IT-verksamheten - en uppföljning av tidigare granskning
|
|
- Alexandra Margareta Abrahamsson
- för 8 år sedan
- Visningar:
Transkript
1 Revisionsrapport Quentin Authelet Joakim Hermansson IT-verksamheten - en uppföljning av tidigare granskning Region Gotland
2 IT-verksamheten - en uppföljning av tidigare granskning Carin Hultgren Uppdragsledare/projektledare Region Gotland
3 Innehållsförteckning Sammanfattning och bedömning 1. Inledning Revisionsfråga Metod och avgränsning Granskningsresultat Avsaknad av kontinuitetsplan för Hälso- och Sjukvårdsförvaltningen Avsaknad av dokumenterad rollbeskrivning för PUL-ombud inom Hälso- och Sjukvårdsförvaltningen Avsaknad av en dokumenterad instruktion för hur medarbetare inom Hälso- och Sjukvårdsförvaltningen utbildas inom PUL-området Systemförvaltarna för TakeCare bör försäkra sig om vilken behörighet SLL-IT har och om den är i enlighet med de krav som region Gotland ställer Förvaltarna för TakeCare bör säkerställa att regelbundna behörighetskontroller utförs för systemet Avsaknad av dokumenterad riskanalys i samband med tilldelning av systembehörighet till TakeCare Systemförvaltarna för TakeCare bör skaffa sig tydligare information om SLL-IT:s rutiner för återläsning av säkerhetskopior Behörigheter till Procapita bör tilldelas på individ- eller rollnivå och inte på avdelningsnivå Bristande dokumentation i form av policys och riktlinjer främst för behörighet och åtkomst i Procapita Uppföljning avseende dokumenterade rutiner för säkerhetskopiering och återläsningstester... 7
4 Sammanfattning och bedömning På uppdrag av de förtroendevalda revisorerna i Region Gotland har genomfört en granskning av IT-verksamheten. Granskningen syftar till att bedöma om den interna kontrollen är tillräcklig avseende säkerhet och åtkomst av information. År 2013 utfördes en sådan granskning d.v.s. Regionstyrelsens interna kontroll vad gäller säkerhet och åtkomst till information i regionens system. Ett antal rekommendationer lämnades i samband med den utförda granskningen. Föreliggande granskning är en uppföljning av granskningen från Efter genomförd granskning är vår bedömning att Regionstyrelsens interna kontroll inte är helt tillräcklig vad gäller säkerhet och åtkomst till information i de granskade IT-systemen. Bedömningen bygger på att det fortfarande kvarstår ett antal brister som inte åtgärdats. Dessa är dock s.k. låg- och medelriskobservationer och värt att notera är att vi inte gjort några s.k. högriskobservationer. Nedan följer en sammanställning av våra mest väsentliga iakttagelser. 1. Avsaknad av dokumenterad rollbeskrivning för PUL-ombud inom Hälso- och Sjukvårdsförvaltningen Avsaknad av en dokumenterad rollbeskrivning för PUL-ombud med tydligt definierat ansvarsområde och rapporteringsvägar kan innebära en risk för att verksamheten inte följer riktlinjer för PUL. Vidare är det av vikt att incidenter inom området kommuniceras till ledande personer inom verksamheten via tydliga rapporteringsvägar. 2. Avsaknad av en dokumenterad instruktion till hur medarbetare inom Hälso- och Sjukvårdsförvaltningen utbildas inom PUL-området Avsaknad av en dokumenterad instruktion för hur medarbetare kontinuerligt utbildas inom PUL-området samt övervakning att instruktionen efterlevs, kan innebära en risk för att medarbetare inom Hälso- och Sjukvårdsförvaltningen inte följer regelverk för PUL-området i det dagliga arbetet. 3. Systemförvaltarna för TakeCare bör försäkra sig om vilken behörighet SLL-IT har och om den är i enlighet med de krav som Region Gotland ställer Avsaknad av en rutin för aktiv övervakning av transaktioner/aktiviteter utförda av användarkonton som innehas av SSL-IT kan medföra en risk för att icke godkända aktiviteter som utförs i systemet inte upptäcks. Kompenserande faktor i samband med iakttagelsen är att systembehörig-heter kopplade till användarkonton inte medger åtkomst till konfidentiell information. Privilegierade användarkonton som delas av flera personer medför en risk för att det inte är möjligt att spåra en viss utförd systemaktivitet till en viss fysisk person. 4. Förvaltarna för TakeCare bör säkerställa att regelbundna behörighetskontroller utförs för systemet Avsaknad av en rutin för periodvis granskning och godkännande av systembehörigheter kan medföra en risk för att obehöriga personer har tillgång till kritiska systemfunktioner och känslig data.
5 5. Uppföljning avseende dokumenterade rutiner för säkerhetskopiering och återläsningstester Styrande dokument avseende kontinuitetshantering bör definiera mål för säkerhetskopiering och återläsning för väsentliga system, så som maximalt tolererbara driftavbrott (MTO), återläsningstid (RTO) och återläsningspunkt (RPO), baserad på klassificering. Att inte definiera återläsning av säkerhets-kopieringsmål och följa upp om dess efterlevnad kan medföra en risk för att en verksamhet exponeras för dataförlust. Detta kan få operativa konsekvenser på en verksamhet där verksamhetskritisk information permanent går förlorad.
