigt att styrelse och nämnder säkerställer och tydliggör vikten av att ansvariga chefer tillämpar den rutin som finns då anställda slutar. För att säkerställa tillförlitligheten avseende intrångsskydd mot systemen bedömer vi det viktigt att det genomförs oberoende tester mot systemens databaser (intrångstester från insidan och utsidan av kommunens brandvägg). Det är viktigt att det säkerställs att anställda inom kommunen är medvetna om att ITpersonal alltid måste legitimera sig innan tillträde ges till datorer. Det är viktigt att det inom verksamheterna sker en översyn över rutiner och tekniken kring utskrifter. Detta för att säkerställa att utskrifter inte kan nås av obehöriga. Vi ser ett behov av att det sker en översyn kring hur skärmsläckare används. Här föreslår vi att skärmsläckare slås på med automatik och därefter bör lösenord krävas för att få åtkomst på nytt. Vi ser ett behov av regelbundna säkerhetsrelaterade utbildningar i kommunen. Här är det viktigt att all personal deltar i de utbildningsaktiviteter som bedöms vara generella och obligatoriska. Analyser för att identifiera följderna av eventuella katastrofer eller andra längre avbrott och störningar bör genomföras inom verksamheterna. En avbrottsplan innehållande åtgärder och ansvar behöver därefter upprättas. Vi konstaterar att detta beaktas i det pågående arbetet kring BITS. Det är viktigt att det sker systematiska tester kring återläsning av backuper. Rutiner kring detta bör ses över. 4
5 2. Inledning 2.1 Bakgrund Kommunens revisorer har gett Komrev inom PricewaterhouseCoopers i uppdrag att genomföra en översiktlig granskning av kommunens IT/informationssäkerhet. Med begreppet IT menas informationsteknik som innefattar teknik för elektronisk framställning, lagring, överföring och presentation av information. Tekniken kan bestå av hårdvara, nät, kommunikation och programvaror av olika slag. Vår definition av IT-säkerhet är alla åtgärder som används för att skydda och säkerställa åtkomsten av information samt att interna och externa regelverk följs. Betydelsen av IT ökar allt mer inom kommunens olika verksamhetsområden och förändringar sker kontinuerligt. Kommunen hanterar många känsliga uppgifter. Brister i säkerheten kan ge stora konsekvenser för såväl kommunen som för enskilda personer. 2.2 Syfte Granskningen syftar till att översiktligt granska kommunens IT-säkerhet (informationssäkerhet). Finns förutsättningar för en god IT/informationssäkerhet inom kommunen? Följande områden kontrolleras översiktligt Finns aktuella styrande och stödjande dokument? Finns tydligt ansvar för att arbeta aktivt med IT-säkerhetsfrågor? Finns ett tillräckligt skydd kring rum som används för datordrift? Finns tillfredställande rutiner kring säkerhetskopiering? Har användarna kännedom kring frågor som berör IT-säkerhet? Finns tillfredställande rutiner för att ta hand om problem från användare? Finns tillfredställande rutiner för hantering av behörighet till gemensamt nätverk? Finns avbrottsplan? Finns tillräckligt skydd mot virus? 5
6 2.3 Metod Vi har intervjuat ansvariga tjänstemän vid IT-funktionen intervjuat ansvariga hos IT-leverantören (Finet) granskat dokument som berör IT-säkerhet i kommunen ställt frågor till användare via ett webbaserat frågeformulär (239 användare besvarade formuläret) genomfört en fysisk besiktning av central datorhall och det rum som används för backuphantering. Under arbetet har det gjorts kontinuerliga avstämningar med ansvariga kring iakttagelser och bedömningar. 2.4 Avgränsning Granskningen omfattar de kontrollområden som redovisas i rapporten. Granskningsobjektet är kommunstyrelsen som har det övergripande ansvaret för IT inom kommunen. Vissa frågeställningar kring säkerheten i separata system är undantagna (t ex att systemen loggar olika händelser eller att anställda har rätt behörigheter till systemens olika uppgifter, t ex får ändra, får läsa, eller att systemens egna kontrollfunktioner är korrekta). Dock berörs förutsättningar kring en god säkerhet i respektive system t.ex. kring att roller och ansvarsfördelning finns, att aktiviteter sker för att säkerställa säkerheten, att det övergripande skyddet kring systemen är tillräckliga. 3. IT-verksamheten i kommunen IT-driften inom kommunen sköts i huvudsak av extern leverantör (Finet som är ett kommunalt bolag). I rapporten kommer Finet att på vissa ställen i rapporten benämnas ITleverantören. Kommunens helpdesk hanteras av IT-leverantören (Finet). Inom kommunen finns en IT-funktion som har övergripande ansvar kring för kommunens IT-hantering. ITfunktionen arbetar bl. a. med att stödja verksamheterna att vara kravställare mot Finet. ITfunktionen består av tre personer. Kommundirektören inom kommunen är ansvarig tjänsteman för IT-funktionen. För de viktigaste systemen finns utsedda systemförvaltare. Personal som arbetar med generella IT-relaterade frågor finns även inom utbildningsverksamheten. 6
7 4. Hantering av information I kommunens centrala serverrum hanteras viktig och känslig information såsom t ex: information inom familjeomsorg, äldreomsorg, skola och barnomsorg redovisningsinformation internet (hemsidor), intranet och mailsystem. Windows och Office används i huvudsak på alla datorer inom den kommunala administrationen. Lagring av egna upprättade dokument ska enligt anvisningar ske på centrala servrar (d.v.s. de dokument som användare arbetar med när det gäller ord och text, kalkyler och presentationer). 5. Granskningsresultat Nedan följer de olika kontrollmoment vi genomfört i samband med granskningen. Vi har ställt upp kontroller som ett antal frågeställningar. Därefter redovisas våra iakttagelser från granskningen och våra bedömningar, kommentarer och i vissa fall förslag till förbättringar. Iakttagelser kan vara både positiva och negativa. Vid vissa frågor visas en graf över användarsvar. Användarna svarade hur väl ett påstående stämmer. Nedan visas hur de olika färgerna ska tolkas. Värden till vänster innebär inte alls och till viss del. Värden till höger innebär i huvudsak eller helt. I grafiken liggande staplar har antalet svar införts. 5.1 Finns aktuella styrande och stödjande dokument som berör IT-säkerhet och är dessa införda inom nämnderna? Iakttagelser Vi har tagit del av följande styrande och stödjande i kommunen. Säkerhetsinstruktion drift. Dokumentet innehåller regler och anvisningar kring att objekt i infrastrukturen ska förtecknas. Vem som ansvarar för olika IT-relaterade frågor t ex ITdriften. Policys kring hantering av incidenter som uppstår, t ex vart ska säkerhetsrelaterade problem rapporteras. 7
