IT-verksamheten - en uppföljning av tidigare granskning

Storlek: px
Starta visningen från sidan:

Download "IT-verksamheten - en uppföljning av tidigare granskning"

Transkript

1 Revisionsrapport Quentin Authelet Joakim Hermansson IT-verksamheten - en uppföljning av tidigare granskning Region Gotland

2 IT-verksamheten - en uppföljning av tidigare granskning Carin Hultgren Uppdragsledare/projektledare Region Gotland

3 Innehållsförteckning Sammanfattning och bedömning 1. Inledning Revisionsfråga Metod och avgränsning Granskningsresultat Avsaknad av kontinuitetsplan för Hälso- och Sjukvårdsförvaltningen Avsaknad av dokumenterad rollbeskrivning för PUL-ombud inom Hälso- och Sjukvårdsförvaltningen Avsaknad av en dokumenterad instruktion för hur medarbetare inom Hälso- och Sjukvårdsförvaltningen utbildas inom PUL-området Systemförvaltarna för TakeCare bör försäkra sig om vilken behörighet SLL-IT har och om den är i enlighet med de krav som region Gotland ställer Förvaltarna för TakeCare bör säkerställa att regelbundna behörighetskontroller utförs för systemet Avsaknad av dokumenterad riskanalys i samband med tilldelning av systembehörighet till TakeCare Systemförvaltarna för TakeCare bör skaffa sig tydligare information om SLL-IT:s rutiner för återläsning av säkerhetskopior Behörigheter till Procapita bör tilldelas på individ- eller rollnivå och inte på avdelningsnivå Bristande dokumentation i form av policys och riktlinjer främst för behörighet och åtkomst i Procapita Uppföljning avseende dokumenterade rutiner för säkerhetskopiering och återläsningstester... 7

4 Sammanfattning och bedömning På uppdrag av de förtroendevalda revisorerna i Region Gotland har genomfört en granskning av IT-verksamheten. Granskningen syftar till att bedöma om den interna kontrollen är tillräcklig avseende säkerhet och åtkomst av information. År 2013 utfördes en sådan granskning d.v.s. Regionstyrelsens interna kontroll vad gäller säkerhet och åtkomst till information i regionens system. Ett antal rekommendationer lämnades i samband med den utförda granskningen. Föreliggande granskning är en uppföljning av granskningen från Efter genomförd granskning är vår bedömning att Regionstyrelsens interna kontroll inte är helt tillräcklig vad gäller säkerhet och åtkomst till information i de granskade IT-systemen. Bedömningen bygger på att det fortfarande kvarstår ett antal brister som inte åtgärdats. Dessa är dock s.k. låg- och medelriskobservationer och värt att notera är att vi inte gjort några s.k. högriskobservationer. Nedan följer en sammanställning av våra mest väsentliga iakttagelser. 1. Avsaknad av dokumenterad rollbeskrivning för PUL-ombud inom Hälso- och Sjukvårdsförvaltningen Avsaknad av en dokumenterad rollbeskrivning för PUL-ombud med tydligt definierat ansvarsområde och rapporteringsvägar kan innebära en risk för att verksamheten inte följer riktlinjer för PUL. Vidare är det av vikt att incidenter inom området kommuniceras till ledande personer inom verksamheten via tydliga rapporteringsvägar. 2. Avsaknad av en dokumenterad instruktion till hur medarbetare inom Hälso- och Sjukvårdsförvaltningen utbildas inom PUL-området Avsaknad av en dokumenterad instruktion för hur medarbetare kontinuerligt utbildas inom PUL-området samt övervakning att instruktionen efterlevs, kan innebära en risk för att medarbetare inom Hälso- och Sjukvårdsförvaltningen inte följer regelverk för PUL-området i det dagliga arbetet. 3. Systemförvaltarna för TakeCare bör försäkra sig om vilken behörighet SLL-IT har och om den är i enlighet med de krav som Region Gotland ställer Avsaknad av en rutin för aktiv övervakning av transaktioner/aktiviteter utförda av användarkonton som innehas av SSL-IT kan medföra en risk för att icke godkända aktiviteter som utförs i systemet inte upptäcks. Kompenserande faktor i samband med iakttagelsen är att systembehörig-heter kopplade till användarkonton inte medger åtkomst till konfidentiell information. Privilegierade användarkonton som delas av flera personer medför en risk för att det inte är möjligt att spåra en viss utförd systemaktivitet till en viss fysisk person. 4. Förvaltarna för TakeCare bör säkerställa att regelbundna behörighetskontroller utförs för systemet Avsaknad av en rutin för periodvis granskning och godkännande av systembehörigheter kan medföra en risk för att obehöriga personer har tillgång till kritiska systemfunktioner och känslig data.

5 5. Uppföljning avseende dokumenterade rutiner för säkerhetskopiering och återläsningstester Styrande dokument avseende kontinuitetshantering bör definiera mål för säkerhetskopiering och återläsning för väsentliga system, så som maximalt tolererbara driftavbrott (MTO), återläsningstid (RTO) och återläsningspunkt (RPO), baserad på klassificering. Att inte definiera återläsning av säkerhets-kopieringsmål och följa upp om dess efterlevnad kan medföra en risk för att en verksamhet exponeras för dataförlust. Detta kan få operativa konsekvenser på en verksamhet där verksamhetskritisk information permanent går förlorad.

