Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna
|
|
- Ellen Ivarsson
- för 8 år sedan
- Visningar:
Transkript
1 Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna Landstinget i Uppsala län BDO Risk Advisory Services Oslo, 25. Februari 2015
2 1. Inledning Innehåll 1. Innledning 1.2 Sammanfattning revision 2. IT-säkerhetsrevision 2.1 Tillvägagångssätt och begränsningar ITsäkerhetsrevision 2.2 Sammanfattning IT-säkerhetsrevision 3. Penetrationstest 3.1 Skillnaden mellan externt och internt penetrationstest 3.2 Tillvägagångssätt och begränsningar Externt penetrationstest 3.3 Tillvägagångssätt och begränsningar Internt penetrationstest 3.4 Metodik Säkerhetstestning intern/extern 3.5 Sammanfattning Externt penetrationstest 3.6 Sammanfattning Internt penetrationstest 4. Tillstånd på rekommendationer från IT-säkerhetsrevision genomförd i Nya rekommendationer från IT-säkerhetsrevision Status på tidigare rekommendationer från externt penetrationstest genomfört i Nya rekommendationer från externt penetrationstest Status på tidigare rekommendationer från internt penetrationstest genomfört i 2011 Bakgrund Landstingets revisorer upphandlade i 2011 PWC för att genomföra en granskning av säkerhetsprocesser för IT samt externa och interna penetrationstest. Detta gjordes för att säkerställa att Landstingsstyrelsen har en adekvat IT-säkerhet avseende skydd mot obehörigt intrång. Landstingets revisorer önskade genomföra en uppföljning av den tidigare genomförda granskningen av landstingets IT-säkerhetsprocesser samt interna och externa penetrationstester. Syfte Syftet med denna granskning är att säkerställa att Landstinget i Uppsala Län (LUL) har vidtagit åtgärder utifrån revisionens rekommendationer och att landstinget i övrigt bedriver ett ändamålsenligt och systematiskt arbete med IT-säkerhet. Testerna och granskningen vill utvärdera landstingets interna och externa IT-säkerhet, identifiera potentiella säkerhetsbrister samt ge rekommendationer för riskreducerande åtgärder. Uppdraget genomfördes under januari och februari Den överordnade frågan som denna revision skall svara på är: Har landstinget vidtagit åtgärder utifrån revisionens rekommendationer och finns det idag ett ändamålsenligt och systematisk arbete med IT-säkerhet? Begränsningar Genomgången, intervjuerna och testen är styckprovsbaserade och vill ge en ögonblicksbild av säkerhetstillståndet i LUL. Revisionen ger ingen garanti för att alla säkerhetsbrister och fel identifieras. Det kan därför vara flera säkerhetsrisker i IT-miljön som inte omtalas i denna rapport. 9. Nya rekommendationer från internt penetrationstest Bilagor Siv Irene Aasen Projektledare Karl-Ludvig Mauland Ansvarig Partner Rapport - Landstinget i Uppsala län 2
3 Sammanfattning revision ITsäkerhetsrevision Vårt övergripande intryck efter granskningen av IT-säkerhetsprocesser hos LUL är att det är etablerat en del processer för att värna om IT-säkerheten i den operativa verksamheten, då IT-säkerhet är en integrerad del av hela verksamheten. IT-säkerhetsprocessen är emellertid inte tillfredsställande i alla delar, och det finns utrymme för förbättringar i styrning och ledning av IT-säkerhet, förankring av roller och ansvar, inkluderat mätning och uppföljning av området. Ett särskilt förbättringsbehov är identifierat inom åtkomstkontroller i de operativa processerna. Externt penetrationstest Baserat på genomförda tester framstår LULs externa nätverk som gott skyddat mot angrepp från internet. Servrar, tjänster och information verkar vara väl säkrat mot extern åtkomst och manipulation. Vi ser att säkerheten är förbättrad sedan förra säkerhetstestet 2011, men det återstår fortfarande något arbete för att säkra nätverket i förhållande till bästa praxis. Det har under detta penetrationstest inte avtäckts några allvarliga sårbarheter eller fel. Den största risken idag är utdaterad programvara på exponerade servrar. Detta var också en av dom största riskerna som drogs fram under förra testet Jämfört med 2011, har landstingets exponering ökat, men dock minimalt och är inom vad som borde anses som acceptabelt. Internt penetrationstest Baserat på genomförda tester framstår LULs interna nätverk som tillräckligt skyddat mot interna hot som exempelvis missnöjda anställda eller skadlig programvara. Kritiska servrar, tjänster och information verkar vara tillräckligt säkrade mot tillgång och manipulation. Enskilda mindre kritiska servrar och klienter har visat sig vara sårbara och det har varit möjligt att uppnå administrativa rättigheter på flera av dessa. De största riskerna idag är utdaterad programvara och operativsystem på en del interna servrar och klienter, användandet av osäkrade tjänster och användandet av lokala standard- eller svaga lösenord Rapport - Landstinget i Uppsala län 3
4 2. IT-säkerhetsrevision 4
5 2.1 Tillvägagångssätt och begränsningar IT-säkerhetsrevision Tillvägagångssätt Uppdraget är genomfört i två delar, där del 1 omfattar informationsinhämtning och -genomgång, och del 2 omfattar genomförande av intervjuer och styckprovsbaserad testning av tillfälligt utvalda områden. Utgångspunkten för denna revision är tidigare genomförd revisionsslutrapport med fynd och eventuella förslag till förbättringar. Vi använder oss av ISO 27001/2 och COBIT 5 vid utarbetandet av revisionsprogrammet på detta område och vi kommer att använda dessa ramverk vid kvalitetssäkring. Vi har inhämtat, och genomgått, relevant dokumentation för de olika områdena. Struktur Vi har delat upp olika frågor i 6 huvudkategorier i vår granskning. Frågorna bygger på områdan i ISO och COBIT Styrning och ledning 2. Riskvärdering 3. Organisering 4. Resurser och kompetens 5. Operativa