6 1. Inledning Den offentliga sektorn blir likt den privata sektorn allt mer beroende av sina informationssystem. Nya tekniker utgör viktiga komponenter för fungerande och effektiva verksamhetsprocesser men introducerar även nya risker. Kommunikation med omvärlden ökar i omfattning och systemen blir mer integrerade såväl inom regionen som med externa intressenter. Detta ställer krav på ett balanserat risktagande och ett funktionellt säkerhetsarbete. Informationen måste skyddas mot obehörig åtkomst samtidigt som den skall finnas tillgänglig och dessutom vara tillförlitlig rätt information i rätt tid och för rätt personer. En ändamålsenlig IT-verksamhet som baseras på grundläggande styrprinciper och en väl fungerande teknisk och funktionell plattform är en viktig förutsättning för en effektiv verksamhet. År 2013 utfördes en granskning avseende regionstyrelsens interna kontroll vad gäller säkerhet och åtkomst till information i regionens system. Ett antal rekommendationer lämnades till Region Gotland i samband med den utförda granskningen. Denna granskning inkluderar uppföljning på de tidigare rekommenderade åtgärderna Revisionsfråga Är regionstyrelsens interna kontroll tillräcklig vad gäller säkerhet och åtkomst till information i de granskade IT-systemen? Granskningsmål Granskningens syfte är att utvärdera om avvikelser identifierade 2013 är åtgärdade och att ursprungliga granskningsmål uppfylls. Följande avvikelser noterades 2013: Område Övergripande säkerhetsstyrning Övergripande säkerhetsstyrning Övergripande säkerhetsstyrning Behörigheter och åtkomst Behörigheter för och åtkomst Behörigheter och åtkomst Behörigheter och åtkomst Rekommendation Hälso- och Sjukvårdsförvaltningen bör ta fram en kontinuitetsplan för sin verksamhet. Rollen som PUL-ombud inom Hälso- och Sjukvårdsförvaltningen bör tydliggöras för den som innehar rollen. Medarbetarna inom Hälso- och Sjukvårdsförvaltningen bör informeras om vad PUL innebär och hur deras arbete påverkas. Systemförvaltarna bör försäkra sig om vilken behörighet SLL-IT har och om den är i enlighet med de krav som region Gotland ställer. Vi anser att förvaltarna för TakeCare bör säkerställa att regelbundna behörighets-kontroller utförs för systemet. Vi bedömer att en riskanalys för att bestämma behörighetsnivåer till TakeCare bör genomföras mer formellt än idag. Såväl risk- som behovsanalys bör dokumenteras. Vi anser att systemförvaltarna för TakeCare bör skaffa sig tydligare information om SLL-IT:s rutiner för återläsning av säkerhetskopior. Region Gotland 1 av 7
7 Behörigheter och åtkomst Behörigheter och åtkomst Behörigheter och åtkomst Vi anser att behörigheter till Procapita bör tilldelas på individ- eller rollnivå och inte, som i dag, på avdelningsnivå. Vi anser även att behörigheter till Procapita bör beställas och dokumenteras i mer formell ordning än som idag, muntligen. Behörigheterna bör beställas elektroniskt eller manuellt med någon form av signering. Vi anser att rutiner för säkerhetskopiering och återläsningstest av information i TakeCare, Procapita och Treserva bör dokumenteras tydligare. Dokumentationen är i dagsläget antingen obefintlig eller ofullständig. Genom en uppföljning av den förra revisionsrapporten utgår granskningen med fokus på följande kriterier: System och applikationer uppfyller Region Gotlands säkerhetskrav och lagkrav, bland annat PUL Åtkomst till information följer gällande riktlinjer Hanteringen av behörigheter är tillfredsställande gällande de granskade förvaltningarna 1.2. Metod och avgränsning Granskningen innefattar en kartläggning av förändringar avseende system, applikationer och IT-miljö i jämförelse med Även insamling av styrdokument, så som policys, riktlinjer och instruktioner, har gjorts för att granskas och utgör underlag för bedömningen. Under granskningen har intervjuer hållits med nyckelpersoner inom Region Gotland med inriktning mot IT-organisationen samt personer inom Hälso- och Sjukvårdsförvaltningen. Intervjuer har genomförts med följande personer: Bo Magnusson, Administrativ utvecklingsdirektör Hans Lyttkens, IT-strateg Jan Broman, IT-strateg Olof Nysten, Utvecklingsledare E-hälsa & systemansvarig för Treserva Monica Pedersén, Enhetschef Mika Lathi, Socialförvaltningen Åsa Högberg, Ekonomidirektör Johan Kallum, Säkerhetschef Ledningskontoret Anders Granvald, Avdelningschef IT-Tele Gunnar Ramstedt, Chefläkare och IT-strateg HSF Susanne Yttergren, Systemförvaltare Opus Curt Andersson, Systemförvaltare Opus Region Gotland 2 av 7
8 2. Granskningsresultat Nedan följer en sammanställning avseende utförd granskning av tidigare rapporterade iakttagelser och/eller brister Avsaknad av kontinuitetsplan för Hälsooch Sjukvårdsförvaltningen Den utförda granskningen har påvisat att det finns dokumenterade riktlinjer för hur kontinuitetsplaner ska struktureras för enheter inom Hälso- och Sjukvårdsavdelningen. Det har genom intervju noterats att varje vårdenhet har manuella rutiner för när systemet TakeCare är ur drift, och en kontinuitetsplan kallad katastrofplan finns för TakeCare och har mottagits av revisionen. Det pågår ett arbete hos ledningskontoret med att upprätta regionsövergripande styrande dokument för kontinuitetsplanering. Revisionen har tagit del av dokumentation som visar att ledningssystemet för informationssäkerhet (LIS) innehåller rutiner, exempel och mallar för följande områden: informationsklassning, riskanalys, kontinuitetsplanering, IT-säkerhet samt säkerhetsarkitektur. En del av syftet med upprättandet av LIS är att få en strukturerad kravställning och uppföljning av informationssäkerhet samt en strukturerad IT-/säkerhetsarkitektur. En iakttagelse är att ingen verksamhetsarkitektroll är tilldelad och detta bör finnas enligt säkerhetschef på Ledningskontoret samt en IT-strateg. Påverkan Inga direkta iakttagelser har noterats i samband med den utförda granskningen av kontrollfrågan, tidigare rapporterad avvikelse bedöms som