IT-verksamheten, organisation och styrning

Transkript

1 IT-verksamheten, organisation och styrning KPMG Örebro 27 februari 2007 Antal sidor 12

2 Innehåll 1. Inledning 1 2. Syfte 1 3. Metod 1 4. Sammanfattning 2 5. IT-verksamhet, organisation och ansvar Basnivå för informationssäkerhet 5 6. Resultat av granskning Mål och riktlinjer för IT-verksamheten Kostnadsfördelning och kostnadsstyrning av IT Kommentar Organisation och ansvar för IT-verksamheten Kommentar Ansvarsfördelning Kommentar Säkerhet och incidentrapportering Kommentar Barn- och utbildningsnämnden Socialnämnden Slutord 12 Rapport IT-organisationen.doc

3 1. Inledning IT-utvecklingen har varit kraftfull under de senare åren och idag är det mesta av nämndernas verksamheter beroende av ett fungerande IT-stöd i någon form. I flera kommuner görs förändringar av IT-organisationen med anledning av verksamheternas ökande behov av ett väl fungerande stöd. Andra anledningar till förändringar är de ökande problemen med utifrån kommande störningar eller de egna interna behoven av en säker hantering av information. Revisorerna har diskuterat dessa frågor i sin analys av risk och väsentlighet och då sett ett behov av att granska hur dessa frågor hanteras i Arvika kommun. 2. Syfte Det övergripande syftet med granskningen har varit att bedöma ändamålsenlighet i kommunens organisation av IT-frågor avseende stöd till användare och arbetet med säkerhetsfrågor. I projektet har särskilt belysts: Hur ansvar och roller fördelats gällande IT mellan nämnder/förvaltningar och centrala ITfunktioner Ledning, styrning och uppföljning av IT-frågorna Kostnadsfördelning och kostnadsstyrning av IT 3. Metod Som underlag för projektet har intervjuer genomförts med nyckelpersoner inom förvaltningarna såväl centralt som ute på förvaltningarna. Detta har kompletterats med studie av styrande dokument. 1

4 4. Sammanfattning Vi har studerat Arvika kommuns IT-verksamhet. Vid granskningen har vi särskilt granskat hur ansvar och roller fördelats gällande IT mellan nämnder/förvaltningar och centrala IT-funktioner, hur ledning, styrning och uppföljning av IT-frågorna sker samt vilken kostnadsfördelning och kostnadsstyrning av IT som görs. Då denna granskning genomförts när det samtidigt pågår en stor omorganisation i kommunen har vi studerat både hur det ser ut för närvarande samt vilka förändringar som planeras. Vi kan i vår granskning konstatera att det för IT-verksamheten finns en övergripande IT-säkerhetspolicy som är antagen av kommunstyrelsen under Till denna finns förslag på ytterligare dokumentation som dock ännu ej är antagen. Vid våra intervjuer samt vid studier av de framtagna förslagen till riktlinjer kan vi konstatera att det finns en ambition att på ett bättre sätt styra IT-verksamheten. Vi menar att det i detta sammanhang är viktigt att tydliggöra kommunstyrelsens yttersta ansvar samt skapa rutiner för återrapportering till kommunstyrelsen gällande IT-frågorna. Kommunstyrelsens yttersta ansvar finns reglerat i reglementet. I kommunens IT-säkerhetspolicy står att kommunchefen har det övergripande ansvaret för säkerheten i organisationens ITverksamhet. Vi menar att det vore en fördel om kommunstyrelsens ansvar tydliggörs genom att också dokumentera det i IT-säkerhetspolicyn. Från och med årsskiftet är all IT-verksamhet samlad på en gemensam IT-avdelning. I det förslaget till säkerhetsinstruktioner finns IT-avdelningens ansvar dokumenterat. Vi anser dock att det också finns behov av att: Fastställa och dokumentera vilket uppdrag och ansvar IT-avdelning har gällande både strategiska och operativa IT-frågor. Fastställa och dokumentera vilket stöd verksamheterna kan förvänta sig av ITavdelningen för att undvika förväntansgap. Fastställa och dokumentera vilka kostnader som IT-avdelningen står för samt i de fall interndebitering sker från IT-avdelningen hur dessa beräknas. Ta fram rutiner för anmälan av säkerhetsrisker, incidenter och fel samt hur loggning av dessa av inkomna ärenden till IT-avdelningen bör ske. Detta för att få en överblick av inkomna ärenden samt för att undvika risken för att anmälda ärenden tappas bort. Det är i sammanhanget också viktigt att utarbeta rutiner för rapportering till systemägaren om inrapporterade säkerhetsrisker. IT-verksamheten har genomgått stora förändringar men det har inte genomförts några genomgripande uppföljningar av hur det påverkat kostnadsutvecklingen för den totala IT-verksamheten i kommunen. Vi menar därför att en ekonomisk uppföljning och analys bör göras av kommunens totala IT-verksamhet. 2