processer 6. Mätning och förbättring Vid genomföring av ITsäkerhetsrevisionen önskar vi bland annat att få svar på följande frågor: Är säkerhetsarbetet förankrat i ledningen? Genomförs riskanalyser regelbundet och vid ändringar? Blir riskanalyser genomförda enligt ett enhetligt och gemensamt ramverk? Är det etablerat en process för händelsehantering, tillgångshantering och kontroll med administrativ tillgång till systemen? Är det utarbetat KPI-er (Key Performance Indicator) för säkerhetsarbetet? Är dessa mätbara och blir det rapporterat och uppföljt? Område 1 Område 2 Område 2 Område 5 Område 6 Område 6 Vi har intervjuat följande personer: Petter Könberg IT-direktör Fredrik Rosenberg Informationssäkerhetsansvarlig Johan Lindqvist MSI, Avdelingschef Greger Söderqvist MSI, Teknisk stöd IT Petter Larsson MSI, Nät och server Caroline Sundevall MSI, IT system Per Foyer MSI, IT säkerhetskonsult Mikael Ekberg och Tomas Roland Säkerhet och beredskap 5
6 2.2 Sammanfattning IT-säkerhetsrevision (1/3) Vårt övergripande intryck efter granskning av IT-säkerhetsprocesser hos LUL, är att en del processer är etablerade för att värna om IT-säkerheten i den operativa verksamheten, då IT-säkerhet är en integrerad del av hela verksamheten. ITsäkerhetsprocessen är emellertid inte tillfredsställande i alla delar, och det finns utrymme för förbättringar i styrning och ledning av IT-säkerhet, förankring av roller och ansvar, inkluderat mätning och uppföljning av området. Ett särskilt förbättringsbehov är identifierat inom åtkomstkontroller i de operativa processerna. Styrning och ledning Koncernledningen har traditionellt sätt inte varit involverade i styrning och ledning av IT-säkerheten i LUL. Riktlinjer och åtgärder inom IT-säkerhet från centralt håll har varit beroende av initiativ från enskilda personer. Informationssäkerhetsansvarlig har tagit initiativ på området, men han står väldigt ensam. Riskvärdering Det är etablerat processer för riskvärderingar inom LUL. Riskvärderingar från olika objekt och verksamheter sys ihop till en gemensam riskvärdering för landstinget. IT-säkerhet och informationssäkerhet är egna områden innanför detta område. Organisering Det är få personer som arbetar dedikerat med IT-säkerhet och informationssäkerhet inom LUL. Informationssäkerhetsansvarig centralt är den enda personen som har ett formellt ansvar i förhållande till detta, medan övriga individer runt om i organisationen upprätthåller uppgiften som en integrerad del av sin ställning. Utifrån landstingets storlek och komplexitet bedöms antalet resurser som arbetar dedikerat med IT-säkerhet och informationssäkerhet som lågt. Resurser och kompetens Kurs för upplärning inom bland annat informationssäkerhet och IT-säkerhet hålls för nyanställda. Det arbetas också med att etablera en kurs för ledare inom Landstinget. Det är inte ställt formella krav till kompetens inom IT och IT-säkerhet för IT-samordnare i verksamheterna. Det är få resurser i Landstinget som arbetar dedikerat med informationssäkerhet och IT-säkerhet. 6
7 2.2 Sammanfattning IT-säkerhetsrevision (2/3) Operativa processer IT-säkerhet är en integrerad del av de operativa processerna i Landstinget och i MSI. Operativa processer som utförs utanför MSI är emellertid i mindre grad utsatt för kontroll, och ansvaret är i stor grad beroende på den enskilda Systemförvaltaren/Objektägaren. Vi har identifierat områden med behov av förbättringar inom operativa processer som ändringshantering och åtkomstkontroller. Mätning och förbättring Informationssäkerhetsansvarig har definierat mål i förhållande till mätning av IT-säkerhet i LUL. Dessa mätningar är inte förankrade i de olika verksamheterna, och det är inte etablerat processer för mätning och uppföljning. Det är emellertid etablerat en process för egenkontroll där alla verksamheter gör en evaluering av sitt eget tillstånd. Detta uppsummeras och presenteras för koncernledningen. 7
8 2.2 Sammanfattning IT-säkerhetsrevision (3/3) Nr. Prioritet/Status 2015 Prioritet/Status 2011 Rekommendation A5.4 Hög - Ändringshantering Icke-auktoriserad mjukvara A5.6 Hög - Åtkomstkontroll Lokala administratorer inom nätet A5.7 Hög - Åtkomstkontroll Lokala administratorer på egna datorer A5.9 Hög - Åtkomstkontroll Privilegierade användarkonton inom serverdrift Medium Hög Öka övervakning av applikationer/ system som är en del av infrastrukturen för att minimera intrång risker Medium Medium Utarbeta formellt dokumenterade acceptabla krav och regler gällande säkerhetsparametrar A1.1 Medium - Förankring i ledningen A1.2 Medium - IT-strategi A1.3 Medium - Styrningsdokumentation A3.1 Medium - Organisering av IT-säkerhetsorganisationen A4.1 Medium - Kompetens bland IT-samordnare A4.2 Medium - Medvetenhet kring IT-säkerhet A5.1 Medium - Operativa processer gemensamt. A5.2 Medium - Händelsehantering A5.3 Medium - Ändringshantering kategorisering av ändringar A5.5 Medium - Åtkomstkontroll Periodisk genomgång av användare och åtkomster A5.8 Medium - Åtkomstkontroll Funktionstillgångar A6.1 Medium - Mätningsparameter för IT-säkerhet A2.1 Låg - Process för riskvärdering A2.2 Låg - Acceptanskriterier för risk A4.3 Låg - Formella krav till utbildning inom IT-säkerhet A6.2 Låg - Egenkontroll 8
9 3. Penetrationstest 9
10 3.1 Skillnaden mellan externt och internt penetrationstest Externt penetrationstest Simulera ett angrepp från internet Genomförs från en extern plats Intern penetrationstest Simulera ett angrepp från insidan (anställda med ett illvilligt uppsåt, ondsinnad kod m.m.) Genomförs från kundens lokaler 10