åtgärdad Avsaknad av dokumenterad rollbeskrivning för PUL-ombud inom Hälso- och Sjukvårdsförvaltningen Iakttagelsen kvarstår, den utförda granskningen har påvisat att ansvarsområde i rollen som PUL-ombud inte är formellt dokumenterat i form av en rollbeskrivning. En rollbeskrivning bör innehålla ett tydligt definierat ansvarsområde med rapporteringsvägar till berörda intressenter inom Region Gotland. PUL-ombudet anser sig själv ha god kunskap om ansvarsområdet genom Datainspektionens beskrivning av rollen. Region Gotland upplyser tydligt om vem som innehar PUL-ombudsrollen samt hänvisar vidare till Datainspektionen för beskrivning av rollen via det lokala intranätet. Påverkan och rekommendation Avsaknad av en regionsspecifik rollbeskrivning för PUL-ombud med tydligt definierat ansvarsområde och rapporteringsvägar kan innebära en risk för att verksamheten inte följer PUL. Vidare är det av vikt att incidenter inom området kommuniceras till ledande personer inom verksamheten via tydliga rapporteringsvägar. Revisionen rekommenderar Region Gotland att ytterligare tydliggöra rollen som PULombud i form av en dokumenterad rollbeskrivning med tydligt definierat ansvarsområde och rapporteringsvägar. Region Gotland 3 av 7
9 2.3. Avsaknad av en dokumenterad instruktion för hur medarbetare inom Hälso- och Sjukvårdsförvaltningen utbildas inom PULområdet Den utförda granskningen har inte påvisat att det finns en dokumenterad instruktion för att löpande informera medarbetare om PUL-området. I nuläget hänvisas medarbetare till Datainspektionens policy via det lokala intranätet. Påverkan och rekommendation Avsaknad av en dokumenterad instruktion för hur medarbetare kontinuerligt utbildas inom PUL-området samt övervakning att instruktionen efterlevs kan innebära en risk för att medarbetare inom Hälso- och Sjukvårdsförvaltningen inte följer PUL i det dagliga arbetet. Revisionen rekommenderar PUL-ombudet att tydliggöra aktiviteter med syfte att kontinuerligt utbilda medarbetare om PUL. PUL-ombudet bör även vara ansvarig för instruktioner samt ansvara för att innehållet i instruktionerna efterlevs Systemförvaltarna för TakeCare bör försäkra sig om vilken behörighet SLL-IT har och om den är i enlighet med de krav som region Gotland ställer Den utförda granskningen har påvisat att SLL-IT innehar systembehörighet i TakeCare. Systembehörigheten medger ingen åtkomst till konfidentiell information eller åtkomst till funktioner för att utföra känsliga transaktioner. Användarkonton i systemet som innehas av SSL-IT delas av flera användare inom SSL-IT och är inte kopplade till en fysisk person. Slutligen finns det inga rutiner implementerade där systemägare aktivt övervakar aktiviteter utförda av användarkonton som innehas av SSL-IT. Påverkan och rekommendation Avsaknad av en rutin för aktiv övervakning av transaktioner/aktiviteter utförda av användarkonton som innehas av SSL-IT kan medföra en risk för att icke godkända aktiviteter utförs i systemet utan att dessa upptäcks. En kompenserande faktor i samband med iakttagelsen är att systembehörigheter kopplade till användarkonton inte medger åtkomst till konfidentiell information. Användarkonton som delas av flera personer medför en risk för att det inte är möjligt att spåra en viss utförd systemaktivitet till en viss fysisk person. Revisionen rekommenderar Region Gotland att implementera en rutin där systemägare identifierar kritiska användarkonton i TakeCare och löpande övervakar systemaktiviteter i form av loggövervakning för identifierade konton. Avvikelser ska rapporteras enligt vedertagen incidenthanteringsprocess. Slutligen rekommenderas att användarkonton för SSL-IT konfigureras ned på personnivå så att systemaktiviteter utförda av ett visst användarkonto är spårbara till en fysisk person. Region Gotland 4 av 7
10 2.5. Förvaltarna för TakeCare bör säkerställa att regelbundna behörighetskontroller utförs för systemet Den utförda granskningen har påvisat att det inte finns någon implementerad rutin för periodvis granskning och godkännande av systembehörigheter i TakeCare. En kompenserande faktor till iakttagelsen är att det finns en rutin implementerad i form av en loggkontroll, vilken syftar till att övervaka överträdelser enligt patientjournallagstiftningen. Granskningen har även identifierat att det pågår ett arbete med att identifiera förbättringsområden i behörighetsstrukturen utifrån ett risk- perspektiv. När analysen är utförd och dokumenterad ska rollstrukturen i TakeCare uppdateras enligt det framtagna regelverket. Det sker även en kompletterande åtgärd med att uppdatera behörighetslistorna, då det upptäcktes under granskningen att en hel del aktiva användare finns med trots att de borde ha avslutats. Påverkan och rekommendation Avsaknad av en rutin för periodvis granskning och godkännande av systembehörigheter kan medföra en risk för att obehöriga personer har tillgång till kritiska systemfunktioner och känslig data. Revisionen rekommenderar Region Gotland att implementera en rutin för periodvis granskning och godkännande av systembehörigheter i TakeCare. Rutinen syftar till att säkerställa att aktuella systembehörigheter i TakeCare stämmer överens med den anställdes roll i verksamheten. Granskningen bör utföras av systemägare eller motsvarande samt dokumenteras i form av ett bevis. När kontrollen har utförts rekommenderas det att avrapporteras till ledande person inom Region Gotland som är ansvarig för uppföljning, alternativt informationssäkerhet. Avvikelser i rapporteringen bör rapporteras som en incident för vidare uppföljning. Revisionen rekommenderar även systemansvariga till fortsatt arbete med borttagning av behörighetskonton då de ska vara avslutade Avsaknad av dokumenterad riskanalys i samband med tilldelning av systembehörighet till TakeCare Den utförda granskningen har påvisat att det finns en dokumenterad instruktion till hur riskanalys ska utföras i samband med tilldelning av