6 1. Inledning Den offentliga sektorn blir likt den privata sektorn allt mer beroende av sina informationssystem. Nya tekniker utgör viktiga komponenter för fungerande och effektiva verksamhetsprocesser men introducerar även nya risker. Kommunikation med omvärlden ökar i omfattning och systemen blir mer integrerade såväl inom regionen som med externa intressenter. Detta ställer krav på ett balanserat risktagande och ett funktionellt säkerhetsarbete. Informationen måste skyddas mot obehörig åtkomst samtidigt som den skall finnas tillgänglig och dessutom vara tillförlitlig rätt information i rätt tid och för rätt personer. En ändamålsenlig IT-verksamhet som baseras på grundläggande styrprinciper och en väl fungerande teknisk och funktionell plattform är en viktig förutsättning för en effektiv verksamhet. År 2013 utfördes en granskning avseende regionstyrelsens interna kontroll vad gäller säkerhet och åtkomst till information i regionens system. Ett antal rekommendationer lämnades till Region Gotland i samband med den utförda granskningen. Denna granskning inkluderar uppföljning på de tidigare rekommenderade åtgärderna Revisionsfråga Är regionstyrelsens interna kontroll tillräcklig vad gäller säkerhet och åtkomst till information i de granskade IT-systemen? Granskningsmål Granskningens syfte är att utvärdera om avvikelser identifierade 2013 är åtgärdade och att ursprungliga granskningsmål uppfylls. Följande avvikelser noterades 2013: Område Övergripande säkerhetsstyrning Övergripande säkerhetsstyrning Övergripande säkerhetsstyrning Behörigheter och åtkomst Behörigheter för och åtkomst Behörigheter och åtkomst Behörigheter och åtkomst Rekommendation Hälso- och Sjukvårdsförvaltningen bör ta fram en kontinuitetsplan för sin verksamhet. Rollen som PUL-ombud inom Hälso- och Sjukvårdsförvaltningen bör tydliggöras för den som innehar rollen. Medarbetarna inom Hälso- och Sjukvårdsförvaltningen bör informeras om vad PUL innebär och hur deras arbete påverkas. Systemförvaltarna bör försäkra sig om vilken behörighet SLL-IT har och om den är i enlighet med de krav som region Gotland ställer. Vi anser att förvaltarna för TakeCare bör säkerställa att regelbundna behörighets-kontroller utförs för systemet. Vi bedömer att en riskanalys för att bestämma behörighetsnivåer till TakeCare bör genomföras mer formellt än idag. Såväl risk- som behovsanalys bör dokumenteras. Vi anser att systemförvaltarna för TakeCare bör skaffa sig tydligare information om SLL-IT:s rutiner för återläsning av säkerhetskopior. Region Gotland 1 av 7

7 Behörigheter och åtkomst Behörigheter och åtkomst Behörigheter och åtkomst Vi anser att behörigheter till Procapita bör tilldelas på individ- eller rollnivå och inte, som i dag, på avdelningsnivå. Vi anser även att behörigheter till Procapita bör beställas och dokumenteras i mer formell ordning än som idag, muntligen. Behörigheterna bör beställas elektroniskt eller manuellt med någon form av signering. Vi anser att rutiner för säkerhetskopiering och återläsningstest av information i TakeCare, Procapita och Treserva bör dokumenteras tydligare. Dokumentationen är i dagsläget antingen obefintlig eller ofullständig. Genom en uppföljning av den förra revisionsrapporten utgår granskningen med fokus på följande kriterier: System och applikationer uppfyller Region Gotlands säkerhetskrav och lagkrav, bland annat PUL Åtkomst till information följer gällande riktlinjer Hanteringen av behörigheter är tillfredsställande gällande de granskade förvaltningarna 1.2. Metod och avgränsning Granskningen innefattar en kartläggning av förändringar avseende system, applikationer och IT-miljö i jämförelse med Även insamling av styrdokument, så som policys, riktlinjer och instruktioner, har gjorts för att granskas och utgör underlag för bedömningen. Under granskningen har intervjuer hållits med nyckelpersoner inom Region Gotland med inriktning mot IT-organisationen samt personer inom Hälso- och Sjukvårdsförvaltningen. Intervjuer har genomförts med följande personer: Bo Magnusson, Administrativ utvecklingsdirektör Hans Lyttkens, IT-strateg Jan Broman, IT-strateg Olof Nysten, Utvecklingsledare E-hälsa & systemansvarig för Treserva Monica Pedersén, Enhetschef Mika Lathi, Socialförvaltningen Åsa Högberg, Ekonomidirektör Johan Kallum, Säkerhetschef Ledningskontoret Anders Granvald, Avdelningschef IT-Tele Gunnar Ramstedt, Chefläkare och IT-strateg HSF Susanne Yttergren, Systemförvaltare Opus Curt Andersson, Systemförvaltare Opus Region Gotland 2 av 7