5 5. IT-verksamhet, organisation och ansvar IT-verksamheten har kommit att bli en mycket viktig stödprocess i den kommunala verksamheten. Genom att utveckla denna kan administrationen effektiviseras, information och kommunikation öka vilket stödjer utvecklingen av inflytandet och demokratin. För att uppnå hög säkerhet måste många delar samverka såväl informationssäkerhetsfrågor som den fysiska säkerheten kring infrastruktur m.m. Sveriges kommuner och landsting har definierat de nedanstående fyra områdena som skall samverkar för att uppnå en tillfredsställande IT-säkerhet. Analyser - IT-systemen - brandväggar - redundans - näten - back up - el - ekonomi Människorna - utbildning - kompetens - handhavande - mänskliga faktorn - reviren - arvet - organisationen IT säkerhet Strategier - rutiner - policy - rapporter - dokumentation - säkerhetsklassning - förebyggande åtgärder - samverkan - beslut/makt Omvärldskrav - juridiken - öppenhet - myndighetsutövning - åtkomst - tillgänglighet - tjänster - PKI Bilden påvisar den komplexitet som det innebär att uppnå en godkänd IT-säkerhet. Säkerheten vid användandet av IT-system handlar om säkerhet vid hantering av information och dess tillgänglighet, riktighet, sekretess och spårbarhet. Denna säkerhet kan delas upp i administrativ säkerhet och IT-säkerhet. Administrativ säkerhet uppnås huvudsakligen med hjälp av administrativa regler och rutiner. IT-säkerhet innebär säkerhet i IT-systemen och kan delas upp i datasäkerhet och kommunikationssäkerhet. 3

6 Ansvaret för att uppnå en administrativ säkerhet har den som är verksamhetsansvarig medan ITsäkerheten hanteras av den IT-ansvariga. Administrativ säkerhet innebär att: Tillse att det finns en ändamålsenlig organisation. Ansvaret för IT-verksamheten är tydligt utpekad. Det finns skriftliga och entydiga beskrivningar av ansvarsområdet. De ansvariga har tillräcklig kompetens och instruktioner för sina arbetsuppgifter. Användare får tillräcklig kompetens för sina arbetsuppgifter. Kontroll av att verksamheten sker enligt givna instruktioner. I boken Säkerhetsjuridik för kommuner som är utgiven av Svenska kommunförbundet, betonar man vikten av att klargöra ansvar samt att man behöver skilja mellan ansvar för IT-säkerhet och ansvar för utförande av IT-säkerhetsarbete. Där står också att Det övergripande ansvaret ligger alltid hos myndigheten d v s respektive nämnd, medan ansvar för utförandet ligger på respektive förvaltningschef. Systemägare är den myndighet (t ex nämnd) i kommunen som är ansvarig för den verksamhet som informationstekniken ger stöd till. I det fall ett system används av flera nämnder kan en nämnd t ex kommunstyrelsen vara systemägare. Nämnden är registeransvarig enligt datalagen för den information som lagras i systemet även om nämnden inte är systemägare. Systemförvaltning är det planeringsarbete som systemägaren skall ansvara för t ex att följa verksamhetens behov av nya och förändrade arbetssätt samt tillse att användare får det utbildning och information som behövs. I systemägarens ansvar ingår också att fastställa krav på systemsäkerhet för verksamheten. Systemägaren bör utse en särskild person, en systemförvaltare, som utför dessa uppgifter. Systemförvaltaren är den som genom delegation från systemägaren fått i uppdrag att bereda systemärenden för förvaltningsledningen samt att svara för administration, förvaltning och användning. Systemförvaltaren fastställer krav på behörighet och kompetens för systemets användare, initierar utbildning av systemets användare, bevakar och bereder frågor kring systemsäkerhet, ansvarar för information till användarna om förändringar och nyheter i systemet och IT-stödet. Förvaltningschef eller motsvarande har som uppgift att utse ansvariga och organisera ITsäkerhetsarbetet utifrån de riktlinjer som nämnden fastställt. IT-enhet eller motsvarande har det tekniska kunnandet och finns som stöd till de ansvariga och verksamheterna som använder IT-systemen. IT-enheten har också en viktig roll när det gäller att bereda ärenden gällande IT-verksamheten samt att bevaka att riktlinjer och regler följs t ex i samband med upphandlingar av datorer, IT-system o s v. 4