11 3.2 Tillvägagångssätt och begränsningar Externt penetrationstest Tillvägagångssätt Genomförande av ett externt penetrationstest kan göras med olika tillvägagångssätt och med olika förutsättningar och verktyg. I detta genomförande har det primära focuset varit att följa upp fynd från det förra penetrationstest som genomfördes Syftet med detta har varit att verifiera om åtgärder är implementerade och om de fungerar effektivt. Avtäckande av nya fynd och sårbarheter har haft sekundärt fokus. Det externa penetrationstestet genomfördes från BDOs lokaler i Oslo med egen testutrustning med krypterade diskar. BDO använde en dedikerad internetuppkoppling från sitt test lab under testningen. Allmänt tillgängliga verktyg, kommersiella och freeware, och tekniker som antas användas av datakriminella för att avtäcka sårbarheter och tillägna sig information användes under testningen. Begränsningar Kända tekniker som potentiellt används av kriminella, men som inte har varit en del av detta genomförande, är social manipulation och överbelastningsangrepp. Förstnämnda är primärt ett icke-teknisk tillvägagångssätt, medan sistnämnda kan resultera i instabilitet och avbrottstid. Därutöver har inte varianter av tekniken «brute force», som fordrar utskickane av stora mängder trafik, använts. Detta då det kan resultera i instabilitet och avbrottstid. Då ett stort antal system påträffats i externa nätverket, har tester endast genomförts på ett begränsat urval av dessa. Tester har, på grund av tidsbegränsningar, endast skett mot ett urval av de tjänster och system som varit tillgängliga. Det innebär sannolikt att det finns fler brister än de som identifierats och redogörs för i denna rapport. De tester som genomförts ger endast en ögonblicksbild av brister och säkerhetsnivån för det aktuella tillfället då testerna utfördes. Ingen hänsyn tas till aktiviteter som genomförts före eller efter testperioden. Omfång Följande IP-adresser har blivit kartlagda under denna genomföring:
12 3.3 Tillvägagångssätt och begränsningar Internt penetrationstest Tillvägagångssätt Genomförande av ett externt penetrationstest kan göras med olika tillvägagångssätt och med olika förutsättningar och verktyg. I detta genomförande har det primära focus varit att följa upp fynd från det förra penetrationstest som genomfördes Syftet med detta har varit att verifiera om åtgärder är implementerade och om de fungerar effektivt. Avtäckande av nya fynd och sårbarheter har haft sekundärt fokus. Det interna penetrationstestet genomfördes genom att koppla upp sig till landstingets interna nätverk från ett mötesrum i konferenscentret. Under penetrationstesten användes egen testutrustning som kör Windows 7 och Kali Linux. Allmänt tillgängliga verktyg, kommersiella och freeware, och tekniker som antas användas av datakriminella för att avtäcka sårbarheter och tillägna sig information användes under testningen. Begränsningar Kända tekniker som potentiellt används av kriminella, men som inte har varit en del av denna genomföring, är social manipulation och överbelastningsangrepp. Förstnämnda är primärt ett icke-teknisk tillvägagångssätt, medan sistnämnda kan resultera i instabilitet och avbrottstid. Därutöver har inte varianter av tekniken «brute force», som fordrar utskickane av stora mängder trafik, använts. Detta då det kan resultera i instabilitet och avbrottstid. Då ett stort antal system påträffats i externa nätverket, har tester endast genomförts på ett begränsat urval av dessa. Tester har, på grund av tidsbegränsningar, endast skett mot ett urval av de tjänster och system som varit tillgängliga. Det innebär sannolikt att det finns fler brister än de som identifierats och redogörs för i denna rapport. De tester som genomförts ger endast en ögonblicksbild av brister och säkerhetsnivån för det aktuella tillfället då testerna utfördes. Ingen hänsyn tas till aktiviteter genomförts före eller efter testperioden. Omfång Följande IP-adresser har blivit kartlagda under denna genomföring:
13 Metodik Säkerhetstestning intern/extern Ett penetrationstest har som mål att avtäcka sårbarheter knutna till tjänster och underliggande infrastruktur som är exponerade idag. BDOs ramverk för penetrationstestning är baserat på bästa praxis från flera allmänt kända institutioner för att säkra ett så fullständig test som möjligt. Uppstart och planläggning - Fastsätta mål, ramar och omfång - Utarbeta körregler - Inhämta godkännande - Signering av kontrakt - Sätta upp och konfigurera verktyg och maskiner - Inhämta och systematisera information - Utarbeta nätverksskiss - Göra eventuella prioriteringar innan nästa fas Kartläggning/ Informationsinhämtning Sårbarhetsanalys och -utnyttjande - Genomföra sårbarhetsanalys - Genomföra sårbarhetsutnyttjande - Riskevaluering av eventuella fynd* * Kritiska fynd rapporteras omedelbart Rapportering - Verifiera observationer och fynd - Utarbeta förslag till korrigerande åtgärder - Skriva rapport - Presentera rapport 13