8 2. Granskningsresultat Nedan följer en sammanställning avseende utförd granskning av tidigare rapporterade iakttagelser och/eller brister Avsaknad av kontinuitetsplan för Hälsooch Sjukvårdsförvaltningen Den utförda granskningen har påvisat att det finns dokumenterade riktlinjer för hur kontinuitetsplaner ska struktureras för enheter inom Hälso- och Sjukvårdsavdelningen. Det har genom intervju noterats att varje vårdenhet har manuella rutiner för när systemet TakeCare är ur drift, och en kontinuitetsplan kallad katastrofplan finns för TakeCare och har mottagits av revisionen. Det pågår ett arbete hos ledningskontoret med att upprätta regionsövergripande styrande dokument för kontinuitetsplanering. Revisionen har tagit del av dokumentation som visar att ledningssystemet för informationssäkerhet (LIS) innehåller rutiner, exempel och mallar för följande områden: informationsklassning, riskanalys, kontinuitetsplanering, IT-säkerhet samt säkerhetsarkitektur. En del av syftet med upprättandet av LIS är att få en strukturerad kravställning och uppföljning av informationssäkerhet samt en strukturerad IT-/säkerhetsarkitektur. En iakttagelse är att ingen verksamhetsarkitektroll är tilldelad och detta bör finnas enligt säkerhetschef på Ledningskontoret samt en IT-strateg. Påverkan Inga direkta iakttagelser har noterats i samband med den utförda granskningen av kontrollfrågan, tidigare rapporterad avvikelse bedöms som åtgärdad Avsaknad av dokumenterad rollbeskrivning för PUL-ombud inom Hälso- och Sjukvårdsförvaltningen Iakttagelsen kvarstår, den utförda granskningen har påvisat att ansvarsområde i rollen som PUL-ombud inte är formellt dokumenterat i form av en rollbeskrivning. En rollbeskrivning bör innehålla ett tydligt definierat ansvarsområde med rapporteringsvägar till berörda intressenter inom Region Gotland. PUL-ombudet anser sig själv ha god kunskap om ansvarsområdet genom Datainspektionens beskrivning av rollen. Region Gotland upplyser tydligt om vem som innehar PUL-ombudsrollen samt hänvisar vidare till Datainspektionen för beskrivning av rollen via det lokala intranätet. Påverkan och rekommendation Avsaknad av en regionsspecifik rollbeskrivning för PUL-ombud med tydligt definierat ansvarsområde och rapporteringsvägar kan innebära en risk för att verksamheten inte följer PUL. Vidare är det av vikt att incidenter inom området kommuniceras till ledande personer inom verksamheten via tydliga rapporteringsvägar. Revisionen rekommenderar Region Gotland att ytterligare tydliggöra rollen som PULombud i form av en dokumenterad rollbeskrivning med tydligt definierat ansvarsområde och rapporteringsvägar. Region Gotland 3 av 7

9 2.3. Avsaknad av en dokumenterad instruktion för hur medarbetare inom Hälso- och Sjukvårdsförvaltningen utbildas inom PULområdet Den utförda granskningen har inte påvisat att det finns en dokumenterad instruktion för att löpande informera medarbetare om PUL-området. I nuläget hänvisas medarbetare till Datainspektionens policy via det lokala intranätet. Påverkan och rekommendation Avsaknad av en dokumenterad instruktion för hur medarbetare kontinuerligt utbildas inom PUL-området samt övervakning att instruktionen efterlevs kan innebära en risk för att medarbetare inom Hälso- och Sjukvårdsförvaltningen inte följer PUL i det dagliga arbetet. Revisionen rekommenderar PUL-ombudet att tydliggöra aktiviteter med syfte att kontinuerligt utbilda medarbetare om PUL. PUL-ombudet bör även vara ansvarig för instruktioner samt ansvara för att innehållet i instruktionerna efterlevs Systemförvaltarna för TakeCare bör försäkra sig om vilken behörighet SLL-IT har och om den är i enlighet med de krav som region Gotland ställer Den utförda granskningen har påvisat att SLL-IT innehar systembehörighet i TakeCare. Systembehörigheten medger ingen åtkomst till konfidentiell information eller åtkomst till funktioner för att utföra känsliga transaktioner. Användarkonton i systemet som innehas av SSL-IT delas av flera användare inom SSL-IT och är inte kopplade till en fysisk person. Slutligen finns det inga rutiner implementerade där systemägare aktivt övervakar aktiviteter utförda av användarkonton som innehas av SSL-IT. Påverkan och rekommendation Avsaknad av en rutin för aktiv övervakning av transaktioner/aktiviteter utförda av användarkonton som innehas av SSL-IT kan medföra en risk för att icke godkända aktiviteter utförs i systemet utan att dessa upptäcks. En kompenserande faktor i samband med iakttagelsen är att systembehörigheter kopplade till användarkonton inte medger åtkomst till konfidentiell information. Användarkonton som delas av flera personer medför en risk för att det inte är möjligt att spåra en viss utförd systemaktivitet till en viss fysisk person. Revisionen rekommenderar Region Gotland att implementera en rutin där systemägare identifierar kritiska användarkonton i TakeCare och löpande övervakar systemaktiviteter i form av loggövervakning för identifierade konton. Avvikelser ska rapporteras enligt vedertagen incidenthanteringsprocess. Slutligen rekommenderas att användarkonton för SSL-IT konfigureras ned på personnivå så att systemaktiviteter utförda av ett visst användarkonto är spårbara till en fysisk person. Region Gotland 4 av 7