systembehörigheter i TakeCare. Rutinen kommer att implementeras under Den dokumenterade instruktionen innehåller dock ingen information för hur den utförda riskanalysen ska dokumenteras samt hur övervakning av kontrollen ska utföras från systemägare eller annan ansvarig person. Påverkan och rekommendation Avsaknad av en utförd riskanalys i samband med tilldelning av systembehörigheter i TakeCare kan medföra att obehöriga personer får tillgång till konfidentiell information. Revisionen uppmuntrar HSF att slutföra arbetet med att upprätta en instruktion till hur riskanalys ska utföras i samband med tilldelning av systembehörighet i TakeCare. Den dokumenterade instruktionen bör tydliggöra hur den utförda analysen ska dokumenteras samt hur övervakning av kontrollen ska utföras. Avvikelser vid att inte utföra en riskanalys enligt den framtida instruktionen bör rapporteras som en incident för vidare uppföljning. Region Gotland 5 av 7
11 2.7. Systemförvaltarna för TakeCare bör skaffa sig tydligare information om SLL-IT:s rutiner för återläsning av säkerhetskopior Den utförda granskningen har påvisat att SLL-IT har dokumenterade rutiner och policys för säkerhetskopiering och återläsningstester. Dokumentationen har presenterats för IVO vid tidigare revision. Påverkan Inga direkta iakttagelser har noterats i samband med den utförda granskningen av kontrollfrågan, tidigare rapporterad avvikelse bedöms som åtgärdad Behörigheter till Procapita bör tilldelas på individ- eller rollnivå och inte på avdelningsnivå Den utförda granskningen har påvisat att behörigheter i Procapita tilldelas på rollnivå baserat på den anställdes roll i organisationen. En övergripande granskning av olika roller i systemet har påvisat att en viss användare i en viss roll har tillgång till olika systemfunktioner. En övergripande granskning av processen för administration av behörigheter tydliggör även att behörighetstilldelning sker på rollnivå inom olika avdelningar inom organisationen. Processen startar med att den anställde får ett IT-konto, när det är klart sker en beställning till supporten. I Procapita sker först en rolltilldelning beroende på vilken avdelning personen ska arbeta på. Denna tilldelning styr vilka komponenter användaren kommer åt och blir en standardbehörighet för samtliga inom avdelningen. Därefter sker tilldelning av behörigheter, vilket sker i ett organisationshandläggarregister. Påverkan Inga direkta iakttagelser har noterats i samband med den utförda granskningen av kontrollfrågan, tidigare rapporterad avvikelse bedöms som åtgärdad Bristande dokumentation i form av policys och riktlinjer främst för behörighet och åtkomst i Procapita Den utförda granskningen har påvisat att det finns en rutinbeskrivning samt tillhörande behörighetsblankett för ansökan om systembehörighet till Procapita. Tilldelning av systembehörigheter till Procapita ska ske genom blanketten och det visar vilken/vilka utförarområden den anställde ska ha tillgång till samt innehåller en textruta där utökad eller begränsad behörighet kan anges av beställaren. För att beställningen ska gå igenom finns det flera obligatoriska fält som inte kan lämnas tomma. Det är den anställdes närmsta chef som ska signera blanketten och detta kan göras digitalt genom att använda etjänstekort. Det noterades dock att beställning kan delegeras till assistent. Systemförvaltaren erhåller de ifyllda samt signerade blanketterna och skapar konton enligt beställningarna, sedan sker utskrift och lagring i pappersform. Blanketterna hamnar även i ett ärendehanteringssystem där de sparas för att möjliggöra elektronisk spårning. Det noterades att när ett konto är skapat för en användare måste den anställde utföra en utbildning i Procapita innan Region Gotland 6 av 7
12 användaruppgifter utdelas. Det utförs regelbundna loggkontroller i Procapita och riktlinjer för detta finns dokumenterade. Kontroll av behörighet att ta fram loggutdrag sker en gång i månaden då 15 slumpmässigt utvalda användare och deras användande, fördelat på tre dagar, kontrolleras. För inhyrd personal sker loggkontrollen en gång per vecka. Som andra regelbundna kontroller finns granskning av användande i CSN Online samt LEFI-online. Två gånger per år sker även kontroll av rätt användarbehörighet i Procapita. Påverkan Inga direkta iakttagelser har noterats i samband med den utförda granskningen av kontrollfrågan, tidigare rapporterad avvikelse bedöms som åtgärdad Uppföljning avseende dokumenterade rutiner för säkerhetskopiering och återläsningstester Den utförda granskningen har påvisat att det finns en policy samt rutinbeskrivning för backuphanering för Treserva samt Procapita. ITT ansvarar för säkerhetskopiering av produktionsdatabas för båda systemen, nuvarande rutiner för säkerhetskopiering inkluderar dock inte återläsningstester. Återläsningstester görs ändå informellt till en testmiljö i samband med att nya versioner av applikationerna lanseras eller på uppmaning av systemägare. Utfört återläsningstest dokumenteras inte. Det är Stockholms Läns Landsting (SLL-IT) som ansvarar för säkerhetskopiering samt återläsningstester av systemet TakeCare. Rutiner för säkerhetskopiering och återläsningstester gällande TakeCare är dokumenterade, se punkt 3.7 ovan för ytterligare detaljer. Påverkan och rekommendation Styrande dokument avseende kontinuitetshantering bör definiera mål för säkerhetskopiering och återläsning för väsentliga systemen, så som maximalt tolererbara driftavbrott (MTO), återläsningstid (RTO) och återläsningspunkt (RPO), baserad på klassificering. Att inte definiera återläsning av säkerhetskopieringsmål och följa upp om dess efterlevnad kan medföra en risk för att en verksamhet exponeras för dataförlust, vilket kan få operativa konsekvenser på en verksamhet där verksamhetskritisk information permanent går förlorad. Revisionen rekommenderar Ledningskontoret att ta fram en kontinuitetshanteringsprocess som definierar omfattning av säkerhetskopiering och återläsningstest, med syfte att säkerställa att verksamhetens krav i form av accepterad dataförlust efterlevs. Revisionen rekommenderar även Region Gotland att utvärdera behovet av en central rutin för övervakning av återläsning av säkerhetskopior. Bevis för återläsning av säkerhetskopior kan rapporteras till ansvarig person för IT- och informationssäkerhet inom Region Gotland. Avvikelser i rapporteringen bör rapporteras som en incident för vidare uppföljning. Region Gotland 7 av 7