14 3.5 Sammanfattning Externt penetrationstest Baserat på genomförda tester framstår LULs externa nätverk som gott skyddat mot angrepp från internet. Servrar, tjänster och information verkar vara väl säkrat mot extern åtkomst och manipulation. Vi ser att säkerheten är förbättrad sedan förra säkerhetstestet 2011, men det återstår fortfarande något arbete för att säkra nätverket i förhållande till bästa praxis. Det har under detta penetrationstest inte avtäckts några allvarliga sårbarheter eller fel. Den största risken idag är utdaterad programvara på exponerade servrar. Detta var också en av de största riskerna som drogs fram under förra testet, i Exponeringen mot internet för LUL utgörs av 109 öppna portar, fördelat på 67 olika IP-adresser, med 15 olika typer av protokoll/tjänster. Jämfört med 2011, har landstingets exponering ökat, men dock minimalt och är inom vad som borde anses som acceptabelt. Nr. Prioritet /Status 2015 Prioritet/Status 2011 Rekommendation Medium Hög Komplettera uppdateringsrutiner för applikationer på servrar B1 Medium - Begränsa exponeringen av personliga uppgifter Låg Medium Åtgärda övriga identifierade applikationer med SQL injektion Låg Medium Förbättra rutiner kring produktionssättning av webbtjänst Låg Låg Reducera exponering av oanvända tjänster Låg Låg Begränsa exponering av administrativa funktioner Låg Låg Begränsa läckage av kontonamn mot Internet B2 Låg - Avaktivera omdirigering Risk hanterad Hög Åtgärda SQL injektion på medsys Risk hanterad Hög Säkra konfiguration av Lotus Quickr på qp1.lul.se Risk hanterad Medium Begränsa exponering av tillfälliga, privata, tjänster mot Internet Risk hanterad Medium Förhindra obehöriga zontransfereringar Risk hanterad Medium Förhindra exponering av lösenord till applikation Mikromarc Risk hanterad Låg Verifiera förutsättningar för extern parts tjänst på LUL:s nätverk 14
15 3.6 Sammanfattning Internt penetrationstest Baserat på genomförda tester framstår LULs interna nätverk som tillräckligt skyddat mot interna hot som exempelvis missnöjda anställda eller skadlig programvara. Kritiska servrar, tjänster och information verkar vara tillräckligt säkrade mot tillgång och manipulation. Enskilda mindre kritiska servrar och klienter har visat sig vara sårbara och det har varit möjligt att uppnå administrativa rättigheter på flera av dessa. De största riskerna idag är utdaterad programvara och operativsystem på en del interna servrar och klienter, användandet av osäkrade tjänster och användandet av lokala standard- eller svaga lösenord. Nr. Prioritet/Status 2015 Prioritet/Status 2011 Rekommendation Medium Hög Komplettera uppdateringsrutiner för interna servrar Medium Hög Komplettera uppdateringsrutiner för interna klienter Medium Medium Ersätt installationer av utgångna operativsystem C1 Medium - Begränsa tillgången till SNMP C2 Medium - Ändra lösenord på web-gränssnitt mot övervakningskameror C3 Medium - Avaktivera konfigurationsporten och ändra på Lantronix-enheter Låg Medium Fastställ och applicera komplexitets-krav på lösenord Låg Låg Utöka filtreringen i nätverket C4 Låg - Begränsa tillgång till NetBIOS C5 Låg - Genomföra regelmässig periodisk genomgång av användare och tillgångar. C6 Låg - Hindra enumerering av Oracle databas. C7 Låg - Ändra lösenord på SSH-tjänster C8 Låg - Begränsa möjligheten till att koppla främmande utrustning till nätverket C9 Låg - Maskinnamn indikerar tjänster C10 Låg - Begränsa tillgång till FTP-servrar Risk hanterad Hög Efterlev eller etablera krav på lösenord i databaser Risk hanterad Medium Inför utelåsning i UAS-domänen Risk hanterad Låg Avaktivera lagring av lösenord i LanMan-format 15
16 1. Förklaring till symboler Symbolen indikerar vår uppfattning av situationen vid genomförandet av projektet. Utvärderingarna är baserade på kartläggning, observationer och testning gjort i samband med projektgenomförandet, och ger inte någon total konklusion, men hellre en indikation på status på säkerhetsarbetet. Det kan därför vara förhållanden som inte är värderade och som hade kunnat medföra andra konklusioner. Utvärderingar Kvaliteten måste förbättras omgående Möter inte minsta rekommendation till bästa praxis. Kritiska risker eller väsentliga svagheter är inte hanterade på ett tillfredsställande sätt. Väsentliga ekonomiska, regulativa eller anseendemässiga förluster kan inträffa. Åtgärder måste initieras omedelbart Kvaliteten måste förbättras Möter inte alla rekommendationer till bästa praxis. Väsentliga risker eller svagheter är inte hanterade på ett tillfredsställande sätt. Väsentliga förluster kan inträffa. Åtgärder måste initieras så snart som möjligt. Kvaliteten bör förbättras Möter inte alla rekommendationer till bästa praxis. Enskilda risker är inte hanterade på ett tillfredsställande sätt. Förluster kan inträffa. Åtgärder bör initieras. Kvaliteten kan förbättras Möter de flesta rekommendationer till bästa praxis. Det är inte avtäckt väsentliga risker som inte är hanterade på ett tillfredsställande sätt. Förluster kan ändå inträffa, och det vill vara områden som kan förbättras. Kvaliteten är tillfredsställande Möter de allra flesta rekommendationer till bästa praxis. Det är inte avtäckt väsentliga risker som inte är hanterade på ett tillfredsställande sätt. Förluster kan ändå inträffa, och det vill vara områden som kan förbättras. Rekommendationer Hög Medium Låg Risk hanterad Rapport - Landstinget i Uppsala län Hög prioritet Anger en kritisk risk eller ett lagstadgat krav som inte är hanterat på ett tillfredsställande sätt. Det måste initieras åtgärder snarast. Medium prioritet Anger en risk som inte är hanterat på ett fullt ut tillfredsställande sätt. Åtgärder bör initieras så snart som möjligt. Låg prioritet Anger en risk som inte är hanterad på en fullt ut tillfredsställande sätt, men där risken inte värderas att ha stor betydelse. Åtgärder bör initieras. Informativ Risk avtäckt under tidigare testning som nu är hanterad. 16
17
Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)
Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning
Läs merIT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning
Läs merIT-säkerhet Externt och internt intrångstest
Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och
Läs merIT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert
Läs merIT-säkerhet Externt och internt intrångstest
Revisionsrapport IT-säkerhet Externt och internt intrångstest Tierps kommun Älvkarleby kommun Kerem Kocaer Juni 2014 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt...