10 2.5. Förvaltarna för TakeCare bör säkerställa att regelbundna behörighetskontroller utförs för systemet Den utförda granskningen har påvisat att det inte finns någon implementerad rutin för periodvis granskning och godkännande av systembehörigheter i TakeCare. En kompenserande faktor till iakttagelsen är att det finns en rutin implementerad i form av en loggkontroll, vilken syftar till att övervaka överträdelser enligt patientjournallagstiftningen. Granskningen har även identifierat att det pågår ett arbete med att identifiera förbättringsområden i behörighetsstrukturen utifrån ett risk- perspektiv. När analysen är utförd och dokumenterad ska rollstrukturen i TakeCare uppdateras enligt det framtagna regelverket. Det sker även en kompletterande åtgärd med att uppdatera behörighetslistorna, då det upptäcktes under granskningen att en hel del aktiva användare finns med trots att de borde ha avslutats. Påverkan och rekommendation Avsaknad av en rutin för periodvis granskning och godkännande av systembehörigheter kan medföra en risk för att obehöriga personer har tillgång till kritiska systemfunktioner och känslig data. Revisionen rekommenderar Region Gotland att implementera en rutin för periodvis granskning och godkännande av systembehörigheter i TakeCare. Rutinen syftar till att säkerställa att aktuella systembehörigheter i TakeCare stämmer överens med den anställdes roll i verksamheten. Granskningen bör utföras av systemägare eller motsvarande samt dokumenteras i form av ett bevis. När kontrollen har utförts rekommenderas det att avrapporteras till ledande person inom Region Gotland som är ansvarig för uppföljning, alternativt informationssäkerhet. Avvikelser i rapporteringen bör rapporteras som en incident för vidare uppföljning. Revisionen rekommenderar även systemansvariga till fortsatt arbete med borttagning av behörighetskonton då de ska vara avslutade Avsaknad av dokumenterad riskanalys i samband med tilldelning av systembehörighet till TakeCare Den utförda granskningen har påvisat att det finns en dokumenterad instruktion till hur riskanalys ska utföras i samband med tilldelning av systembehörigheter i TakeCare. Rutinen kommer att implementeras under Den dokumenterade instruktionen innehåller dock ingen information för hur den utförda riskanalysen ska dokumenteras samt hur övervakning av kontrollen ska utföras från systemägare eller annan ansvarig person. Påverkan och rekommendation Avsaknad av en utförd riskanalys i samband med tilldelning av systembehörigheter i TakeCare kan medföra att obehöriga personer får tillgång till konfidentiell information. Revisionen uppmuntrar HSF att slutföra arbetet med att upprätta en instruktion till hur riskanalys ska utföras i samband med tilldelning av systembehörighet i TakeCare. Den dokumenterade instruktionen bör tydliggöra hur den utförda analysen ska dokumenteras samt hur övervakning av kontrollen ska utföras. Avvikelser vid att inte utföra en riskanalys enligt den framtida instruktionen bör rapporteras som en incident för vidare uppföljning. Region Gotland 5 av 7

11 2.7. Systemförvaltarna för TakeCare bör skaffa sig tydligare information om SLL-IT:s rutiner för återläsning av säkerhetskopior Den utförda granskningen har påvisat att SLL-IT har dokumenterade rutiner och policys för säkerhetskopiering och återläsningstester. Dokumentationen har presenterats för IVO vid tidigare revision. Påverkan Inga direkta iakttagelser har noterats i samband med den utförda granskningen av kontrollfrågan, tidigare rapporterad avvikelse bedöms som åtgärdad Behörigheter till Procapita bör tilldelas på individ- eller rollnivå och inte på avdelningsnivå Den utförda granskningen har påvisat att behörigheter i Procapita tilldelas på rollnivå baserat på den anställdes roll i organisationen. En övergripande granskning av olika roller i systemet har påvisat att en viss användare i en viss roll har tillgång till olika systemfunktioner. En övergripande granskning av processen för administration av behörigheter tydliggör även att behörighetstilldelning sker på rollnivå inom olika avdelningar inom organisationen. Processen startar med att den anställde får ett IT-konto, när det är klart sker en beställning till supporten. I Procapita sker först en rolltilldelning beroende på vilken avdelning personen ska arbeta på. Denna tilldelning styr vilka komponenter användaren kommer åt och blir en standardbehörighet för samtliga inom avdelningen. Därefter sker tilldelning av behörigheter, vilket sker i ett organisationshandläggarregister. Påverkan Inga direkta iakttagelser har noterats i samband med den utförda granskningen av kontrollfrågan, tidigare rapporterad avvikelse bedöms som åtgärdad Bristande dokumentation i form av policys och riktlinjer främst för behörighet och åtkomst i Procapita Den utförda granskningen har påvisat att det finns en rutinbeskrivning samt tillhörande behörighetsblankett för ansökan om systembehörighet till Procapita. Tilldelning av systembehörigheter till Procapita ska ske genom blanketten och det visar vilken/vilka utförarområden den anställde ska ha tillgång till samt innehåller en textruta där utökad eller begränsad behörighet kan anges av beställaren. För att beställningen ska gå igenom finns det flera obligatoriska fält som inte kan lämnas tomma. Det är den anställdes närmsta chef som ska signera blanketten och detta kan göras digitalt genom att använda etjänstekort. Det noterades dock att beställning kan delegeras till assistent. Systemförvaltaren erhåller de ifyllda samt signerade blanketterna och skapar konton enligt beställningarna, sedan sker utskrift och lagring i pappersform. Blanketterna hamnar även i ett ärendehanteringssystem där de sparas för att möjliggöra elektronisk spårning. Det noterades att när ett konto är skapat för en användare måste den anställde utföra en utbildning i Procapita innan Region Gotland 6 av 7