8 Säkerhetsinstruktion förvaltning. Dokumentet innehåller regler och anvisningar kring bl.a. säkerhetsutbildning, informationsklassning, behörighetskontroll, behörighetsadministration, distansarbete, tillträdesskydd. IT-säkerhetsinstruktion användare. Dokumentet anger användares ansvar kring olika typer av IT-relaterade frågor, t ex hantering av elektroniska handlingar, behörigheter, rapportering av problem och brister. Ovanstående tre dokument är från Dokumenten är fr.o.m. slutet av 2009 ersatta av en ny IT-säkerhetspolicy, se nedan. IT-Säkerhetspolicy. (Dokumentet ersätter ovanstående dokument). I dokumentet anges att det är BITS 1 som ska vara ledande i kommunens säkerhetsarbete. Dokumentet innehåller: o IT-säkerhetsinstruktion för användare o IT-säkerhetsinstruktion systemförvaltare o IT-säkerhetsinstruktion för drift. I IT-säkerhetspolicyn anges att det för varje kritiskt system ska utarbetas systemsäkerhetsplaner och avbrottsplaner för samhällsviktiga system. Det pågår ett arbete med att implementera IT-säkerhetspolicys inom kommunen. Arbetet leds av IT-funktionen. Genomgång sker med systemägare 2 och systemförvaltare 3 kring vad som ska vara deras ansvar, uppgifter och hur arbetet ska bedrivas kring systemsäkerhetsplaner. Olika underlag som stöd i systemsäkerhetsarbetet finns upprättade. Ansvariga vid IT-funktionen anger att de tidigare säkerhetsdokumenten varit bristfälligt implementerade, t ex kring ansvarigas olika uppgifter. 1 BITS, Basnivå för IT-Säkerhet. Utarbetat av krisberedskapsmyndigheten Nu ersatt av Myndigheten för samhällsskydd och beredskap. 2 För varje IT-system bör finnas en systemägare (systemansvarig tjänsteman). Systemägare skall tillvarata användarnas krav och ha det övergripande ansvaret för att IT-systemet verkligen stödjer verksamheten och verksamhetens mål. 3 Ansvarar för systemförvaltningen utifrån systemägarens direktiv avseende tillämpningen, användarnas krav och behov. Systemförvaltaren bör ha en kunskap om den verksamhet som systemet ska stödja samt övergripande kunskap om tekniken som tillämpas i systemet. 8
9 Att IT-säkerhetspolicyn ska gälla inom kommunen är beslutat av kommunledningsgruppen. Vi har även tagit del av nedanstående dokument: Policydokument kring Informationssäkerhet för användare. Finns på kommunens intranät och riktas till användare. Dokumentet innehåller regler och anvisningar kring användande av datorn och användning av Internet. Hänvisning sker till en detaljerad beskrivning kring vad som är viktigt att tänkta på kring lösenord. Vid nyanställning ska användare skriva på dokumentet. Alla användare fick även dokumentet hemsänt Riktlinjer kring användning av PC-nät i Finspångs kommun. Dokumentet tydliggör användares ansvar, t ex hantering av lösenord, rapportering av virus, användande av Internet. Alla användare skriver på detta dokument vid anställning. Dokumentet förvaras i personalakten. Detaljerad systemförteckning (Fortfarande ett arbetsmaterial). Dokumentet innehåller många olika uppgifter kring de system som används i kommunen t ex hur IT-systemen används i verksamheten, vilka som är systemägare. Det innehåller även prioriteringar. Hänvisningar görs till andra dokument t ex systemsäkerhetsplaner. Mall kring systemsäkerhetsplan. Mallen stödjer arbetet kring systemsäkerhetsanalyser och upprättande av systemsäkerhetsplaner för kritiska system. I vår granskning har det framkommit en osäkerhet kring hur användning av kommunens intranät sker. Detta innebär att det finns risker att information som kommuniceras via intranätet kanske inte når användare på det sätt som önskas. I vårt frågeformulär till användare ställdes frågor om användare tagit del av dokument kring IT-säkerhet samt om det är tydligt var dessa återfinns. De allra flesta anger positiva svar. Dock anger även flera användare en osäkerhet kring om de tagit del av dokument och var dessa återfinns. Grafen nedan visar svar kring frågor om IT-säkerhetsrelaterade dokument. 9
10 Kommentarer och rekommendationer Vi konstaterar att det inom kommunen finns ett flertal aktuella dokument som på olika sätt berör IT-säkerhetsområdet. Dokumenten är idag inte tillräckligt införda inom verksamheterna vilket är otillfredsställande. Kring detta pågår dock ett införandearbete vilket är positivt. Enligt vår uppfattning är det viktigt att IT-säkerhetspolicyn fastställs av kommunstyrelsen. Det är viktigt att kommunstyrelsen säkerställer att det genomförs systemsäkerhetsanalyser för verksamhetskritiska system inom kommunen i enlighet med det arbetet som pågår och de intentioner som finns i upprättade dokument. Vi föreslår att det sker en översyn kring hur IT-säkerhetsrelaterade dokument och information kring området ska kommuniceras till ansvariga och användare. Intranätet bör vara ett bra sätt för detta men vi har i vår granskning uppmärksammat att många användare sannolikt inte använder intranätet i enlighet med ansvarigas intentioner. Utgångspunkten i översynen bör vara att rätt information når rätt målgrupp och givetvis att den är aktuell. 5.2 Finns tydligt ansvar för att arbeta aktivt med frågor som berör ITsäkerhet? Iakttagelser Ansvar enligt informationssäkerhetspolicyn I IT-säkerhetspolicyn anges att informationssäkerheten skall följa linjeorganisationen för varje enskilt IT-system och att verksamhetschefer är systemägare för de IT-system som stödjer den egna verksamheten. Finet är ansvariga för den tekniska infrastrukturen. Det övergripande ansvaret har utvecklingschefen som också ska utse systemägare för de ITsystem som används av fler än en förvaltning eller kommunalt bolag En förändring av ansvaret kommer att ske. Utvecklingschef ska ersättas av administrativ chef. Systemägare beslutar i samråd med IT-funktionen och berörda förvaltningar och bolagschefer vilka IT-system som är samhällsviktiga och/eller verksamhetskritiska. Systemägare för dessa system ansvarar för att en systemsäkerhetsplan upprättas. Samtliga IT-system skall vara identifierade samt förtecknade och systemägare ska vara utsedd för varje system. 10
11 Kommunens IT-funktion har ett ansvar för samordning av förvaltningarnas IT-säkerhet samt den övergripande uppföljningen i kommunen. Andra iakttagelser Inom IT-funktionen har man gjort en uppdelning kring ansvar för att bedriva ett säkerhetsarbete för de kritiska systemen. De vi intervjuat ser dock ett behov av att tydliggöra rollen som övergripande informationssäkerhetsansvarig t.ex. kring befogenheter. Avseende uppföljning kring informationssäkerhet anges att detta varit eftersatt tidigare. Anledningar som anges är resursbrist samt att de tidigare säkerhetsdokumenten varit otillräckligt införda. Krav på prioriteringar och servicenivåer för olika tjänster tydliggörs inte i några dokument t ex via SLA 4. Ett arbete kring detta är planerat efter att systemsäkerhetsanalyser genomförts. Detta arbete ska utgöra en grund i tydliggörande av kraven på IT-leverantören. En helpdeskfunktion finns dit användare kan vända sig för hjälp eller för att meddela olika typer av incidenter. Se mer kring funktionen i avsnitt 4.3. Det finns bra rutiner för rapportering av säkerhetsrelaterade händelser. Enkäten till användare De flesta som besvarade enkäten uppger att ansvaret kring IT-säkerhetsfrågor är tydligt. Dock har flera användare svarat att de upplever att finns en otydlighet. Grafen nedan visar frågor kring roller och ansvar 4 Service Level Agreement. Ett SLA kan beskrivas som en överenskommelse om tjänster och kvalité mellan verksamheterna och ITavdelningen. 11