Uppföljningsrapport IT-revision 2013
Revisionsrapport Uppföljningsrapport IT-revision 2013 Solna Stad Raindance Fredrik Dreimanis November 2013 1 av 10 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning... 5
Läs merIT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning
Läs merVäxjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:
www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet avseende externt och internt dataintrång Informationssäkerhetsspecialister: Viktor Bergvall Linus Owman Certifierad kommunal revisor: Lena
Läs merRegion Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017
Region Gotland Generella IT kontroller Visma och HR Plus Detaljerade observationer och rekommendationer Februari 2017 Fredrik Dreimanis Jonas Leander Innehållsförteckning Sammanfattning av granskningen...
Läs merIT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert
Läs merRevisionsrapport. IT-revision Solna Stad ecompanion
Revisionsrapport IT-revision 2013 Solna Stad ecompanion Fredrik Dreimanis November 2013 Innehållsförteckning Inledning... 3 Avgränsning.3 Granskningens omfattning... 4 Sammanfattning... 5 Observationer
Läs merUppföljningsrapport IT-generella kontroller 2015
Revisionsrapport Uppföljningsrapport IT-generella kontroller 2015 Uppsala kommun Gustaf Gambe Frida Ilander 15 september 2015 1 av 17 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning...
Läs merTyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017
Tyresö kommun Generella IT kontroller Economa och Heroma Detaljerade observationer och rekommendationer Juni 2017 Fredrik Dreimanis Johan Jelbring Tina Emami Innehållsförteckning Sammanfattning av granskningen...
Läs merGranskning av behörigheter till journalsystemet
Granskning av behörigheter till journalsystemet Rapport nr 18/2015 Februari 2016 Jonas Hansson, revisionskontoret Diarienummer: REV 61:2 2015 Innehåll 1. SAMMANFATTANDE ANALYS... 3 1.1. REKOMMENDATIONER...
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.
Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen
Läs merInternt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)
Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning
Läs merIT-säkerhet Internt intrångstest
Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...
Läs merIT-säkerhet Externt och internt intrångstest
Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och
Läs merIT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina
1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,
Läs merGranskning av generella IT-kontroller för PLSsystemet
F Ö R S V A R E T S M A T E R I E LV E R K (F M V ) 115 88 S T O C K HO LM Försvarets materielverk (FMV) Granskning av generella IT-kontroller för PLSsystemet vid Försvarets materielverk (FMV) Som ett
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.
Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice
Läs merSollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017
Sollentuna kommun Generella IT kontroller Visma Affärslösningar Detaljerade observationer och rekommendationer November 2017 Fredrik Dreimanis Johan Jelbring Jesper Östling Innehållsförteckning Sammanfattning
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.
Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan
Läs merRevision av den interna kontrollen kring uppbördssystemet REX
1 Revision av den interna kontrollen kring uppbördssystemet REX 1 Inledning Riksrevisionen har som ett led i den årliga revisionen 2012 av Kronofogdemyndigheten (KFM) granskat den interna kontrollen kring
Läs merGranskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem
Karin Norrman Elgh Översiktlig revisionsrapport Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem Vara kommun Anställningar och avslut i lönesystemet
Läs merInformationssäkerhetspolicy
Informationssäkerhetspolicy KS/2018:260 Ansvarig: Kanslichef Gäller från och med: 2018-07-19 Uppföljning / revidering ska senast ske: 2019-07-19 Beslutad av kommunfullmäktige 2018-06-20, 60 Innehållsförteckning
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.
Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010
Läs merLandskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.
www.pwc.se Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten Magnus Karmborg Viktor Bergvall Victor Svensson Lena Salomon December 2016 Granskning av IT-organisationen
Läs merRIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA
2014-03-14 1 (7) RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA Riktlinjen är ett komplement till den policy som finns kring it-säkerhet i Höganäs kommun. Riktlinjen beskriver hur ansvarsfördelningen
Läs merInformationssäkerhetspolicy KS/2018:260
Informationssäkerhetspolicy KS/2018:260 Innehållsförteckning Antagen av kommunfullmäktige den [månad_år] Informationssäkerhetspolicy...22 Ändringar införda till och med KF, [nr/år] Inledning och bakgrund...22
Läs merGranskning av generella IT-kontroller för ett urval system vid Skatteverket
SKATTEVERKET 171 94 SOLNA Granskning av generella IT-kontroller för ett urval system vid Skatteverket Som ett led i granskningen av årsredovisningen med syfte att göra uttalanden om denna har Riksrevisionen
Läs merSyfte... 2. Behörig. in... 3. Logga 1(6)
RUTIN: BEHÖRIGHETER OCH ÅTKOMST TILL IT-SYSTEM... 2 Syfte... 2 Ansvar... 2 Behörig och inte behörig... 2 Varbergs kommuns nät... 2 Lösenord... 3 Patientjournalsystem... 3 1. Behovs- och riskanalyser...