12 användaruppgifter utdelas. Det utförs regelbundna loggkontroller i Procapita och riktlinjer för detta finns dokumenterade. Kontroll av behörighet att ta fram loggutdrag sker en gång i månaden då 15 slumpmässigt utvalda användare och deras användande, fördelat på tre dagar, kontrolleras. För inhyrd personal sker loggkontrollen en gång per vecka. Som andra regelbundna kontroller finns granskning av användande i CSN Online samt LEFI-online. Två gånger per år sker även kontroll av rätt användarbehörighet i Procapita. Påverkan Inga direkta iakttagelser har noterats i samband med den utförda granskningen av kontrollfrågan, tidigare rapporterad avvikelse bedöms som åtgärdad Uppföljning avseende dokumenterade rutiner för säkerhetskopiering och återläsningstester Den utförda granskningen har påvisat att det finns en policy samt rutinbeskrivning för backuphanering för Treserva samt Procapita. ITT ansvarar för säkerhetskopiering av produktionsdatabas för båda systemen, nuvarande rutiner för säkerhetskopiering inkluderar dock inte återläsningstester. Återläsningstester görs ändå informellt till en testmiljö i samband med att nya versioner av applikationerna lanseras eller på uppmaning av systemägare. Utfört återläsningstest dokumenteras inte. Det är Stockholms Läns Landsting (SLL-IT) som ansvarar för säkerhetskopiering samt återläsningstester av systemet TakeCare. Rutiner för säkerhetskopiering och återläsningstester gällande TakeCare är dokumenterade, se punkt 3.7 ovan för ytterligare detaljer. Påverkan och rekommendation Styrande dokument avseende kontinuitetshantering bör definiera mål för säkerhetskopiering och återläsning för väsentliga systemen, så som maximalt tolererbara driftavbrott (MTO), återläsningstid (RTO) och återläsningspunkt (RPO), baserad på klassificering. Att inte definiera återläsning av säkerhetskopieringsmål och följa upp om dess efterlevnad kan medföra en risk för att en verksamhet exponeras för dataförlust, vilket kan få operativa konsekvenser på en verksamhet där verksamhetskritisk information permanent går förlorad. Revisionen rekommenderar Ledningskontoret att ta fram en kontinuitetshanteringsprocess som definierar omfattning av säkerhetskopiering och återläsningstest, med syfte att säkerställa att verksamhetens krav i form av accepterad dataförlust efterlevs. Revisionen rekommenderar även Region Gotland att utvärdera behovet av en central rutin för övervakning av återläsning av säkerhetskopior. Bevis för återläsning av säkerhetskopior kan rapporteras till ansvarig person för IT- och informationssäkerhet inom Region Gotland. Avvikelser i rapporteringen bör rapporteras som en incident för vidare uppföljning. Region Gotland 7 av 7

Uppföljningsrapport IT-revision 2013

Uppföljningsrapport IT-revision 2013 Revisionsrapport Uppföljningsrapport IT-revision 2013 Solna Stad Raindance Fredrik Dreimanis November 2013 1 av 10 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning... 5

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång.   Informationssäkerhetsspecialister: www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet avseende externt och internt dataintrång Informationssäkerhetsspecialister: Viktor Bergvall Linus Owman Certifierad kommunal revisor: Lena

Läs mer

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017 Region Gotland Generella IT kontroller Visma och HR Plus Detaljerade observationer och rekommendationer Februari 2017 Fredrik Dreimanis Jonas Leander Innehållsförteckning Sammanfattning av granskningen...

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Revisionsrapport. IT-revision Solna Stad ecompanion

Revisionsrapport. IT-revision Solna Stad ecompanion Revisionsrapport IT-revision 2013 Solna Stad ecompanion Fredrik Dreimanis November 2013 Innehållsförteckning Inledning... 3 Avgränsning.3 Granskningens omfattning... 4 Sammanfattning... 5 Observationer

Läs mer

Uppföljningsrapport IT-generella kontroller 2015

Uppföljningsrapport IT-generella kontroller 2015 Revisionsrapport Uppföljningsrapport IT-generella kontroller 2015 Uppsala kommun Gustaf Gambe Frida Ilander 15 september 2015 1 av 17 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning...

Läs mer

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017 Tyresö kommun Generella IT kontroller Economa och Heroma Detaljerade observationer och rekommendationer Juni 2017 Fredrik Dreimanis Johan Jelbring Tina Emami Innehållsförteckning Sammanfattning av granskningen...