12 Ett urval av kommentarer visas nedan. Vet ej var jag ska söka fram vem som har ansvar för vad. Är inte bevandrad i IT världens fackspråk och förstår därför inte alltid innebörden i dokumenten. Osäker på vilka roller de interna resurserna egentligen har. P.g.a. ändrad organisation är det lite oklart om man har frågor kan de bli hängande i luften Ibland fungerar det alldeles utmärkt men ibland känns det som om ärenden bara "försvinner" och man måste själv påminna. Det tar ofta väldigt lång tid innan åtgärd. Tendensen är dock till det bättre Det handlar om patientsäkerhet och tid som i förlängningen betyder att de som är beroende av kommunens hälso- och sjukvård får vänta på åtgärder längre än nödvändigt. Vid störningar på personal och elevdatorer finns inga bra rutiner för att åtgärda datorer som användaren inte sitter vid större delen av tiden. Det tar onödigt lång tid att åtgärda eftersom ingen finns på plats att hantera ev. frågor. Rutiner för detta måste skapas gemensamt av användare och IT personal. Kommentarer och rekommendationer Vi uppfattar att det i styrdokumenten i huvudsak finns en tydlig roll- och ansvarsfördelning för de uppgifter som ska hanteras. Dokumenten är inte tillräckligt införda i kommunen och det finns därför en otydlighet i praktiken. Vi konstaterar här att det pågår ett positivt förbättringsarbete i syfte att tydliggöra förvaltningarnas och IT-leverantörens ansvar. Se även avsnitt 4.1 kring styrande dokument. Vår bedömning är att rollen som övergripande IT/informationssäkerhetsansvarig inte är tillräckligt tydliggjord. Ökad tydlighet krävs t ex om hur arbetet med information och uppföljning mot verksamheterna ska bedrivas, vad det är för frågor som förvaltningsledningar och kommunstyrelse behöver få återkopplade samt på vilket sätt denna rapportering ska ske. I detta sammanhang vill vi poängtera att kommunstyrelsen bör ställa sig bakom IT-säkerhetspolicyn via ett beslut. 12
13 5.3 Finns bra rutiner för att rapportering av säkerhetsrelaterade händelser (incidenter) och är förekomst av störningar och problem rimliga? Iakttagelser Inom kommunens finns en helpdeskfunktion (vid IT-leverantören). Vid fel och störningar kring IT-arbetsplatsen ska användare anmäla detta till funktionen. Anvisningar kring detta finns intagna i upprättade dokument. Ett telefonnummer finns för anmälan. Funktionen finns endast bemannad under kontorstid. Ytterligare krav kring bemanning från verksamheterna finns inte. Det finns en ärendeportal där det ständigt går att lägga in ärenden. Det går även att e-posta ärenden till helpdesk. Användare kan ange hur man bedömer prioritering (t.ex. om ärende är akut). Dokumenterade prioriteringar från verksamheterna saknas. Tydliggörande hur prioriteringar ska ske är ett område som kommer att förbättras i samband med att SLA utformas mot IT-leverantören. Ärendeflödet i kommunen är sådant att användare först ska vända sig till helpdesk. Om ärendet ska hanteras av annan vidarebefordrar helpdesk ärendet till exempelvis systemförvaltaren. Alla ärende loggas i ett ärendehanteringssystem. Här är det planerat att systemförvaltare ska kunna arbetat i samma system som IT-leverantören och helpdesk. Syftet med detta är att effektivisera ärendehantering, öka kontrollen och ge bättre underlag kring förebyggande arbete. Information som skapas kring ärendehanteringen används idag till viss del i proaktivt syfte. Kring detta anges ett förbättringsbehov, d.v.s. att i ökad grad använda informationen proaktivt. Genom att bättre analysera olika typer av ärenden kan man t.ex. få ökat stöd för att bedöma om problem är tekniska eller kompetensrelaterade. Ansvariga vi intervjuat anger att det finns ett behov av att ytterligare förbättra hur olika ärenden ska prioriteras. Som omnämnts pågår ett arbete med systemsäkerhetsanalyser. Analyserna kommer att stödja kraven på prioriteringar. Från IT-leverantören anges att rutiner för att ta hand om ärenden och lösa dem temporärt är tillfredställande. Dock påpekas att det ibland saknas tillräckliga resurser för att kunna analysera vad som är orsak till ett problem och därefter åtgärda problemet på ett korrekt sätt. ( Förstå roten till det onda.) 13
14 Frågor ställdes även till användare kring frågor avseende tydlighet vart man vänder sig, enkelhet att meddela störningar samt förekomst av störningar. Se grafik nedan. Ett urval av kommentarer kring ovanstående frågor Har på senare tid blivit mycket lättare och mer tillgängligt att vända sig till Finet. De har också prioriterat och löst problem ganska snabbt på vardagar. Däremot är det sämre på kvällar, nätter och helger. Eftersom vi arbetar som sjuksköterskor är det mycket viktigt att ha tillgång till adekvat uppdaterad information för att säkerställa kvalitet och säkerhet för brukare. Upplever att det i Procapitasystemet är mycket störningar och fel. I övrigt kan datorerna låsa sig och man får logga ut för att sedan gå in igen vilket upplevs frustrerande om man söker efter information Svårt att veta vart man ska vända sig på helger och kvällar när IT-delen inte fungerar. Ofta krångel med skrivare. Ibland måste jag lägga till skrivare varje dag jag loggar in. Saknar ofta program, vilket gör att datorn måste startas om och ofta löser det sig. Kanske små saker men det är frustrerande. Under en period i höstas upplevde jag det som mkt krångel med datorn, utkastad, hakade sig osv. Det tog också längre tid än idag att få hjälp. Ibland är det svårt att logga in och det tar lång tid Datorn hänger sig ofta, Procapitasystemet, mailen, intranätet, ja alla system. Det liksom fastnar och går inte att arbeta vidare. Ibland när man skriver en text, så fastnar inte 14
15 det man skriver förrän cirka 10 sekunder senare. Man blir ofta utslängd från Procapitasystemet och blir av med text man skrivit och det går inte att få tillbaka texten eftersom man utan förvarning blir utslängd, alltså man hinner inte spara texten man har skrivit. Långsamt och segt, utskrifter fungerar inte, datorn byter titt som tätt till annan skrivare, utslängd ur systemet då och då, ett arbetsmiljöproblem då datorn bara måste fungera men inte gör det rätt vad det är. Ofta problem med procapita, word inloggning till datorn Finns dagar vissa saker är helt borta från skrivbordet. Som t ex procapita eller skrivaren. Då blir man irriterad. Brukare som står och väntar. Men nu för tiden säger de bara. - Den där datorn!! I bland kan väntetiden för vårdtagare bli lång p.g.a. att program uppdateras eller inte nås av annan orsak. Kommentarer och rekommendationer I huvudsak är vår bedömning att det finns tillfredställande rutiner att ta hand om fel och problem från användare. Vi konstaterar även att förbättringar pågår t.ex. kring underlag för prioriteringar. Svaren från användare indikerar att det finns problem i verksamheten som sannolikt påverkar verksamheternas effektivitet och säkerhet negativt. Det är viktigt att dessa analyseras närmare. Vilka konsekvenser ger dessa för verksamheterna och vad kan vara orsaken. Detta är viktigt för att kunna åtgärda, förebygga samt utgöra underlag för uppföljning och resurstilldelning. I detta arbete bör underlag från ärende hanteringssystemet kunna utgöra ett ökat stöd. 15