7 5.1.1 Basnivå för informationssäkerhet Krisberedningsmyndigheten har tagit fram en skrift, Basnivå för informationssäkerhet (BITS) där ett antal administrativa säkerhetsåtgärder rekommenderas för vad som bör vidtas för att uppnå en acceptabel säkerhetsnivå för informationshanteringen. Som ett stöd för arbetet med informationssäkerhet har Krisberedskapsmyndigheten (KBM) tagit fram ett antal mallar för olika dokument som styr informationssäkerheten i en organisation: 1. Informationssäkerhetspolicy 2. Säkerhetsinstruktion, Användare 3. Säkerhetsinstruktion, Förvaltning 4. Säkerhetsinstruktion, Kontinuitet och drift Mallarna ska ses som ett underlag för att upprätta en organisations egna styrande dokument. Syftet med mallarna är att den som följer dess innehåll ska veta att de egna styrande dokumenten kommer att vara anpassade till kraven enligt BITS, och i aktuella delar följa avsnittsindelningen enligt BITS och den svenska standarden SS-ISO/IEC Resultat av granskning 6.1 Mål och riktlinjer för IT-verksamheten I kommunen finns en IT-säkerhetspolicy, antagen av kommunstyrelsen under 2006, där det bland annat står att policyn syftar till att klarlägga Mål för IT-säkerhetsarbete Organisation, ansvar och roller inom IT-säkerhetsområdet Riktlinjer för områden av särskild betydelse. Där står också att policyn skall konkretiseras i IT-säkerhetsinstruktionerna Förvaltning, Drift och Användare samt systemsäkerhetsplaner. Vid framtagandet av denna policy har kommunen i hög grad utgått från Krisberedningsmyndigheten skrift, Basnivå för informationssäkerhet (BITS), se kap För IT-säkerhetsinstruktionerna Förvaltning och Användare finns framtagna förslag och vi har valt att studera och kommentera dessa dokument i vår granskning trots att de är ett arbetsmaterial och ej antaget av kommunstyrelsen. 5

8 I det förslag till IT-säkerhetsinstruktioner Förvaltning regleras frågor gällande: Behörighetsadministration Loggning och spårbarhet Distansarbete, externa anslutning och mobil datoranvändning Drift och förvaltning av IT-system Införande av IT-system Systemunderhåll Drift Avveckling av IT-system IT-incidentrapportering Tillträdesskydd Säkerhetskopiering och lagring Användning av E-post och Internet IT-säkerhetsutbildning Kontinuitetsplanering Driftgodkännande Revidering och uppföljning I IT-säkerhetsinstruktioner: Användare beskrivs mål och organisation för IT-säkerhetsarbete samt vilket ansvar varje enskild användare har och hur t ex lösenord skall hanteras och hur användaren skall agera vid incidenter där man uppfattar att det finns en säkerhetsrisk. Även en IT-säkerhetsinstruktion Drift skall tas fram. 6.2 Kostnadsfördelning och kostnadsstyrning av IT Den centrala IT-enheten ligger inom kommunstyrelsen och är anslagsfinansierad. I dessa kostnader ingår bland annat personal, nätverk och gemensamma servrar. Verksamhetsspecifika program och datorer i verksamheten svarar respektive förvaltning för. En viss interndebitering kan ske från IT-enheten till förvaltningarna då IT-enheten gör åtgärder som inte ingår i nätadministrationen. Det finns dock ej några klart uttalade riktlinjer för var denna gränsdragning går. Under år