Läs mer

Granskning av behörigheter till journalsystemet

Granskning av behörigheter till journalsystemet Granskning av behörigheter till journalsystemet Rapport nr 18/2015 Februari 2016 Jonas Hansson, revisionskontoret Diarienummer: REV 61:2 2015 Innehåll 1. SAMMANFATTANDE ANALYS... 3 1.1. REKOMMENDATIONER...

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010. Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Granskning av generella IT-kontroller för PLSsystemet

Granskning av generella IT-kontroller för PLSsystemet F Ö R S V A R E T S M A T E R I E LV E R K (F M V ) 115 88 S T O C K HO LM Försvarets materielverk (FMV) Granskning av generella IT-kontroller för PLSsystemet vid Försvarets materielverk (FMV) Som ett

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017 Sollentuna kommun Generella IT kontroller Visma Affärslösningar Detaljerade observationer och rekommendationer November 2017 Fredrik Dreimanis Johan Jelbring Jesper Östling Innehållsförteckning Sammanfattning

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

Revision av den interna kontrollen kring uppbördssystemet REX

Revision av den interna kontrollen kring uppbördssystemet REX 1 Revision av den interna kontrollen kring uppbördssystemet REX 1 Inledning Riksrevisionen har som ett led i den årliga revisionen 2012 av Kronofogdemyndigheten (KFM) granskat den interna kontrollen kring

Läs mer

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem Karin Norrman Elgh Översiktlig revisionsrapport Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem Vara kommun Anställningar och avslut i lönesystemet

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy Informationssäkerhetspolicy KS/2018:260 Ansvarig: Kanslichef Gäller från och med: 2018-07-19 Uppföljning / revidering ska senast ske: 2019-07-19 Beslutad av kommunfullmäktige 2018-06-20, 60 Innehållsförteckning

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

Landskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.

Landskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten. www.pwc.se Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten Magnus Karmborg Viktor Bergvall Victor Svensson Lena Salomon December 2016 Granskning av IT-organisationen

Läs mer

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA 2014-03-14 1 (7) RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA Riktlinjen är ett komplement till den policy som finns kring it-säkerhet i Höganäs kommun. Riktlinjen beskriver hur ansvarsfördelningen

Läs mer

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy KS/2018:260 Informationssäkerhetspolicy KS/2018:260 Innehållsförteckning Antagen av kommunfullmäktige den [månad_år] Informationssäkerhetspolicy...22 Ändringar införda till och med KF, [nr/år] Inledning och bakgrund...22

Läs mer

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Granskning av generella IT-kontroller för ett urval system vid Skatteverket SKATTEVERKET 171 94 SOLNA Granskning av generella IT-kontroller för ett urval system vid Skatteverket Som ett led i granskningen av årsredovisningen med syfte att göra uttalanden om denna har Riksrevisionen

Läs mer

Syfte... 2. Behörig. in... 3. Logga 1(6)

Syfte... 2. Behörig. in... 3. Logga 1(6) RUTIN: BEHÖRIGHETER OCH ÅTKOMST TILL IT-SYSTEM... 2 Syfte... 2 Ansvar... 2 Behörig och inte behörig... 2 Varbergs kommuns nät... 2 Lösenord... 3 Patientjournalsystem... 3 1. Behovs- och riskanalyser...

Läs mer

Västerås stad. Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

Västerås stad. Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning Revisionsrapport 2016:5 Genomförd på uppdrag av Västerås stads revisorer 18 oktober 2016 Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning Västerås stad Innehållsförteckning 1

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen TJÄNSTESKRIVELSE Datum DNR: KS2016/918/01 2018-03-07 1 (1) Kommunstyrelsen Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Förslag till beslut Förslaget till Informationssäkerhetspolicy för

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Granskning av intern kontroll i kommunens huvudboksprocess

Granskning av intern kontroll i kommunens huvudboksprocess Revisionsrapport Granskning av intern kontroll i kommunens huvudboksprocess Marks kommun Andreas Crusell Erik Sellergren Augusti 2015 Innehållsförteckning 1. Introduktion... 1 1.1. Bakgrund och revisionsfråga...

Läs mer

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63 TJÄNSTESKRIVELSE 2019-01-14 Kommunstyrelsen Richard Buske Tf säkerhetschef Telefon 08 555 010 22 richard.buske@nykvarn.se informationssäkerhetspolicy KS/2019:63 Förvaltningens förslag till beslut Revidering

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010. Revisionsrapport Kungl. Musikhögskolan i Stockholm Box 27711 115 91 Stockholm Datum Dnr 2011-03-08 32-2010-0733 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

Styrning av behörigheter

Styrning av behörigheter Revisionsrapport Styrning av behörigheter i journalsystem Landstinget i Östergötland Janne Swenson Kerem Kocaer Jens Ryning Eva Andlert, cert. kommunal revisor Styrning av behörigheter i journalsystem

Läs mer

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen Tillitsdeklarationen och revisionsprocessen Åsa Wikenståhl Efosdagen 2018-09-26 Agenda Intro Risk Revision LIS Tillitsdeklarationen På-platsen-revisionen Åtgärder och uppföljning Förbättringsarbetet Tillit

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet Revisionsrapport Karolinska institutet 171 77 Stockholm Datum Dnr 2011-02-01 32-2010-0715 Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet 2010 Riksrevisionen