16 5.4 Finns ett tillräckligt skydd kring rum som används för datordrift (förhindra störningar, avbrott, obehörigt tillträde och stöld)? Iakttagelser Datorhallen är konstruerad för ändamålet. En besiktning har genomförts av Myndigheten för samhällsskydd och beredskap (MSB). Besiktningen resulterade i ett fåtal påpekanden. Dessa är enligt uppgifter idag åtgärdade. Inom de kontroller som vi har genomfört i denna granskning har resultatet varit positivt. I bilaga 1 redovisas de kontroller vi utförde vid vår besiktning. Vi har inte kunnat ta del av dokumenterade rutiner kring hur leverantörer ska hanteras då de vistas i datorhallen eller då de på andra sätt hanterar kommunens system, t ex underlag för sekretessförbindelser. Kommentarer och rekommendationer Vår bedömning är att det utrymme som används som centralt serverrum i kommunen är tillfredställande. Se även hantering av leverantören i avsnitt 5.7 behörighetshantering. 5.5 Har kommunen tillfredsställande rutiner för säkerhetskopiering? Iakttagelser Vi har tagit del av en beskrivning kring vid vilka tillfällen olika typer av backuper tas. Varje natt tas backuper på de förändringar som skett sedan senaste kopian. Dessa backuper sparas i tre veckor. Varje helg tas backuper på allt innehåll i servrar. Dessa sparas i fyra veckor. Totala backuper förs varje vecka över på band som lagras som månads-, kvartals- och årsbackuper. Årsbackuper sparas för närvarande utan gallring. D.v.s. alla år finns kvar och det är tillsvidare planerat att fortsätta att spara årsbackuper. Avseende rutiner kring att säkerställa tillförlitlighet i årsbackuper har detta ännu inte upplevts aktuellt. Kvalitén på banden kontrolleras automatiskt av bandrobot. Alla servrar har data säkrat med s.k. RAID, som kan beskrivas som att om en hårddisk går sönder finns all data kvar och servern jobbar vidare utan avbrott. 16
17 Reservdiskar finns i anslutning till datorhall. Bevakning finns för att snabbt byta en disk om det inträffar fel eller om disken går sönder. Backuphantering sköts med stöd av en s.k. bandrobot. Denna finns placerad i annan huskropp väl avskiljt från serverhall. Vid vår inspektion i utrymme där backuper tas konstaterar vi att det finns en osäkerhet kring motståndskraften i väggar och tak. Tester görs genom att det kontinuerligt finns behov av olika typer av återläsning av information. Dock sker inte systematiska tester för att säkerställa att allt fungerar som avsett. Kring detta anges ett förbättringsbehov men resurser för detta finns ej för närvarande. Det pågår ett arbete med att ytterligare förbättra backuphanteringen. Dokumenterade krav från verksamheterna kring backuphantering saknas. Dokument som beskriver vilken information som hanteras i de olika systemen saknas, t.ex. vilka risker det finns kring informationen, vad som skulle hända om informationen kom i orätta händer (sekretess), förvanskades (riktighet) eller förlorades (tillgänglighet). Kommentarer och rekommendationer Vår bedömning är att rutiner avseende backuphantering i huvudsak är tillfredställande. Dock bör kraven från verksamheterna förbättras. Det är viktigt att det sker systematiska tester kring återläsning. Rutiner kring detta bör ses över. Utrymmet där backuper tas bör ses över och eventuellt förbättras. 5.6 Har användare tillräcklig kunskap om hot och risker för IT-säkerheten? Iakttagelser De ansvariga vi intervjuat uttrycker ett behov kring att ytterligare utbilda användare i grundläggande IT-kunskap och tydliggörande av de dokument som framtagits till användare. Dock sker utbildningsaktiviteter kontinuerligt t.ex. utses grupper av användare som får en utbildning och därefter i uppgift att utbilda vidare i sina respektive arbetsgrupper. Gemensamma utbildningar kring IT-säkerhet har ej skett. Ansvariga hos IT-leverantören och vid IT-funktionen ser ett behov av utarbeta en generell utbildning där även frågor kring informationssäkerhet ingår. IT-leverantören har t.ex. fått en förfrågan kring intresse av att genomföra en utbildning. 17
18 Som omnämnts finns flera upprättade dokument som riktas till användare. Nyanställda ska även skriva på att de tagit del av dokumenten. Som omnämnts används kommunens intranät som viktigt informationskanal. Här har vi uppmärksammat att det finns risk att många inte använder sig av intranätet. Uppföljningar av användares kunskap kring säkerhetsrelaterade frågor sker idag inte på systematiskt sätt. Som nämnts finns en helpdesk dit användare kan vända sig för hjälp eller för att meddela olika typer av störningar. Idag används de uppgifter och underlag som skapas i helpdesksystemet i liten omfattning för proaktivt arbete t.ex. kring vilka frågor och problem som kan vara kompetensrelaterade. Grafiken nedan visar ett urval av frågor som berör användares kunskap kring IT-säkerhet. Vi konstaterar att den övervägande delen av de svarande har avgett positiva svar, dock utrycker många användare en osäkerhet. Se även avsnitt 1.1 kring styrande dokument och riktlinjer där många användare är osäkra på vad som gäller och var dokumenten finns. Utbildningsbehov anges i kommentarer men i övrigt har kommentarer till svaren tyvärr varit sparsamma t.ex. kring vilka problem och konsekvenser avsaknad av kompetens ger. Grafen nedan visar frågor kring användares kompetens och stöd 18
19 Exempel på kommentarer: Det känns ibland svårt att veta vem man ska fråga i ärenden som inte självklart är beställningar eller fel. Kommunen har inte någon tydlig organisation kring hur användarfrågor behandlas. Har inte fått någon utbildning, har läst mig till det jag vet Har inte fått någon utbildning Behöver mer utbildning Mycket knapphändig information ges till nyanställda. saknar utbildning och tillräcklig information vid vissa förändringar Den information som har getts har enbart varit skriftlig. det ges ingen utbildning kring det som berör datoranvändandet, vilket är dåligt jag har inte varit på någon utbildning. Jag lärde mig genom arbetskamrater. Kommentarer och rekommendationer Vi ser ett behov av regelbundna säkerhetsrelaterade utbildningar i kommunen. Här är det viktigt att all personal deltar i de utbildningsaktiviteter som bedöms vara generella och obligatoriska. Det är viktigt att det finns en systematisk uppföljning av användares kunskap i säkerhetsfrågor. Många användare har i vårt svarsformulär angett att det finns kompetensrelaterade brister. Kommentarer har dock varit sparsamma. Vi föreslår att kompetensbehovet för användare inom kommunen analyseras av ansvariga för olika system och verksamheter. D.v.s. vad är det som användare och ansvariga behöver kunna för att utföra olika aktiviteter i sina IT-system och andra väsentliga IT-områden (t ex generell informationssäkerhet). 19