Läs merVästerås stad. Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning
Revisionsrapport 2016:5 Genomförd på uppdrag av Västerås stads revisorer 18 oktober 2016 Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning Västerås stad Innehållsförteckning 1
Läs merÖvergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun
Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.
Läs merDNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen
TJÄNSTESKRIVELSE Datum DNR: KS2016/918/01 2018-03-07 1 (1) Kommunstyrelsen Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Förslag till beslut Förslaget till Informationssäkerhetspolicy för
Läs merFörstudie: Övergripande granskning av ITdriften
Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...
Läs merGranskning av intern kontroll i kommunens huvudboksprocess
Revisionsrapport Granskning av intern kontroll i kommunens huvudboksprocess Marks kommun Andreas Crusell Erik Sellergren Augusti 2015 Innehållsförteckning 1. Introduktion... 1 1.1. Bakgrund och revisionsfråga...
Läs merTJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63
TJÄNSTESKRIVELSE 2019-01-14 Kommunstyrelsen Richard Buske Tf säkerhetschef Telefon 08 555 010 22 richard.buske@nykvarn.se informationssäkerhetspolicy KS/2019:63 Förvaltningens förslag till beslut Revidering
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.
Revisionsrapport Kungl. Musikhögskolan i Stockholm Box 27711 115 91 Stockholm Datum Dnr 2011-03-08 32-2010-0733 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan
Läs mer2012-12-12 Dnr 074-11-19
HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)
Läs merStyrning av behörigheter
Revisionsrapport Styrning av behörigheter i journalsystem Landstinget i Östergötland Janne Swenson Kerem Kocaer Jens Ryning Eva Andlert, cert. kommunal revisor Styrning av behörigheter i journalsystem
Läs merTillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen
Tillitsdeklarationen och revisionsprocessen Åsa Wikenståhl Efosdagen 2018-09-26 Agenda Intro Risk Revision LIS Tillitsdeklarationen På-platsen-revisionen Åtgärder och uppföljning Förbättringsarbetet Tillit
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet
Revisionsrapport Karolinska institutet 171 77 Stockholm Datum Dnr 2011-02-01 32-2010-0715 Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet 2010 Riksrevisionen
Läs merInformationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57
1 (5) Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige 2018-05-07, 57 Postadress Besöksadress Telefon Internet och fax Giro och org.nr Sunne kommun Verksamhetsstöd
Läs merInformationssäkerhetspolicy för Ånge kommun
INFORMATIONSSÄKERHETSPOLICY 1 (10) Informationssäkerhetspolicy för Ånge kommun Denna informationssäkerhetspolicy anger hur Ånge kommun arbetar med informationssäkerhet och uttrycker kommunens stöd för
Läs merGranskning av intern kontroll i lönehanteringen
www.pwc.se Granskning av intern kontroll i lönehanteringen Anna Lycke Börjesson (Certifierad kommunal revisor) Erik Sellergren Amanda Elg Vårgårda kommun och Herrljunga kommun Juni 2017 Juni 2017 Innehåll
Läs merRegion Skåne Granskning av IT-kontroller
Region Skåne Granskning av IT-kontroller Per Stomberg Niklas Westerlund Deloitte AB Januari 2016 2 Innehållsförteckning 1. Sammanfattning... 3 2. Inledning... 4 2.1 Bakgrund och syfte... 4 2.2 Revisionskriterier...
Läs merRevisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016
www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016 Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4
Läs merInformationssäkerhetspolicy
Informationssäkerhetspolicy Tyresö kommun 2014-03-06 Innehållsförteckning 1 Mål för informationssäkerhetsarbetet... 3 2 Policyns syfte... 3 3 Grundprinciper... 4 4 Generella krav... 4 4.1 Kommunens informationstillgångar...
Läs merHåbo kommuns förtroendevalda revisorer
www.pwc.se Revisionsrapport Granskning av intrångsskydd Niklas Ljung Mattias Gröndahl Håbo kommuns förtroendevalda revisorer April/2018 Innehåll Sammanfattning... 2 1. Inledning... 4 1.1. Granskningsbakgrund...
Läs merRiktlinjer för IT-säkerhet i Halmstads kommun
Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4
Läs merGranskning av räddningstjänstens ITverksamhet
www.pwc.se Granskning av räddningstjänstens ITverksamhet Författare: Niklas Ljung, projektledare Ida Ek, utredare Södertörns Brandförsvarsförbund December 2017 1. Bakgrund och syfte Bakgrund och syfte
Läs merRiktlinje för informationssäkerhet
Bilaga 2 Dokumentansvarig: Chef Samhällsskydd och Beredskap Upprättad av: Informationssäkerhetschef Beslutad av: Kommunfullmäktige Gäller för: Anställda och förtroendevalda i Göteborgs Stads förvaltningar,
Läs merBolagsspecifika resultat Sektion 3. Page 1
Bolagsspecifika resultat Page 1 Omfattning av granskning Introduktion EY har under 2015 genomfört en uppföljning av de observationer som noterades i samband med IT-revisionen 2014. De tidigare observationerna
Läs merGöteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012
Göteborg Energi AB Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte 18 december 2012 1 Sammanfattning Med start hösten 2010 har Deloitte, Ernst & Young och PwC på uppdrag av Göteborgs
Läs merIT-säkerhet Externt och internt intrångstest
Revisionsrapport IT-säkerhet Externt och internt intrångstest Tierps kommun Älvkarleby kommun Kerem Kocaer Juni 2014 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt...