Läs mer

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57 1 (5) Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige 2018-05-07, 57 Postadress Besöksadress Telefon Internet och fax Giro och org.nr Sunne kommun Verksamhetsstöd

Läs mer

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy för Ånge kommun INFORMATIONSSÄKERHETSPOLICY 1 (10) Informationssäkerhetspolicy för Ånge kommun Denna informationssäkerhetspolicy anger hur Ånge kommun arbetar med informationssäkerhet och uttrycker kommunens stöd för

Läs mer

Granskning av intern kontroll i lönehanteringen

Granskning av intern kontroll i lönehanteringen www.pwc.se Granskning av intern kontroll i lönehanteringen Anna Lycke Börjesson (Certifierad kommunal revisor) Erik Sellergren Amanda Elg Vårgårda kommun och Herrljunga kommun Juni 2017 Juni 2017 Innehåll

Läs mer

Region Skåne Granskning av IT-kontroller

Region Skåne Granskning av IT-kontroller Region Skåne Granskning av IT-kontroller Per Stomberg Niklas Westerlund Deloitte AB Januari 2016 2 Innehållsförteckning 1. Sammanfattning... 3 2. Inledning... 4 2.1 Bakgrund och syfte... 4 2.2 Revisionskriterier...

Läs mer

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016 www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016 Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy Informationssäkerhetspolicy Tyresö kommun 2014-03-06 Innehållsförteckning 1 Mål för informationssäkerhetsarbetet... 3 2 Policyns syfte... 3 3 Grundprinciper... 4 4 Generella krav... 4 4.1 Kommunens informationstillgångar...

Läs mer

Håbo kommuns förtroendevalda revisorer

Håbo kommuns förtroendevalda revisorer www.pwc.se Revisionsrapport Granskning av intrångsskydd Niklas Ljung Mattias Gröndahl Håbo kommuns förtroendevalda revisorer April/2018 Innehåll Sammanfattning... 2 1. Inledning... 4 1.1. Granskningsbakgrund...

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Granskning av räddningstjänstens ITverksamhet

Granskning av räddningstjänstens ITverksamhet www.pwc.se Granskning av räddningstjänstens ITverksamhet Författare: Niklas Ljung, projektledare Ida Ek, utredare Södertörns Brandförsvarsförbund December 2017 1. Bakgrund och syfte Bakgrund och syfte

Läs mer

Riktlinje för informationssäkerhet

Riktlinje för informationssäkerhet Bilaga 2 Dokumentansvarig: Chef Samhällsskydd och Beredskap Upprättad av: Informationssäkerhetschef Beslutad av: Kommunfullmäktige Gäller för: Anställda och förtroendevalda i Göteborgs Stads förvaltningar,

Läs mer

Bolagsspecifika resultat Sektion 3. Page 1

Bolagsspecifika resultat Sektion 3. Page 1 Bolagsspecifika resultat Page 1 Omfattning av granskning Introduktion EY har under 2015 genomfört en uppföljning av de observationer som noterades i samband med IT-revisionen 2014. De tidigare observationerna

Läs mer

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012 Göteborg Energi AB Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte 18 december 2012 1 Sammanfattning Med start hösten 2010 har Deloitte, Ernst & Young och PwC på uppdrag av Göteborgs

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Tierps kommun Älvkarleby kommun Kerem Kocaer Juni 2014 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt...

Läs mer

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy för Ystads kommun F 17:01 KS 2017/147 2017.2189 2017-06-29 Informationssäkerhetspolicy för Ystads kommun F 17:01 Dokumentet gäller för: Ystads kommuns nämnder, kommunala bolag och kommunala förbund Gäller fr.o.m. - t.o.m. 2017-08-01-tillsvidare

Läs mer

Allmänna riktlinjer för e-tjänsten Journalen

Allmänna riktlinjer för e-tjänsten Journalen 1 (5) Beslutande: Ansvarig: Handläggare: Chefläkare, Hälso- och sjukvårdsförvaltningen Chefläkare, vårdgivare Birgitta Cornelius, Hälso- och sjukvårdsförvaltningen Allmänna riktlinjer för e-tjänsten Journalen

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Informationssäkerhet i patientjournalen

Informationssäkerhet i patientjournalen RIKTLINJER FÖR Informationssäkerhet i patientjournalen Antaget av Vård- och omsorgsnämnden Antaget 2019-04-02 Giltighetstid 2023-04-02 Dokumentansvarig Medicinskt ansvarig sjuksköterska Håbo kommuns styrdokumentshierarki

Läs mer

Intern kontroll avseende fakturahantering

Intern kontroll avseende fakturahantering Revisionsrapport* Intern kontroll avseende fakturahantering Eskilstuna kommun Mars 2008 Matti Leskelä Pär Lindberg *connectedthinking Innehållsförteckning 1 Inledning...3 1.1 Bakgrund och syfte...3 1.2

Läs mer

Vetenskapsrådets informationssäkerhetspolicy

Vetenskapsrådets informationssäkerhetspolicy Vetenskapsrådets informationssäkerhetspolicy 1 (6) Ändringshistorik Datum Version Beskrivning av ändring Vem 2014-01-07 PA1 Initial version Torulf Lind 2014-01-07 PA2 Uppdatering roller Torulf Lind 2014-01-17