9 gjorde IT-chefen en överslagsmässig beräkning av IT-avdelningens kostnader fördelad på varje arbetsenhet i kommunen. Enligt IT-chefen förs diskussioner om man i den nya organisationen skall arbeta med interndebitering för den centrala IT-enheten Kommentar IT-verksamheten har genomgått stora förändringar men det har inte genomförts några genomgripande uppföljningar av hur det påverkat kostnadsutvecklingen för den totala IT-verksamheten i kommunen. Vi menar därför att de en ekonomisk uppföljning och analys bör göras av kommunens totala IT-verksamhet. Vi anser också att det bör tydliggöras och dokumenteras vilka kostnader som IT-avdelningen står för samt i de fall interndebitering sker från IT-avdelningen hur dessa beräknas. 6.3 Organisation och ansvar för IT-verksamheten Kommunen är i en organisatorisk förändringsprocess och fr.o.m. år 2007 organiseras alla ITresurser inom IT-enheten som ingår i kommunledningsstaben. På detta sätt vill man samla kommunens resurser på ett ställe. Undantaget från detta är den IT-pedagog som finns anställd inom barn- och utbildningsverksamheten och som även fortsättningsvis kommer att tillhöra denna verksamhet. Nedan följer en bild av hur IT-verksamheten var organiserad under 2006 och hur den är organiserad från och med IT-organisation t o m 2006 Kommunstyrelsen Ekonomiavdelningen IT-enheten (inget dokumenterat om uppdraget) Barn- och utbildningsnämnden IT-enheten IT-pedagog IT-piloter Socialnämnden IT-enheten IT-organisation fr.o.m Kommunstyrelsen Kommunledningsstaben IT-enheten 7

10 Det finns inget dokumenterat vilket uppdrag IT-enheten har men enligt IT-ansvarig sträcker sig ansvaret till nätverksuttaget. Det finns ej heller dokumenterat vilka som är ansvariga systemägare och systemansvariga för respektive system som används i kommunen. Vid våra intervjuer uppges dock att varje nämnd ansvarar för sina verksamhetssystem och kommunstyrelsen ansvara för det som är gemensamt så som nätverk och mjukvaran i nätet, lokala servrar och kommunövergripande system så som ekonomi- och personalsystem. IT-enheten har ingen HelpDesk men enligt IT-chefen finns det behov av detta. Det är dock en resursfråga. Från och med har IT-enheten beredskap dygnet runt. Enligt kommunchefen har det funnits fel förväntan från skolan på IT-enheten då man trott att de skall kunna hjälpa till med den pedagogiska delen. Det har nu anställts en IT-pedagog inom skolan som arbetar med dessa frågor och denna skall även fortsättningsvis finnas organiserad inom skolans verksamhet. Kommunens IT-ansvarige är den som har ansvar för de gemensamma IT-frågorna. I detta ansvar ingår bland annat att arbeta med de långsiktiga och strategiska IT-frågorna. Det dock finns inga fastslagna målsättningar med IT-arbetet och eller något tydligt uppdrag till IT-chefen att arbeta med dessa frågor. Vid större strategiska frågor lyfter IT-chefen dessa till kommunchef som eventuellt för det vidare till förvaltningschefsgruppen. Vid behov bildas arbetsgrupper för att arbeta med en fråga eller ett projekt. Vid inköp av IT är det inköpsavdelningen som ansvarar för detta. Mycket av de inköp som görs är avrop på ramavtal som kommunen har. Vid inköp/upphandling av verksamhetsspecifika program skall detta alltid stämmas av med IT-enheten och i kravspecifikationen skall det ställas krav på att systemet passar in i kommunens tekniska plattform. IT-enheten har dygnetruntjour och det finns larm i driftscentralen som går till jouren om det t ex skulle uppstå ett avbrott Kommentar Från och med årsskiftet är all IT-verksamhet samlad på en gemensam IT-avdelning. Vi anser att IT-avdelningen är en ytterst viktigt stödfunktion till verksamheterna samt att: Det finns behov av att klargöra och dokumentera vilket uppdrag och ansvar IT-avdelning har. Vilket stöd verksamheterna kan förvänta sig av IT-avdelningen för att undvika förväntansgap. 8