20 5.7 Finns tillfredsställande rutiner för hantering av behörighet och lösen till gemensamt nätverk? Iakttagelser Utdelning av ID vid nyanställning Ansvarig chef fyller i en upprättade blankett som ska användas för ändamålet. Hos ITleverantören skapas ett konto med tillfälligt lösenord. Uppgifterna översänds via ett mail till den anställdes chef som sedan tilldelar den nyanställda identiteten. En alternativ hantering som fr om hösten 2009 påbörjats är att chefen fyller i uppgifter i personalregistret (PA-systemet). Uppgifter kring nyanställning översänds till IT-leverantören med automatik. IT-leverantören meddelar ID och tillfälligt lösenord till chefen via mail. Vid påloggning första gången krävs ett byte av lösenord. Förändring av lösenord Då det krävs ett nytt lösenord ska chefen maila till IT-leverantören. Nytt tillfälligt lösenord skapas som återsänds till chefen via mail. Chefen utdelar därefter lösenordet till den anställde. Ett byte krävs efter att lösenordet används första gången. Då anställning upphör Då anställning upphör ska detta fr o m hösten 2009 anges i personalregistret. Avseende vikarier sker hanteringen via en blankett som skickas till IT-leverantören. Från IT-leverantören anges att det varit problem med att i tillräcklig tid få information kring att anställningar ska upphöra. Förändrade rutiner kommer att införas kring detta. Avseende t ex vikarier kommer slutdatum att registreras i personalsystemet redan då personen anställs. Rutinen innebär att IT-leverantör kommer att få kännedom om att personen slutar snabbare och kan därmed ta bort den anställde ur behörighetsregistret. Övriga iakttagelser Kontroller av lösenordens längd och uppbyggnad sker av behörighetssystemet. Byte av lösenord krävs genom fastställda automatiska rutiner. Loggning sker kring försök till åtkomst. Enligt uppgifter följs inte loggar upp rutinmässigt. 20
21 Information kring vad som är viktigt att tänka på kring lösenord finns utförligt beskrivet i ett dokument som återfinns på intranätet. I ett övergripande dokument kring informationssäkerhet sker även en hänvisning till detta. (Vad är viktigt att tänka på kring lösenord) Utbildningar i informationssäkerhet genomförs inte på något systematiskt sätt. Detta omnämns mer i avsnitt 4.6. Har användare tillräcklig kunskap om hot och risker för ITsäkerheten? Inventeringar kring att behörigheter överensstämmer med verkligheten sker ej. Kring detta anger de vi intervjuat ett förbättringsbehov t.ex. att ansvariga chefer kontrollerar de anställda mot utskrifter från behörighetsregistret. Avseende skärmsläckare som slår på med automatik så varierar detta inom kommunen. För vissa datorer saknas skärmsläckare och där det finns skärmsläckare kan användare själva att reglera åtkomsten. Flera användare har i vårt frågeformulär angett att de ser risker med att obehöriga kan ta del av känslig information vid utskrift. De nya skrivare som inköps har en teknik som innebär att användare verifierar sig vid skrivaren då de vill ha sina utskrifter. Dock finns fortfarande många gamla skrivare inom kommunen. Från IT-leverantören anges att det är verksamheternas chefer som måste bestämma om det ska krävas lösenord vid utskrift. Enligt uppgifter har vissa chefer ansett att det är onödigt. Enligt uppgifter pågår en översyn kring skrivare generellt inom kommunen IT-personal bär synliga id-handlingar. Generella anvisningar till verksamheterna att ITpersonal alltid måste identifiera sig saknas. Hemarbete förekommer. En säkerhetslösning finns för säker hantering. Lösningen har diskuterats med ansvariga. Status kring tillförlitligheten vid kommunens brandvägg har diskuterats med ansvarig vid IT-leverantören. Kontroller av tillförlitligheten av brandväggar har enligt uppgifter skett. Oberoende s.k. intrångstester sker dock ej systematiskt. Avseende åtkomst innanför brandväggen uttrycks behov kring översyn av kontroll avseende datorer som invändigt kopplas till nätverket. Då leverantörer arbetar med olika system saknas generella rutiner t ex kring sekretessförbindelser. 21
22 Frågor kring användare ställdes via ett webbaserat frågeformulär. Frågor och svar visas nedan. Under grafen har exempel på kommentarer infogats. Det flesta som svarat anger positiva svar. Dock anger flera att det finns risker med att utskrifter hamnar hos obehöriga samt att obehöriga kan ta del av information på skärmen och få åtkomst till datorn. Grafiken nedan visar användares svar kring behörighet Avseende problem med att dokument hamnar på fel skrivare anger intervjuade vid ITleverantören som en förklaring att det var ett fel i höstas kring styrning av dokument. Felet är enligt uppgifter åtgärdat. Avseende problem med faxar anges att detta något som är övergående då IT-funktionen arbetar aktivt för att fasa ut behovet av fax. Urval av kommentarer från användare visas nedan Utskriften kan hamna på annan skrivare än vad som är tänkt Har vid flertalet tillfällen kommit ut sekretessbelagda dokument på andra skrivare. Det förekommer att dokument går till fel skrivare. Det är också lätt att trycka på fel användare och eftersom alla inte har lösenord är detta en risk. Inte alls just nu då det har förekommit att känsligt material har hamnat lite var stans i organisationen Finns ej tillräckligt med utrymmen att ha skrivare i skyddad miljö Faxen står helt öppet där vem som helst som befinner sig på avdelningen kan läsa vilka fax som kommit (till och med externa besökare som inte är klienter). Då det finns olika 22
23 verksamhetsområden på avdelningen är det extra känsligt med tanke på den sekretess som råder inom individ- och familjeomsorgen Har inte skärmsläckare med lösenord. Om någon går in på mitt rum med nyckel kan de läsa. Se övriga svar när det gäller sekretess och avsaknad av lösenord och skärmsläckare. Finns fler användare upplagda än anställda. Anställda som har slutat finns kvar i systemen som aktuella. Kommentarer och rekommendationer Det är viktigt att kommunstyrelsen säkerställer och tydliggör vikten av att ansvariga chefer tillämpar den rutin som finns då anställda slutar. För att säkerställa tillförlitligheten avseende intrångsskydd mot systemen bedömer vi det viktigt att det genomförs oberoende tester mot systemens databaser (intrångstester från insidan och utsidan av kommunens brandvägg). Det är viktigt att det säkerställs att anställda inom kommunen är medvetna om att ITpersonal alltid måste legitimera sig innan tillträde ges till datorer. Det är viktigt att det inom verksamheterna sker en översyn över rutiner och tekniken kring utskrifter. Detta för att säkerställa att utskrifter inte kan nås av obehöriga. Vi ser ett behov av att det sker en översyn kring hur skärmsläckare används. Här föreslår vi att skärmsläckare slås på med automatik och därefter bör lösenord krävas för att få åtkomst på nytt. Det är viktigt att det genomförs en översyn kring hur leverantörer hanteras då de ges åtkomst till kommunens servrar och IT-system. Skriftliga regler och rutiner bör därefter tas fram. Kontrollområdet är till delar kompetensrelaterat. Se även området 4.6. Har användare tillräcklig kunskap om hot och risker för IT-säkerheten? 23