Läs merInformationssäkerhetspolicy för Ystads kommun F 17:01
KS 2017/147 2017.2189 2017-06-29 Informationssäkerhetspolicy för Ystads kommun F 17:01 Dokumentet gäller för: Ystads kommuns nämnder, kommunala bolag och kommunala förbund Gäller fr.o.m. - t.o.m. 2017-08-01-tillsvidare
Läs merAllmänna riktlinjer för e-tjänsten Journalen
1 (5) Beslutande: Ansvarig: Handläggare: Chefläkare, Hälso- och sjukvårdsförvaltningen Chefläkare, vårdgivare Birgitta Cornelius, Hälso- och sjukvårdsförvaltningen Allmänna riktlinjer för e-tjänsten Journalen
Läs merRiktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret
Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet
Läs merInformationssäkerhet i patientjournalen
RIKTLINJER FÖR Informationssäkerhet i patientjournalen Antaget av Vård- och omsorgsnämnden Antaget 2019-04-02 Giltighetstid 2023-04-02 Dokumentansvarig Medicinskt ansvarig sjuksköterska Håbo kommuns styrdokumentshierarki
Läs merIntern kontroll avseende fakturahantering
Revisionsrapport* Intern kontroll avseende fakturahantering Eskilstuna kommun Mars 2008 Matti Leskelä Pär Lindberg *connectedthinking Innehållsförteckning 1 Inledning...3 1.1 Bakgrund och syfte...3 1.2
Läs merVetenskapsrådets informationssäkerhetspolicy
Vetenskapsrådets informationssäkerhetspolicy 1 (6) Ändringshistorik Datum Version Beskrivning av ändring Vem 2014-01-07 PA1 Initial version Torulf Lind 2014-01-07 PA2 Uppdatering roller Torulf Lind 2014-01-17
Läs merEmil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014
Emil Forsling Auktoriserad revisor Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014 Innehållsförteckning 1. Inledning... 3 1.1 Uppdrag och revisionsfråga... 3 1.2
Läs merStadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen
Stadsrevisionen Projektplan Informationssäkerhetsarbetet i Göteborgs Stad goteborg.se/stadsrevisionen 2 PROJEKTPLAN INFORMATIONSSÄKERHETSARBETET I GÖTEBORGS STAD Informationssäkerhetsarbetet i Göteborgs
Läs merGranskning av landstingets hantering av personuppgifter
Granskning av landstingets hantering av personuppgifter Rapport nr 25/2012 Februari 2013 Susanne Hellqvist, revisor, revisionskontoret Innehåll 1. SAMMANFATTNING... 3 1.1 REKOMMENDATIONER... 4 2. BAKGRUND...
Läs merIT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group
IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf
Läs merInformationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad
Informationssäkerhetspolicy i Borlänge kommunkoncern Beslutad av kommunfullmäktige 2012-12-18 238, reviderad 2017-09-19 153 Metadata om dokumentet Dokumentnamn Informationssäkerhetspolicy i Borlänge kommunkoncern
Läs merInformationssäkerhetspolicy inom Stockholms läns landsting
LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4
Läs merIT-Säkerhetsinstruktion: Förvaltning
n av 7 för Munkfors, Forshaga, Kils och Grums kommun april 2006 av IT-samverkansgruppen n 2 av 7 IT SÄKERHETSINSTRUKTION: FÖRVALTNING Innehållsförteckning IT-säkerhetsinstruktion Förvaltnings roll i IT-säkerhetsarbetet...3
Läs merRevisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018
SKATTEVERKET 171 94 SOLNA Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018 Som en del av arbetet med att granska Skatteverkets årsredovisning 2018 har
Läs merSvar på revisionsskrivelse informationssäkerhet
TJÄNSTEUTLÅTANDE Personalavdelningen Dnr KS/2014:280-007 2015-03-03 1/3 KS 10:1 Handläggare Annica Strandberg Tel. 0152-291 63 Kommunrevisionen Svar på revisionsskrivelse informationssäkerhet Förslag till
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688
Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led
Läs merLandstingets styrning och kontroll av ITavbrottsplaner
Landstingets styrning och kontroll av ITavbrottsplaner - uppföljande granskning Rapport nr 17/2014 December 2014 Eva Röste Moe, Certifierad kommunal revisor, revisionskontoret Diarienummer: REV 33:2-2014
Läs merGranskning av IT intern kontroll
1 Styrelseärende Styrelsen 2014-03-13 Ärende 8 Handläggare: Lars Brogren Telefon: 08-508 370 00 (vx) Till styrelsen Granskning av IT intern kontroll VD:s förslag till beslut Styrelsen för Svenska Bostäder
Läs merFinansinspektionens författningssamling
Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts
Läs merOrganisation för samordning av informationssäkerhet IT (0:1:0)
Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,
Läs merTillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller
Beslut Diarienr 1 (8) 2017-06-13 989-2016 Praktikertjänst AB 103 55 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller
Läs mermyndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete
BILAGA TILL GRANSKNINGSRAPPORT DNR: 31-2014-1526 Bilaga 5. Enkät till Affärsverket svenska kraftnät, Bolagsverket, Lantmäteriet, Post- och telestyrelsen, Sjöfartsverket samt Statens tjänstepensionsverk
Läs merRevisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.
Kommunens revisorer 2013-04-08 GRANSKNING AV INTERNKONTROLLPLANER I HÄRRYDA KOMMUN Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Rapporten
Läs merInformationssäkerhet, Linköpings kommun
1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...