11 6.4 Ansvarsfördelning I IT-säkerhetspolicyn anges att det övergripande ansvaret för säkerheten i IT-verksamheten vilar på kommunchefen och att denne skall utse systemägare för varje system. Kommunstyrelsens ansvar för IT-verksamheten finns fastslaget i reglementet. I det förslag som finns till IT-säkerhetsinstruktioner: Förvaltning anges bland annat organisation och ansvar. Här står att ansvaret för informationssäkerheten skall följa linjeorganisationen för varje enskilt IT-system. I instruktionerna har man specificerat de olika ansvarsområdena enligt följande: Systemägare ansvarar inför ledningen för att egna IT-system förvaltas på för verksamheten bästa sätt. Verksamhetsansvariga utses av systemägare och har ett övergripande ansvar för att säkerställa en säker och rationell drift. Systemansvariga den person i berörd verksamhet som har ansvaret för den dagliga användningen av IT-systemet IT-ansvarig är systemägare inom området teknisk infrastruktur och har det övergripande ansvaret för att ett systems tekniska delar fungerar. Systemadministratör innehar den tekniska kompetensen och ansvarar tillsamman med verksamhetsansvariga och systemansvarig för att den dagliga driften upprätthålls enligt överenskommelse mellan systemägaren och IT-ansvarig. Användare skall följa gällande regler för IT-säkerheten IT-säkerhetssamordnare stödjer arbete med att uppnå IT-säkerhetspolicyns mål. Fungerar som stöd åt verksamheten och är i IT-säkerhetsfrågor direkt underställd kommunchefen Kommentar Trots att IT-säkerhetsinstruktioner: Förvaltning ej är fastslaget utan fortfarande ett arbetsmaterial har vi valt att kommentera detta då vi vid våra intervjuer informerats om att dokumentet i det stora hela kan betraktas som ett färdigt förslag. Myndigheten är alltid ytterst ansvarig och därmed system ägare (se kap 5) vilket innebär i Arvika kommun att kommunstyrelsen är systemägare för samtliga system. Vi menar att det vore en fördel om detta tydliggörs genom att kommunstyrelsens ansvar också dokumenteras i ITsäkerhetspolicyn. 9

12 Vi menar att det är bra att man i det förslaget till IT-säkerhetsinstruktioner: Förvaltning gör en beskrivning av varje ansvarsområde. Det är också ytterst viktigt att en förteckning görs av alla aktuella system som finns i kommunen samt vilka som ansvarar för dessa. 6.5 Säkerhet och incidentrapportering För närvarande finns inget dokumenterat om hur incidentrapportering skall ske. Enligt IT-chefen sker rapportering till IT-enheten men det finns inga uttalade rutiner för hur detta skall ske och vad som skall rapporteras och det sker ej heller någon dokumentation av inrapporterade säkerhetsfel eller incidenter. I det arbetsmaterial som finns framtaget för säkerhetsinstruktioner Förvaltning står att användaren skall vid misstanke om intrång eller andra incidenter agera enligt ITsäkerhetsinstruktioner användare. Det står också att IT-avdelningen skall sammanställa och rapportera till ledningen: Intrång och försök till intrång, Brott mot lagstiftning och intern regelverk Incidenter som orsakar eller skulle kunna orsaka betydande avbrott eller störningar Kommentar Vi menar att det är ytterst viktigt att det finns rutiner för hur incidentrapporteringen sker. Då det enligt vår uppfattning alltid är myndigheten, i detta fall kommunstyrelsen, som är systemägare och därmed ytterst ansvarig menar vi också att en rapport om anmälda säkerhetsrisker och incidenter bör göras till kommunstyrelsen. 6.6 Barn- och utbildningsnämnden Nedanstående beskrivning av barn- och utbildningsnämndens verksamhet utgår från den organisation som gällde till och med Barn- och utbildningsnämnden har en egen IT-strategi. I denna anges bland annat hur ansvarsfördelningen ser ut i förvaltningen gällande IT-frågorna samt vilken målsättning man har gällande IT-utvecklingen. Inom Barn- och utbildningsförvaltningen finns fr.o.m fem IT-tekniker anställda som är organiserade som en gemensam IT-enhet inom förvaltningen. Tidigare hade förvaltningen fyra ITtekniker anställda som var organiserade ute på enheterna. Denna spridda organisation försvårade kunskapsutbytet och man bedömde att en samlad organisation medförde att arbetet kunde utföras på ett mer effektivt sätt. På varje skola finns också en IT-pilot som är en anställd som har ett intresse för dessa frågor. 10