Läs merBilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag
Förfrågningsunderlag stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav
Läs merIT-säkerhet Externt intrångstest Mjölby kommun April 2016
www.pwc.com/se IT-säkerhet Externt intrångstest Mjölby kommun April 2016 Revisionsfråga Granskningen syftar till att identifiera sårbarheter i kommunens externa nätverk genom tekniska tester. För att uppnå
Läs merGranskning av IT-säkerhet - svar
Missiv 1(1) Kommunstyrelsens förvaltning Datum Diarienummer 2016-09-28 KS/2016:222 Handläggare Carina Åsman Tfn 0142-853 73 Kommunstyrelsen Granskning av IT-säkerhet - svar Bakgrund Revisionen har genom
Läs merÖvergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun
Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.
Läs merIT-säkerhet Internt intrångstest
Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...
Läs merChecklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC
Checklista Identitetshanteringssystem för SWAMID 2.0 Utarbetad tillsammans med SUNET CERT och SUSEC Bakgrund För att upprätta förtroende i en federation krävs inte bara att identitetsutdelningsprocessen
Läs merCyber security Intrångsgranskning. Danderyds kommun
Revisionsrapport Niklas Ljung Ronald Binnerstedt Augusti 2017 Cyber security Intrångsgranskning Danderyds kommun Sammafattande slutsatser med revisionella bedömningar Revisorerna har i sin riskanalys för
Läs merUppföljningsrapport IT-generella kontroller 2015
Revisionsrapport Uppföljningsrapport IT-generella kontroller 2015 Uppsala kommun Gustaf Gambe Frida Ilander 15 september 2015 1 av 17 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning...
Läs merSollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017
Sollentuna kommun Generella IT kontroller Visma Affärslösningar Detaljerade observationer och rekommendationer November 2017 Fredrik Dreimanis Johan Jelbring Jesper Östling Innehållsförteckning Sammanfattning
Läs merÖvergripande granskning av ITverksamheten
Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads
Läs merTyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017
Tyresö kommun Generella IT kontroller Economa och Heroma Detaljerade observationer och rekommendationer Juni 2017 Fredrik Dreimanis Johan Jelbring Tina Emami Innehållsförteckning Sammanfattning av granskningen...
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.
Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice
Läs merRegion Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017
Region Gotland Generella IT kontroller Visma och HR Plus Detaljerade observationer och rekommendationer Februari 2017 Fredrik Dreimanis Jonas Leander Innehållsförteckning Sammanfattning av granskningen...
Läs merSURFTOWNS SÄKERHETSMILJÖ. Databehandlingsavtal - Bilaga 1
SURFTOWNS SÄKERHETSMILJÖ Databehandlingsavtal - Bilaga 1 Innehållsförteckning Fysisk säkerhet... 2 Loggning... 2 Sårbarhetshantering... 2 Övervakning... 2 Backup... 3 Kryptering... 3 Underleverantörer...
Läs merUppföljningsrapport IT-revision 2013
Revisionsrapport Uppföljningsrapport IT-revision 2013 Solna Stad Raindance Fredrik Dreimanis November 2013 1 av 10 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning... 5
Läs merRevisionsrapport. IT-revision Solna Stad ecompanion
Revisionsrapport IT-revision 2013 Solna Stad ecompanion Fredrik Dreimanis November 2013 Innehållsförteckning Inledning... 3 Avgränsning.3 Granskningens omfattning... 4 Sammanfattning... 5 Observationer
Läs merFörklarande text till revisionsrapport Sid 1 (5)
Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,
Läs merNORDISKT SAMARBETE OM INFORMATIONSSÄKERHET I KOMMUNER, LANDSTING OCH REGIONER
NORDISKT SAMARBETE OM INFORMATIONSSÄKERHET I KOMMUNER, LANDSTING OCH REGIONER PROMEMORIA OM INFORMATIONSSÄKERHET OCH DIGITALISERING 2015 2008 2015 Promemorian är utarbetad för: Augusti 2015 INLEDNING Digitalisering
Läs merLokala regler och anvisningar för intern kontroll
Kulturförvaltningen TJÄNSTEUTLÅTANDE Diarienummer: Avdelningen för verksamhets- och ledningsstöd 2019-03-27 KN 2019/364 Handläggare: Harald Lindkvist Lokala regler och anvisningar för intern kontroll Ärendebeskrivning
Läs merRegion Skåne Granskning av IT-kontroller
Region Skåne Granskning av IT-kontroller Per Stomberg Niklas Westerlund Deloitte AB Januari 2016 2 Innehållsförteckning 1. Sammanfattning... 3 2. Inledning... 4 2.1 Bakgrund och syfte... 4 2.2 Revisionskriterier...
Läs merBotkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.