Läs merGranskning av generella IT-kontroller för ett urval system vid Skatteverket 2017
SKATTEVERKET 171 94 SOLNA Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017 Som ett led i granskningen av årsredovisningen med syfte att göra uttalanden om denna har Riksrevisionen
Läs merIntern styrning och kontroll. Verksamhetsåret 2009
Intern styrning och kontroll Verksamhetsåret 2009 ISK-projektet: En oberoende övergripande utvärdering av intern styrning och kontroll (ISK) på Riksbanken, utfördes av Ernst & Young i maj 2009. Utgångspunkt
Läs merRätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza
Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza Området välfärdsteknologi Vilka typer av nya digitala lösningar
Läs merBilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)
Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 11-09-14 dnr A 13 349/ 07 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum Juni 2007 ( rev. September
Läs merRevisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT
Revisionsrapport 3/2012 Genomförd på uppdrag av revisorerna Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT Nicklas Samuelsson Magnus Nilsson
Läs merRevisionsrapport Självdeklaration Intern Kontroll
Revisionsrapport Självdeklaration Intern Kontroll Mattias Johansson Philip Maazon Emelie Lönnblad Mattias Haraldsson Mats Malmberg Kristianstads kommun Januari 2013 Innehållsförteckning 1 Inledning 1 1.1
Läs mer2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM
Uddevalla kommun Granskning av IT-säkerheten 2013-09-25 cutting through complexity TM Innehållsförteckning Kontaktperson vid KPMG: Henrik Leffler Manager, KPMG Göteborg Sammanfattning Tel: 031 614826 Mobil:
Läs merHantering av behörigheter och roller
Dnr UFV 2018/1170 Hantering av behörigheter och roller Rutiner för informationssäkerhet Fastställda av Säkerhetschefen 2018-08-14 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering
Läs merBeslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL
Datum Diarienr 2010-02-23 1333-2009 City Dental i Stockholm AB Box 16156 111 51 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar
Läs merEmmaboda kommun. Granskning av Informationssäkerheten inom Emmaboda kommun. November november 2017
www.pwc.com/se Granskning av Informationssäkerheten inom November 2017 28 november 2017 Strängt personlig och konfidentiell Innehåll 3 4 5 6 7 18 2 Under perioden juni till augusti 2017 har på uppdrag
Läs merUppföljning av tidigare granskningar
Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2
Läs merRevisionsrapport Styrning och ledning av IT och informationssäkerhet
www.pwc.se Revisionsrapport Styrning och ledning av IT och informationssäkerhet Göran Persson- Lingman Sollefteå Robert Bergman Mars/2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund...
Läs merIntern kontroll och riskbedömningar. Strömsunds kommun
www.pwc.se Revisionsrapport Intern kontroll och riskbedömningar Anneth Nyqvist Mars 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte och Revisionsfråga... 3 1.3. Kontrollmål
Läs merRevisionsrapport "Förstudie av kommunens ITorganisation"
1(5) Ks 27 Dnr 2017-000354 Kort sammanfattning Kommunens revisorer har genomfört en förstudie om kommunens ITorganisation och överlämnat den till kommunstyrelsen för yttrande med önskat svar och synpunkter
Läs merRevisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete
s revisorer Kommunstyrelsen För kännedom: Kommunfullmäktiges presidium Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete Revisionen har via KPMG genomfört en granskning
Läs merInformationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.
Informationssäkerhetspolicy 2011-2014 1. Bakgrund Detta dokument fastställs av kommunfullmäktige och gäller för all verksamhet inom kommunen. Detta betyder att det inte finns utrymme att besluta om lokala
Läs merKundfordringar en uppföljande granskning
Kundfordringar en uppföljande granskning Revisionsrapport LANDSTINGETS REVISORER 2017 03 22 16REV47 2(7) Sammanfattning I vår tidigare granskning av kundfordringar uppmärksammades ett antal risker och
Läs merRutin för Användarkonto, Procapita omsorg
2018-06-27 1 (5) Kommunförvaltningen Användarkonto Procapita Ansvarig Systemägare procapita VoO + IFO Upprättad av Karin Broholm, Gustaf Janse Upprättad den 2018-06-27 Reviderad den 2018-07-19 Rutin för
Läs merProgram för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning
Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord
Läs merwww.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc
www.pwc.se Revisionsrapport Joanna Hägg Tilda Lindell Granskning av intern kontroll Tierps kommun pwc Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Granskningsbakgrund...
Läs merPolicy för intern styrning och kontroll
Rättslig grund Policy för intern styrning och kontroll Finansinspektionens föreskrifter och allmänna råd om styrning, riskhantering och kontroll i kreditinstitut (FFFS 2014:1) Dokumentägare Antagen datum
Läs merHofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10
Revisionsrapport KPMG AB Antal sidor: 10 Innehåll 1. Sammanfattning 1 2. Bakgrund 3 3. Syfte 3 4. Avgränsning 3 5. Revisionskriterier 4 6. Ansvarig styrelse/nämnd 4 7. Metod 4 8. Projektorganisation 4
Läs merEnheten för Administration och kommunikation TJÄNSTEUTLÅTANDE Diarienummer: KN 2017/424
Enheten för Administration kommunikation TJÄNSTEUTLÅTANDE Diarienummer: 2017-03-15 KN 2017/424 Handläggare: David Malmberg Tjänsteutlåtande Ärendebeskrivning Alla nämnder bolag ska upprätta interna kontrollplaner
Läs merIT- och informationssäkerhet
www.pwc.se Revisionsrapport IT- och informationssäkerhet Robert Bergman Revisionskonsult December 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte och Revisionsfråga...
Läs merBeslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård
Beslut Diarienr 2014-05-07 586-2013 Omsorgsnämnden Trollhättans stad 461 83 Trollhättan Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut
Läs mer