24 5.8 Finns det en avbrottsplan som stöd kring att återställa funktioner inom erforderlig tid? Iakttagelser Det saknas dokumenterade avbrottsplaner 5. Dessa planer är viktiga för att hantera olika avbrott och analysera konsekvenserna av dessa. En avbrottsplan behöver innehålla och beskriva vad det är för åtgärder som ska vidtas för att dels skydda sig, dels för att minimera konsekvenser vid ett avbrott. I samband med arbetet kring det omnämnda BITS-arbetet är det planerat att förbättringar kring avbrottsplanering kommer att ske. Kommentarer och rekommendationer Analyser för att identifiera följderna av eventuella katastrofer eller andra längre avbrott och störningar bör genomföras inom verksamheterna. En avbrottsplan innehållande åtgärder och ansvar behöver därefter upprättas. Vi konstaterar att detta beaktas i det pågående arbetet kring BITS. 5.9 Finns tillfredsställande skydd mot virus och spionprogram? Iakttagelser Som skydd mot virus och annan skadlig kod bedömer ansvariga att de i dagsläget har ett har ett tillräckligt system. Rutiner kring uppdatering av systemet har utarbetats tillsammans med leverantören. Skyddet har diskuterats med ansvariga. Kommentarer och rekommendationer Vi bedömer kommunens skydd mot virus som tillfredställande. Se dock avsnitt 4.10 kring användare. 5 Vad är t ex acceptabla avbrottslängder, d.v.s. efter vilken tid ett avbrott medför helt oacceptabla konsekvenser. Denna tidsgräns är av avgörande betydelse för vilka planerade åtgärder som ska vidtas t ex reservdrift. Viktigt är att bedöma storleken av konsekvenserna (t ex lindrig, allvarlig, mycket allvarlig för olika nyttjare av system samt intressenter t ex medborgare) för olika typer av avbrott samt längd på avbrottet. 24
25 5.10 Finns tillfredställande hantering av datorer, (t.ex. tas de om hand på ett tillfredställande sätt)? Iakttagelser Inom kommunen finns en centraliserad inköpsrutin av datorer vilket innebär att alla datorer ska hanteras via Finet. Beställning från verksamheten sker via en blankett som ska användas för ändamålet. Rättigheter att beställa utrustning har ekonomiskt ansvariga. Periodvis sker utbyte av datorer för att på så sätt säkerställa funktionaliteten. Utrustning såsom datorer förtecknas i ett inventarieregister. I registret förtecknas t ex var datorn finns. Då datorer inte ska nyttjas länge tas de omhand av leverantören av utrustningen. Vid intervjuer har det framkommit att avtal kring att hårddiskas ska raderas på ett korrekt sätt bör ses över. Det har även framkommit att förvaltningar tidigare köpt datorer vid sidan om avtalet men att tilllämpningen idag är bra. Inventering kring att inventarieregistret överensstämmer sker. Kommentarer och rekommendationer Vi bedömer att de rutiner som finns avseende inköp av datorer i huvudsak som tillfredsställande. Tydligheten i avtalet att hårddiskar måste raderas korrekt bör ses över. 25
26 26
27 Bilaga 2 Uppskattade tidsförluster p.g.a störningar kring IT-stödet Vet ej 2.Jag förlorar mellan 1-3 timmar per vecka 3.Jag förlorar mellan 20 min - 1 tim per vecka 4.Jag förlorar mindre än 20 min per vecka 5.Jag upplever inte att jag förlorar tid pga avbrott och väntetider eller fel 27
Översiktlig granskning av IT-säkerheten
Revisionsrapport Översiktlig granskning av IT-säkerheten Östhammars kommun April 2009 Göran Persson Lingman 1 Innehållsförteckning 1. Inledning... 3 1.1 Bakgrund... 3 1.2 Syfte... 3 1.3 Metod... 4 1.4
Läs merRevisionsrapport. Översiktlig granskning av IT-säkerheten. Smedjebackens kommun. Oktober 2008. Göran Persson Lingman
Revisionsrapport Översiktlig granskning av IT-säkerheten Smedjebackens kommun Oktober 2008 Göran Persson Lingman Innehållsförteckning 1. Inledning...3 1.1 Bakgrund...3 1.2 Syfte...3 1.3 Metod...4 1.4 Avgränsning...4
Läs merRevisionsrapport. Granskning av IT-hanteringen inom Vård- och omsorgsförvaltningen. Katrineholms kommun
Revisionsrapport Granskning av IT-hanteringen inom Vård- och omsorgsförvaltningen Katrineholms kommun Göran Persson Lingman, certifierad kommunal revisor Februari 2010 (1) Innehåll 1. Sammanfattande bedömning...3
Läs merGranskning av kommunens IT-hantering
Revisionsrapport Granskning av kommunens IT-hantering Lindesbergs kommun 2010-04-16 Göran Persson Lingman Thomas Lidgren Innehållsförteckning 1 Sammanfattning...1 2 Inledning...4 2.1 Bakgrund...4 2.2 Syfte...4
Läs merInformationssäkerhetspolicy
2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,
Läs merIT-säkerhetspolicy. Fastställd av KF 2005-02-16
IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten
Läs merHallstahammars kommun
Revisorerna REVISIONSRAPPORT Granskning av Kommunens IT-hantering Hallstahammars kommun Utarbetad av Komrev inom Öhrlings PricewaterhouseCoopers på uppdrag av kommunens revisorer och antagen vid revisorernas
Läs merKommunrevisionens Uppföljning av Granskning av ITsäkerheten
Revisionsrapport Kommunrevisionens Uppföljning av Granskning av ITsäkerheten Klippans kommun 27 september 2010 Eva Lidmark, revisionskonsult Innehållsförteckning Sammanfattning... 1 1 Inledning... 1 1.1
Läs merInformationssäkerhetspolicy för Ånge kommun
INFORMATIONSSÄKERHETSPOLICY 1 (10) Informationssäkerhetspolicy för Ånge kommun Denna informationssäkerhetspolicy anger hur Ånge kommun arbetar med informationssäkerhet och uttrycker kommunens stöd för
Läs merIT-säkerhetsinstruktion Förvaltning
IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se
Läs merVi ser ett behov av att det genomförs utbildningsaktiviteter inom kommunen.
Kommunrevisionen 2007-10-10 Kommunstyrelsen För kännedom: Kommunfullmäktige Granskning av IT-säkerheten På uppdrag at Lunds kommuns revisorer har Öhrlings PricewaterhouseCoopers genomfört en granskning
Läs merRevisionsrapport. Söderhamns kommun. Översiktlig granskning kring kommunens IT-hantering. December 2008. Göran Persson Lingman, Louise Cedemar
Revisionsrapport Söderhamns kommun Översiktlig granskning kring kommunens IT-hantering December 2008 Göran Persson Lingman, Louise Cedemar Innehållsförteckning 1. Sammanfattande bedömning...2 2. Inledning...4
Läs merIT-Säkerhetsinstruktion: Förvaltning
n av 7 för Munkfors, Forshaga, Kils och Grums kommun april 2006 av IT-samverkansgruppen n 2 av 7 IT SÄKERHETSINSTRUKTION: FÖRVALTNING Innehållsförteckning IT-säkerhetsinstruktion Förvaltnings roll i IT-säkerhetsarbetet...3
Läs merInformationssäkerhet - Informationssäkerhetspolicy
Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...
Läs merÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning
ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation
Läs merIT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN
IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN 1 INLEDNING...1 2 MÅL FÖR IT-SÄKERHETSARBETET...1 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN...1 3.1 ALLMÄNT...1 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET...2 3.2.1...2 3.2.2 Systemansvarig...3
Läs merRevisionsrapport. Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat. Ljusdals kommun
www.pwc.se Revisionsrapport Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat Göran Persson-Lingman Certifierad kommunal revisor Hanna Franck Larsson Certifierad
Läs merInformationssäkerhetspolicy för Ystads kommun F 17:01
KS 2017/147 2017.2189 2017-06-29 Informationssäkerhetspolicy för Ystads kommun F 17:01 Dokumentet gäller för: Ystads kommuns nämnder, kommunala bolag och kommunala förbund Gäller fr.o.m. - t.o.m. 2017-08-01-tillsvidare
Läs merRevisionsrapport. Granskning av. IT i skolan. Bollnäs kommun. November Louise Cedemar Göran Persson Lingman
Revisionsrapport Granskning av IT i skolan Bollnäs kommun November 2005 Louise Cedemar Göran Persson Lingman INNEHÅLLSFÖRTECKNING 1. Sammanfattande bedömning...3 2. Inledning...4 2.1 Bakgrund...4 2.2 Revisionsfråga...4
Läs merIT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.