Botkyrka Kommun Revisionsrapport Generella IT kontroller Aditro och HRM Detaljerade observationer och rekommendationer Oktober 2015 Anders Hägg Fredrik Dreimanis Anna Lång Thomas Bauer Innehållsförteckning
Läs merVäxjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:
www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet avseende externt och internt dataintrång Informationssäkerhetsspecialister: Viktor Bergvall Linus Owman Certifierad kommunal revisor: Lena
Läs merIT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group
IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf
Läs merNORDISKT SAMARBETE OM INFORMATIONSSÄKERHET I KOMMUNER, REGIONER OCH LANDSTING
NORDISKT SAMARBETE OM INFORMATIONSSÄKERHET I KOMMUNER, REGIONER OCH LANDSTING PROMEMORIA OM INFORMATIONSSÄKERHET OCH DIGITALISERING OCH REGIONER 2015 2008 2015 Promemorian är utarbetad för: Augusti 2015
Läs merHåbo kommuns förtroendevalda revisorer
www.pwc.se Revisionsrapport Granskning av intrångsskydd Niklas Ljung Mattias Gröndahl Håbo kommuns förtroendevalda revisorer April/2018 Innehåll Sammanfattning... 2 1. Inledning... 4 1.1. Granskningsbakgrund...
Läs merVi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter
Vi skyddar din information Vårt informationssäkerhetsarbete och skydd av personuppgifter Vår informationssäkerhetsstrategi Capios förmåga att erbjuda sjukvård av högsta kvalitet stöds av vår strategi för
Läs merJämtlands Gymnasieförbund
Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.
Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen
Läs merRiktlinjer för IT-säkerhet i Halmstads kommun
Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4
Läs merDatum 2014-04-11. Kommunrevisionen: Granskning av generalla IT-kontroller 2013
ta,xj -Zoty-OG-I^ Uppsala "KOMMUN A retat. 4-5 KONTORET FÖR BARN, UNGDOM OCH ARBETSMARKNAD Handläggare Wicks Elaine Datum 2014-04-11 Diarienummer BUN-2014-0631 Barn och ungdomsnämnden Kommunrevisionen:
Läs merHantering av IT-risker
Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning
Läs merMetodstöd 2
Granska www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen måste alltid
Läs merPolicy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1
DIARIENUMMER: KS 47/2018 FASTSTÄLLD: 2018-04-10 VERSION: 1 SENAS T REVIDERAD: GILTIG TILL: DOKUMENTANSVAR: Tills vidare Fullmäktige Policy Policy för informationssäkerhet och personuppgiftshantering i
Läs merBilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen
stockholm.se Stadsledningskontoret It-avdelningen Ragnar Östbergs Plan 1 105 35 Stockholm Växel 08-508 29 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete 3 2.1 Allmänt 3 2.2 Ledningssystem
Läs merGranskning av säkerheten i mobila enheter. Internrevisionsrapport
Dnr UFV 2017/0270 Granskning av säkerheten i mobila enheter srapport Fastställd av Konsistoriet 2017-04-26 Innehållsförteckning Inledning och bakgrund 3 Syfte och avgränsningar 3 Omfattning och metod 3
Läs merRiktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern
Riktlinje Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern Beslutat av Norrköping Rådhus AB den 11 februari 2015 Enligt Kommunallagen (6 Kap 7 ) ska nämnder och
Läs merFÖRHINDRA DATORINTRÅNG!
FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser
Läs merGranskning av räddningstjänstens ITverksamhet
www.pwc.se Granskning av räddningstjänstens ITverksamhet Författare: Niklas Ljung, projektledare Ida Ek, utredare Södertörns Brandförsvarsförbund December 2017 1. Bakgrund och syfte Bakgrund och syfte
Läs merGöteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök
Göteborgs universitet 2007-06-26 Intern miljörevision Exempel på frågor vid platsbesök Nedan finns exempel på frågor som kan ställas vid platsbesök inom den interna miljörevisionen. Ytterligare följdfrågor
Läs merInga krav utöver ISO 14001
Förordning (2009:907) om miljöledning i statliga myndigheter Relaterat till motsvarande krav i ISO 14001 och EMAS De krav som ställs på miljöledningssystem enligt EMAS utgår från kraven i ISO 14001. Dessutom
Läs merLedningssystem för Informationssäkerhet
Dnr 2017/651 Ledningssystem för Informationssäkerhet Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställd av Säkerhetschefen 2016-04-26 Innehåll 1 Inledning... 3 2 Organisationens förutsättningar...
Läs merBilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet
Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll
Läs merFinansinspektionens författningssamling
Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;
Läs merSamma krav gäller som för ISO 14001
Förordning (2009:907) om miljöledning i statliga myndigheter Relaterat till motsvarande krav i ISO 14001 och EMAS De krav som ställs på miljöledningssystem enligt EMAS är samma som ingår i ISO 14001. Dessutom
Läs merSÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN
1 Kommunstyrelsen SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN Syfte med säkerhetsarbetet Syftet med säkerhetsarbetet är att: Verka för en säker och trygg kommun genom att förebygga och hantera förluster, störningar
Läs merBilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A
2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen
Läs merMjölby Kommun PROTOKOLLSUTDRAG. 123 Dnr KS/2016:222, KS/2019:73. Uppföljning av granskning avseende IT-säkerhet svar till KF
Mjölby Kommun PROTOKOLLSUTDRAG Sammanträdesdatum Kommunstyrelsen 2019-05-08 1 (2) Sida 123 Dnr KS/2016:222, KS/2019:73 Uppföljning av granskning avseende IT-säkerhet 2017 - svar till KF Bakgrund PwC utförde
Läs merPROTOKOLLSUTDRAG 95 KS/2016:222, KS/2019:73. IT-säkerhet svar på revisionens uppföljande granskningsrapport
Mjölby Kommun PROTOKOLLSUTDRAG Sammanträdesdatum Arbetsutskott 2019-04-29 1 (1) Sida 95 KS/2016:222, KS/2019:73 IT-säkerhet 2017 - svar på revisionens uppföljande granskningsrapport Bakgrund PwC utförde
Läs merInformationssäkerhet
Informationssäkerhet trender och utmaningar Rätt Säkerhet 2013 Tobias Hermansson och Sara Löfving Vår globala informationssäkerhetsundersökning För 15:e året i följd har Ernst & Youngs genomfört sin globala
Läs merSäkra trådlösa nät - praktiska råd och erfarenheter
Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret
Läs merSäkerställa en väl fungerande verksamhet inom kommunen med så få störningar och
Verka för en säker och trygg kommun genom att förebygga och hantera förluster, störningar och skador. Genom en god planering ska kommunen förhindra eller minimera negativa konsekvenser för människor, verksamhet,
Läs merIntern kontroll och riskbedömningar. Strömsunds kommun
www.pwc.se Revisionsrapport Intern kontroll och riskbedömningar Anneth Nyqvist Mars 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte och Revisionsfråga... 3 1.3. Kontrollmål
Läs merBilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet
Bilaga 3 Säkerhet Säkerhet samt transmission -C 2 (7) Innehåll 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 6 3 (7) 1 Allmänt Borderlight har styrdokument
Läs merRevisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.