13 Vid upphandlingar kontaktas inköpsavdelningen. I de fall som datorer skall köpas in avropas de ramavtal som kommunen har. IT-teknikerna listar alla datorer som finns i förvaltningen och statusen på dessa bedöms. Grundskolechefen gör efter dessa bedömningar en prioritering av vilka inköp som skall göras av datorer. Det har skett en ökad styrning av vad som köps in när det gäller IT och enligt biträdande skolchef har det skett en ökad förståelse i verksamheten varför man måste styra dessa frågor. Förvaltningens IT-pedagog genomför utbildningar med de anställda i förvaltningen och för nya användare. Enligt biträdande förvaltningschef måste man trycka ännu hårdare på säkerheten t ex lösenordshanteringen. Inom varje rektorsområde skall det finnas en IT-plan med en pedagogisk inriktning. Enligt biträdande förvaltningschef har man börjat ställa högre krav på rektorerna att ta fram IT-planer Ingen IT-plan - inga nya datorer. Biträdande förvaltningschef anser att ansvarsfördelningen mellan kommunens centrala IT-enhet och förvaltningarna är tydlig 6.7 Socialnämnden Nedanstående beskrivning av socialnämndens verksamhet utgår från den organisation som gällde till och med Inom socialförvaltningen finns två IT-tekniker anställda. För det verksamhetssystem, ProCapita, som används i förvaltningen finns en systemansvarig som ansvarar för uppdateringar i systemet, behörighetsadministration och kontakter med leverantören av systemet. I förvaltningen finns också två sjuksköterskor som inom ramen för sin tjänst ansvarar för den del som berör hälso- och sjukvården. För kompetensutveckling av den egna personalen samt utbildning i grundläggande IT-kunskaper t ex att hantera Word och Excel ansvara förvaltningens egna IT-tekniker. Förvaltningen införde ett program som skulle finnas till stöd för bemanningscentralen. Vid detta införande fanns inte tillräcklig kommunikation med den centrala IT-enheten vilket hade negativ påverkan på införandet. Denna erfarenhet har gjort att man nu är medveten om att man måste ha med IT-enheten i processen vid införandet av ett nytt system för att det skall kunna genomföras på ett bra sätt. För de IT-tekniker som finns i förvaltningen har man upplevt att man ej fått tillräcklig information från framför allt IT-enheten. Detta problem borde dock undanröjas i samband med den nya organisationen då alla IT-tekniker kommer att tillhöra en gemensam enhet. 11

14 7. Slutord Vi har studerat hur Arvika kommuns IT-verksamhet och då särskilt granskat hur ansvar och roller fördelats gällande IT mellan nämnder/förvaltningar och centrala IT-funktioner, hur ledning, styrning och uppföljning av IT-frågorna sker samt vilken kostnadsfördelning och kostnadsstyrning av IT som görs. Då denna granskning genomförts när det samtidigt pågår en stor omorganisation i kommun har vi både tittat på hur det för närvarande ser ut samt vilka förändringar som planeras. Vi kan i vår granskning konstatera att det för IT-verksamheten finns en övergripande ITsäkerhetspolicy som är antagen av kommunstyrelsen under Till denna finns förslag på ytterligare dokumentation som dock ännu ej är antagen. Vid våra intervjuer samt vid studier av de framtagna förslagen till riktlinjer kan vi konstatera att det finns en ambition att på ett bättre sätt styra IT-verksamheten. Vi menar att det i detta sammanhang är viktigt även tydliggöra kommunstyrelsens yttersta ansvar samt skapa rutiner för återrapportering till kommunstyrelsen gällande IT-frågorna. Örebro, dag som ovan Karin Helin Lindkvist Certifierad kommunrevisor 12