IT-säkerhetspolicy IT-säkerhetspolicy Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.se Innehåll Sammanfattning 1 IT-säkerhetspolicy
Läs merBilaga, Definition av roller och begrepp, till policy för IT-säkerhet
Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 07-05-24 dnr A 13 349/ 07 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum Juni 2007 Publicerad Beslutsfattare
Läs merIT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN
IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN 1 INLEDNING... 1 2 MÅL FÖR IT-SÄKERHETSARBETET... 1 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 1 3.1 ALLMÄNT... 1 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 2 3.2.1... 2 3.2.2
Läs merINFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2
INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2
Läs merIT-verksamheten, organisation och styrning
IT-verksamheten, organisation och styrning KPMG Örebro 27 februari 2007 Antal sidor 12 Innehåll 1. Inledning 1 2. Syfte 1 3. Metod 1 4. Sammanfattning 2 5. IT-verksamhet, organisation och ansvar 3 5.1.1
Läs merRevisionsrapport Styrning och ledning av IT och informationssäkerhet
www.pwc.se Revisionsrapport Styrning och ledning av IT och informationssäkerhet Göran Persson- Lingman Sollefteå Robert Bergman Mars/2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund...
Läs merRiktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret
Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet
Läs merRIKTLINJER FÖR IT-SÄKERHET
FÖRFATTNINGSSAMLING (8.1.3) RIKTLINJER FÖR IT-SÄKERHET Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056
Läs merBilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)
Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 11-09-14 dnr A 13 349/ 07 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum Juni 2007 ( rev. September
Läs merRiktlinjer för IT-säkerhet i Halmstads kommun
Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4
Läs merGranskning av IT-hanteringen
Revisionsrapport Granskning av IT-hanteringen Katrineholms kommun Göran Persson Lingman Thomas Lidgren Januari 2013 Innehållsförteckning Sammanfattning och revisionell bedömning 3 1 Bakgrund och resultat
Läs merRevisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016
www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016 Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4
Läs merDNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen
TJÄNSTESKRIVELSE Datum DNR: KS2016/918/01 2018-03-07 1 (1) Kommunstyrelsen Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Förslag till beslut Förslaget till Informationssäkerhetspolicy för
Läs merInformationssäkerhetspolicy inom Stockholms läns landsting
LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4
Läs merFörstudie: Övergripande granskning av ITdriften
Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...
Läs merPM 2009-01-21. DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport.
1(5) KS 2008/0177 Översyn av IT- och telefonidrift - lägesrapport Bakgrund Under det gångna året har inträffat ett antal driftstopp inom IT och telefoni som fått allvarliga konsekvenser genom att för verksamheten
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.
Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice
Läs merEDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy
EDA KOMMUN nformationssäkerhet - Informationssäkerhetspolicy Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål... 2 3 Organisation, roller
Läs merBilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )
Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare
Läs merPolicy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet
Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika
Läs merIT- och informationssäkerhet
www.pwc.se Revisionsrapport IT- och informationssäkerhet Robert Bergman Revisionskonsult December 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte och Revisionsfråga...
Läs merINTERN STYRNING OCH KONTROLL KOMMUNSTYRELSEN LIDKÖPINGS KOMMUN. - Resultat av en webbenkät genomförd på uppdrag av kommunens revisorer
www.pwc.se Revisionsrapport INTERN STYRNING OCH KONTROLL Hans Axelsson Göran Persson- Lingman Juni 2016 KOMMUNSTYRELSEN LIDKÖPINGS KOMMUN - Resultat av en webbenkät genomförd på uppdrag av kommunens revisorer
Läs merInformationssäkerhetspolicy för Nässjö kommun
Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...
Läs merRevisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011
Revisionsrapport Förstudie av personalsystemet Kalmar kommun Caroline Liljebjörn Förstudie av personalsystemet 2011-10-10 Caroline Liljebjörn Stefan Wik Kalmar kommun Förstudie av personalsystemet Innehållsförteckning
Läs merInformationssäkerhetspolicy
2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan
Läs merSÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM
FÖRFATTNINGSSAMLING (8.1.3) SÄKERHETSFÖRESKRIFTER Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056 Giltig
Läs merHandlingsplan för persondataskydd
Kommunledningskontoret Handlingsplan för persondataskydd Dokumentansvarig: Anders Lindqvist, Verksamhetsutvecklare Fastställd av: Kommunstyrelsen, Dnr KS 18/226 Omfattar: Koncernen Ånge kommun Fastställd
Läs merSedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.
V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som
Läs merIT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2
IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...
Läs merBilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag
Förfrågningsunderlag stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.
Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010
Läs merRevisionsrapport IT-verksamheten
www.pwc.se Revisionsrapport Göran Persson- Lingman & Robert Bergman IT-verksamheten Gällivare kommun Hantering av IT-verksamheten Innehållsförteckning 1. Sammanfattning, bedömning och rekommendationer...3
Läs merInformationssäkerhet, Linköpings kommun
1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...
Läs merIT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21
IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar
Läs merIT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet.
2012-08-27 Sidan 1 av 6 IT-säkerhetspolicy Dokumentnamn Dokumenttyp Fastställd/upprättad Diarie nummer Fastställd av IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige Dokumentansvarig/ processägare
Läs merOrganisation för samordning av informationssäkerhet IT (0:1:0)
Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,
Läs merJämtlands Gymnasieförbund
Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...
Läs merIT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning
Läs merLandstinget Gävleborg
www.pwc.se Revisionsrapport Göran Persson Lingman Lars-Åke Ullström Dec 2014 Gransking av informationssäkerheten Landstinget Gävleborg Innehållsförteckning 1. Sammanfattning, bedömning och rekommendationer...
Läs merINTERN STYRNING OCH KONTROLL. - Resultat av en webbenkät genomförd på uppdrag av kommunens revisorer
www.pwc.se Revisionsrapport INTERN STYRNING OCH KONTROLL Hans Axelsson Göran Persson- Lingman Juni 2016 MILJÖ OCH BYGGNÄMNDEN LIDKÖPINGS KOMMUN - Resultat av en webbenkät genomförd på uppdrag av kommunens
Läs merInformationssäkerhetsanvisningar Förvaltning
HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Förvaltning i enlighet med rektors beslut fattat den 16 februari 2010 (dnr 020-09-101). Gäller från och med den
Läs merIT-Policy Vuxenutbildningen
IT-Policy Vuxenutbildningen För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till kommunkoncernens förhållningssätt och regelverk angående hur du får
Läs merRevisionsrapport nr 1, 2012 R Wallin. Vadstena kommun. Bisysslor bland anställda
Revisionsrapport nr 1, 2012 R Wallin Vadstena kommun Bisysslor bland anställda t Innehåll 1. Sammanfattning...2 2. Inledning...3 3. Revisionsfrågor...3 3.1. Avgränsning...3 3.2. Granskningens genomförande...3
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.
Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen
Läs merSOLLENTUNA FÖRFATTNINGSSAMLING 1
FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,
Läs merGranskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem
Karin Norrman Elgh Översiktlig revisionsrapport Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem Vara kommun Anställningar och avslut i lönesystemet
Läs merProgram för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning
Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord
Läs merRegler och instruktioner för verksamheten
Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig
Läs merInformationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57
1 (5) Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige 2018-05-07, 57 Postadress Besöksadress Telefon Internet och fax Giro och org.nr Sunne kommun Verksamhetsstöd
Läs merINTERN STYRNING OCH KONTROLL. - Resultat av en webbenkät genomförd på uppdrag av kommunens revisorer
www.pwc.se Revisionsrapport INTERN STYRNING OCH KONTROLL Hans Axelsson Göran Persson- Lingman Juni 2016 KULTUR OCH FRITIDSNÄMNDEN LIDKÖPINGS KOMMUN - Resultat av en webbenkät genomförd på uppdrag av kommunens
Läs merRevisionsrapport: Granskning av IT-säkerhetspolicy. Revisionen har genom KPMG genomfört en granskning av IT-säkerhetspolicy.
Revisorerna Direktionen Revisionsrapport: Revisionen har genom KPMG genomfört en granskning av IT-säkerhetspolicy. Revisionen önskar att direktionen lämnar synpunkter på de slutsatser som finns redovisade
Läs merUppföljning av revisionsrapport om kommunens IT-hantering från 2010
PM Uppföljning av revisionsrapport om kommunens IT-hantering från 2010 Emmaboda kommun 11 juni 2012 Jard Larsson Certifierad kommunal revisor 2010-års granskning Följande revisionsfrågor ställdes 2010:
Läs merVäxjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:
www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet avseende externt och internt dataintrång Informationssäkerhetsspecialister: Viktor Bergvall Linus Owman Certifierad kommunal revisor: Lena
Läs merIT-säkerhetspolicy för Landstinget Sörmland
Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens
Läs merGranskning av generell behörighetshantering
Revisionsrapport Granskning av generell behörighetshantering Botkyrka kommun Göran Persson Lingman Sept 2012 Innehåll 1 Sammanfattning 2 2 Inledning 4 2.1 Bakgrund 4 2.2 Metod och avgränsning 4 3 Resultat
Läs merInformationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.
Informationssäkerhetspolicy 2011-2014 1. Bakgrund Detta dokument fastställs av kommunfullmäktige och gäller för all verksamhet inom kommunen. Detta betyder att det inte finns utrymme att besluta om lokala
Läs merKontinuitetsplan IT. Bilaga till Informationssäkerhetspolicy
Intendentur och service Chef Fredrik Nilsson STYRDOKUMENT Diarienummer: GIH 2018/245 Datum: 2018-05-09 Beslutat av: Rektor Beslutsdatum: 2018-06-13 Ersätter Dnr: Ö 2013/219 Giltighetstid: Tillsvidare 1(8)
Läs merInformationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting
Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad
Läs merInformationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation
Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg
Läs merÖvergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun
Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.
Läs merRevisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018
SKATTEVERKET 171 94 SOLNA Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018 Som en del av arbetet med att granska Skatteverkets årsredovisning 2018 har
Läs merUppföljning av tidigare granskningar
Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2
Läs merGranskning av IT:s nytta ur ett verksamhetsperspektiv
Revisionsrapport* Granskning av IT:s nytta ur ett verksamhetsperspektiv Finspångs kommun 15 maj 2009 Matti Leskelä *connectedthinking Innehållsförteckning 1 Bakgrund och syfte...3 2 Metod...3 3 Sammanfattande
Läs merGranskning av räddningstjänstens ITverksamhet
www.pwc.se Granskning av räddningstjänstens ITverksamhet Författare: Niklas Ljung, projektledare Ida Ek, utredare Södertörns Brandförsvarsförbund December 2017 1. Bakgrund och syfte Bakgrund och syfte
Läs merSystemförvaltnings Modell Ystads Kommun(v.0.8)
IT avdelningen Piparegränd 3 271 42 Ystad Systemförvaltnings Modell Ystads Kommun(v.0.8) S.M.Y.K Beskrivningar och hänvisningar till rutiner och riktlinjer som ligger till grund för ett tryggt förvaltande
Läs merGranskning av IT-system Procapita vård och omsorg ur ett effektivitetsperspektiv
Revisionsrapport Granskning av IT-system Procapita vård och omsorg ur ett effektivitetsperspektiv Lunds kommun 2009-10-07 Eva Lidmark Göran Persson-Lingman Innehållsförteckning Sammanfattande bedömning...3
Läs merIT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina
1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,
Läs merHantering av ITverksamheten
www.pwc.se Revisionsrapport Göran Persson- Lingman och Robert Bergman Hantering av ITverksamheten Kiruna kommun Innehållsförteckning 1. Sammanfattning, bedömning och rekommendationer... 2 2. Uppdraget...
Läs merRIKTLINJER. Riktlinjer för styrning av IT-verksamhet
RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer
Läs merTyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017
Tyresö kommun Generella IT kontroller Economa och Heroma Detaljerade observationer och rekommendationer Juni 2017 Fredrik Dreimanis Johan Jelbring Tina Emami Innehållsförteckning Sammanfattning av granskningen...
Läs merIntern kontroll avseende de anställdas bisysslor
Intern kontroll avseende de anställdas bisysslor Vänersborgs kommun Revisionsrapport Datum 2011-03-07 Henrik Bergh Innehållsförteckning Innehållsförteckning... 2 Uppdrag och genomförande... 3 Sammanfattande
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet
Revisionsrapport Karolinska institutet 171 77 Stockholm Datum Dnr 2011-02-01 32-2010-0715 Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet 2010 Riksrevisionen
Läs merLandstinget Gävleborg
Revisionsrapport Granskning av IT-hanteringen kring journaler Landstinget Gävleborg Göran Persson Lingman Lars-Åke Ullström November 2011 Innehållsförteckning 1 Inledning 5 1.1 Bakgrund 5 1.2 Revisisionsfråga/kontrollmål
Läs merGranskning av IT-säkerhet
TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet
Läs merInformationssäkerhetspolicy
Styrdokument, policy Kommunledningskontoret 2011-05-03 Per-Ola Lindahl 08-590 970 35 Dnr Fax 08-590 733 40 KS/2015:315 per-ola.lindahl@upplandsvasby.se Informationssäkerhetspolicy Nivå: Kommungemensamt
Läs merFörklarande text till revisionsrapport Sid 1 (5)
Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,
Läs merSammanfattning av riktlinjer
Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i
Läs merKommunrevisionen KS 2016/00531
V W Halmstad Kommunrevisionen Datum 2017-02-07 kommunrevisionen@halmstad.se Dnr KS 2016/00531 Yttrande - Granskning övergripande säkerhetsgranskning av kommunens säkerhet angående externt och internt dataintrång
Läs merHärjedalens Kommuns IT-strategi
FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 105/04 2004-09-20 1 Härjedalens Kommuns IT-strategi En vägvisare för kommunal IT 2 INNEHÅLL Sid 1. BESKRIVNING 3 1.1 Syfte och omfattning 3 1.2 Kommunens
Läs merÖvergripande granskning av ITverksamheten
Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads
Läs merFör att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare
För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare Lösenord lösenordet ska vara minst 8 tecken långt. lösenordet
Läs mer