Kommunens revisorer 2013-04-08 GRANSKNING AV INTERNKONTROLLPLANER I HÄRRYDA KOMMUN Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Rapporten
Läs merSammanträdesdatum Arbetsutskott (1) 28 Dnr KS/2016:389. Slutredovisningen av internkontroll 2017, KSF
Mjölby Kommun PROTOKOLLSUTDRAG Sammanträdesdatum Arbetsutskott 2018-02-07 1 (1) Sida 28 Dnr KS/2016:389 Slutredovisningen av internkontroll 2017, KSF Bakgrund Mjölby kommun upprättar årligen olika former
Läs merRiktlinjer för internkontroll i Kalix kommun
Riktlinjer för internkontroll i Kalix kommun Antaget av kommunfullmäktige 2012-11-26--27, 182 Innehållsförteckning Riktlinjer för internkontroll i Kalix kommun...1 Inledning...1 Internkontroll...1 Organisation
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.
Revisionsrapport Kungl. Musikhögskolan i Stockholm Box 27711 115 91 Stockholm Datum Dnr 2011-03-08 32-2010-0733 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan
Läs merVGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT
Koncernkontoret Enhet säkerhet Dokumenttyp VGR-riktlinje Dokumentansvarig Valter Lindström Beslutad av Valter Lindström, koncernsäkerhetschef Övergripande dokument Riktlinjer för informationssäkerhet Kontaktperson
Läs merGislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:
www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet angående externt och internt dataintrång Informationssäkerhetsspecialister: Pernilla Nordström Viktor Bergvall Victor Svensson Kommunalrevisor:
Läs merLedningssystem för Informationssäkerhet
Dnr 2017/651 Ledningssystem för Informationssäkerhet Riktlinjer för säkerhetsarbetet vid Uppsala universitet Innehåll 1 Inledning... 3 2 Organisationens förutsättningar... 4 3 Ledarskap... 5 4 Planering...
Läs merGranskning av intern IT - säkerhet. Juni 2017
Landskrona stad Granskning av intern IT - säkerhet Juni 2017 Bakgrund och syfte 2 Bakgrund och syfte Av kommunallagen och god revisionssed följer att revisorerna årligen ska granska styrelser, nämnder
Läs merRevisionsrapport. Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat. Ljusdals kommun
www.pwc.se Revisionsrapport Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat Göran Persson-Lingman Certifierad kommunal revisor Hanna Franck Larsson Certifierad
Läs merFinansinspektionens författningssamling
Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;
Läs merIT-säkerhetspolicy för Landstinget Sörmland
Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens
Läs merChecklista för utvärdering av miljöledningssystem enligt ISO 14001:2004
Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 I checklistan gäller det att instämma med de påståenden som anges i listan för att vara säker på att verksamhetens miljöledningssystem
Läs merFinansinspektionens författningssamling
Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts
Läs merBengt Sebring OKTOBER 2000 Ordförande GRANSKNINGSRAPPORT 3 Sida: 1
ÅSTORPS KOMMUN GRANSKNING AV IT-SÄKERHET 2000 Bengt Sebring Ordförande GRANSKNINGSRAPPORT 3 Sida: 1 Innehållsförteckning Sammanfattning....... 3 1. Inledning....... 4 1.1 Syfte med revisionen...... 4 1.2
Läs merSystem för intern kontroll Hässelby-Vällingby stadsdelsförvaltning
System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning stockholm.se Augusti 2017 Dnr: 1.2.1-264-2017 Kontaktperson: Per Lindberg 3 (11) Innehåll Inledning... 4 Kontrollsystemet... 5 Ansvarsfördelning...
Läs merPolicy för internkontroll för Stockholms läns landsting och bolag
Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag 2 (6) Innehållsförteckning Policy för internkontroll... 1 för Stockholms
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.
Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan
Läs merIT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda
IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk
Läs merGranskning av applikationenn Basware oktober 2012*
Granskning av applikationenn Basware 2012 22 oktober 2012* 1. Granskningens omfattning PwC har på uppdrag av revisionskontoret (Kjell Johansson) genomfört en granskning av applikationen Basware. Syftet
Läs merGRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret
GRANSKNINGS Uppföljning IT-granskningar Projektledare: Lotta Onsö Beslutad av revisorskollegiet 2013-06-12 RAPP Uppföljning IT-granskningar Postadress: Stadshuset, 205 80 Malmö Besöksadress: August Palms
Läs merInformationssäkerhetspolicy för Umeå universitet
Sid 1 (7) Informationssäkerhetspolicy för Umeå universitet Sid 2 (7) Inledning Denna policy utgör grunden i universitetets ledningssystem för informationssäkerhet (LIS) och beskriver Umeå universitets
Läs merDNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen
TJÄNSTESKRIVELSE Datum DNR: KS2016/918/01 2018-03-07 1 (1) Kommunstyrelsen Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Förslag till beslut Förslaget till Informationssäkerhetspolicy för
Läs merINFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2
INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2
Läs merPolicy för informations- säkerhet och personuppgiftshantering
Policy för informations- säkerhet och personuppgiftshantering i Vårgårda kommun Beslutat av: Kommunfullmäktige för beslut: 208-04- För revidering ansvarar: Kommunfullmäktige Ansvarig verksamhet: Strategisk
Läs merReglemente för internkontroll
Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll
Läs merTOMELILLA KOMMUN KOMMUNAL FÖRFATTNINGSSAMLING Nr B 17:1
TOMELILLA KOMMUN KOMMUNAL FÖRFATTNINGSSAMLING Nr B 17:1 Kf 6/2017 Dnr Ks 2016/319 Reglemente för intern kontroll Antagen av kommunfullmäktige 6 februari 2017, Kf 6. Gäller från datum: 1 mars 2017. Dokumentansvarig
Läs merGranskning intern kontroll
Revisionsrapport Granskning intern kontroll Kinda kommun Karin Jäderbrink Cert. kommunal revisor Innehållsförteckning 1 Sammanfattande bedömning 1 2 Bakgrund 2 2.1 Uppdrag och revisionsfråga 2 2.2 Avgränsning
Läs merSäkerhet och förtroende
Säkerhet och förtroende Boardeaser AB 2018-05-07 Boardeaser är en molntjänst för styrelsearbete, en organisations mest känsliga data. Boardeaser är en mycket säker plattform för styrelsearbete, många gånger
Läs merVem tar ansvar för Sveriges informationssäkerhet?
Vem tar ansvar för Sveriges informationssäkerhet? 6 åtgärder för förbättrad informationssäkerhet Sälen 2008-01-14 Vem har ansvaret vid en storskalig it-attack? Vem skulle vara ansvarig om Sverige utsattes
Läs merRevisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018
SKATTEVERKET 171 94 SOLNA Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018 Som en del av arbetet med att granska Skatteverkets årsredovisning 2018 har
Läs merInformationssäkerhetspolicy för Katrineholms kommun
Styrdokument Informationssäkerhetspolicy för Katrineholms kommun Senast reviderad av kommunfullmäktige, 203 2 (10) Beslutshistorik Gäller från 2013-09-16 2015-12-31 2010-08-18 Revision enligt beslut av
Läs merSTYRKAN I ENKELHETEN. Business Suite
STYRKAN I ENKELHETEN Business Suite HOTET ÄR VERKLIGT Onlinehot mot ditt företag är verkliga, oavsett vad du gör. Om du har data eller pengar är du ett mål. Säkerhetstillbuden ökar drastiskt varje dag
Läs merRiktlinjer för intern kontroll
Riktlinjer för intern kontroll KS 2018-12-05 161 Dokumenttyp Riktlinjer Gäller för Samtliga förvaltningar i Bjuvs kommun Version 2 Giltighetsperiod Tillsvidare Dokumentägare Kommunchef Beslutat/antaget
Läs merRevisionsrapport: Informationssäkerheten i den tekniska miljön
1(11) Styrelse och rektor Revisionsrapport: Informationssäkerheten i den tekniska miljön SAMMANFATTNING Internrevisionen (IR) har granskat och lämnar förslag till förbättringar inom området för den tekniska
Läs merEmil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014
Emil Forsling Auktoriserad revisor Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014 Innehållsförteckning 1. Inledning... 3 1.1 Uppdrag och revisionsfråga... 3 1.2
Läs merRiktlinjer för säkerhetsarbetet vid Uppsala universitet
Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3
Läs merRevisionsrapport Intern kontroll inom Landstinget Dalarna
Revisionsrapport Intern kontroll inom Landstinget Dalarna Emil Forsling Auktoriserad revisor Malin Liljeblad Godkänd revisor Innehållsförteckning 1. Inledning... 3 1.1 Uppdrag och revisionsfråga... 3 1.2
Läs merProcessinriktning i ISO 9001:2015
Processinriktning i ISO 9001:2015 Syftet med detta dokument Syftet med detta dokument är att förklara processinriktning i ISO 9001:2015. Processinriktning kan tillämpas på alla organisationer och alla
Läs merPolicy för Essunga kommuns internkontroll
Policy för Essunga kommuns internkontroll Dokumenttyp Fastställd Detta dokument gäller för Policy 2017-02-20, 6 av Kommunfullmäktige Samtliga nämnder, bolag och stiftelser Giltighetstid 2017-02-21 2021-12-31
Läs merRevisionsrapport Granskning av intrångsskydd Sandvikens kommun Niklas Ljung Mattias Gröndahl
www.pwc.se Revisionsrapport Granskning av intrångsskydd Niklas Ljung Mattias Gröndahl December 2017 Innehållsförteckning Sammanfattning... 2 1. Inledning... 4 1.1. Granskningsbakgrund... 4 1.2. Revisionsfråga...
Läs merNågra myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG
Underlag 1. Några myndigheters rapportering om informationssäkerhet i årsredovisningen Årsredovisningar år 2009 Läkemedelsverket Ledningssystemet för informationssäkerhet SS-ISO/IEC 27001:2006 är under
Läs merReglemente för intern kontroll
KOMMUNAL FÖRFATTNINGSSAMLING 2015:6-042 Reglemente för intern kontroll Antagen av kommunfullmäktige 2015-08-27 102 1 Reglemente för intern kontroll Syfte med reglementet 1 Syfte Detta reglemente syftar
Läs mer