Läs mer

Emil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014

Emil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014 Emil Forsling Auktoriserad revisor Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014 Innehållsförteckning 1. Inledning... 3 1.1 Uppdrag och revisionsfråga... 3 1.2

Läs mer

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen Stadsrevisionen Projektplan Informationssäkerhetsarbetet i Göteborgs Stad goteborg.se/stadsrevisionen 2 PROJEKTPLAN INFORMATIONSSÄKERHETSARBETET I GÖTEBORGS STAD Informationssäkerhetsarbetet i Göteborgs

Läs mer

Granskning av landstingets hantering av personuppgifter

Granskning av landstingets hantering av personuppgifter Granskning av landstingets hantering av personuppgifter Rapport nr 25/2012 Februari 2013 Susanne Hellqvist, revisor, revisionskontoret Innehåll 1. SAMMANFATTNING... 3 1.1 REKOMMENDATIONER... 4 2. BAKGRUND...

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad Informationssäkerhetspolicy i Borlänge kommunkoncern Beslutad av kommunfullmäktige 2012-12-18 238, reviderad 2017-09-19 153 Metadata om dokumentet Dokumentnamn Informationssäkerhetspolicy i Borlänge kommunkoncern

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

IT-Säkerhetsinstruktion: Förvaltning

IT-Säkerhetsinstruktion: Förvaltning n av 7 för Munkfors, Forshaga, Kils och Grums kommun april 2006 av IT-samverkansgruppen n 2 av 7 IT SÄKERHETSINSTRUKTION: FÖRVALTNING Innehållsförteckning IT-säkerhetsinstruktion Förvaltnings roll i IT-säkerhetsarbetet...3

Läs mer

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018 SKATTEVERKET 171 94 SOLNA Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018 Som en del av arbetet med att granska Skatteverkets årsredovisning 2018 har

Läs mer

Svar på revisionsskrivelse informationssäkerhet

Svar på revisionsskrivelse informationssäkerhet TJÄNSTEUTLÅTANDE Personalavdelningen Dnr KS/2014:280-007 2015-03-03 1/3 KS 10:1 Handläggare Annica Strandberg Tel. 0152-291 63 Kommunrevisionen Svar på revisionsskrivelse informationssäkerhet Förslag till

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Landstingets styrning och kontroll av ITavbrottsplaner

Landstingets styrning och kontroll av ITavbrottsplaner Landstingets styrning och kontroll av ITavbrottsplaner - uppföljande granskning Rapport nr 17/2014 December 2014 Eva Röste Moe, Certifierad kommunal revisor, revisionskontoret Diarienummer: REV 33:2-2014

Läs mer

Granskning av IT intern kontroll

Granskning av IT intern kontroll 1 Styrelseärende Styrelsen 2014-03-13 Ärende 8 Handläggare: Lars Brogren Telefon: 08-508 370 00 (vx) Till styrelsen Granskning av IT intern kontroll VD:s förslag till beslut Styrelsen för Svenska Bostäder

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller Beslut Diarienr 1 (8) 2017-06-13 989-2016 Praktikertjänst AB 103 55 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Läs mer

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete BILAGA TILL GRANSKNINGSRAPPORT DNR: 31-2014-1526 Bilaga 5. Enkät till Affärsverket svenska kraftnät, Bolagsverket, Lantmäteriet, Post- och telestyrelsen, Sjöfartsverket samt Statens tjänstepensionsverk

Läs mer

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Kommunens revisorer 2013-04-08 GRANSKNING AV INTERNKONTROLLPLANER I HÄRRYDA KOMMUN Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Rapporten

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017 SKATTEVERKET 171 94 SOLNA Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017 Som ett led i granskningen av årsredovisningen med syfte att göra uttalanden om denna har Riksrevisionen

Läs mer

Intern styrning och kontroll. Verksamhetsåret 2009

Intern styrning och kontroll. Verksamhetsåret 2009 Intern styrning och kontroll Verksamhetsåret 2009 ISK-projektet: En oberoende övergripande utvärdering av intern styrning och kontroll (ISK) på Riksbanken, utfördes av Ernst & Young i maj 2009. Utgångspunkt

Läs mer

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza Området välfärdsteknologi Vilka typer av nya digitala lösningar

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 11-09-14 dnr A 13 349/ 07 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum Juni 2007 ( rev. September

Läs mer

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT Revisionsrapport 3/2012 Genomförd på uppdrag av revisorerna Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT Nicklas Samuelsson Magnus Nilsson

Läs mer

Revisionsrapport Självdeklaration Intern Kontroll

Revisionsrapport Självdeklaration Intern Kontroll Revisionsrapport Självdeklaration Intern Kontroll Mattias Johansson Philip Maazon Emelie Lönnblad Mattias Haraldsson Mats Malmberg Kristianstads kommun Januari 2013 Innehållsförteckning 1 Inledning 1 1.1

Läs mer

2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM

2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM Uddevalla kommun Granskning av IT-säkerheten 2013-09-25 cutting through complexity TM Innehållsförteckning Kontaktperson vid KPMG: Henrik Leffler Manager, KPMG Göteborg Sammanfattning Tel: 031 614826 Mobil:

Läs mer

Hantering av behörigheter och roller

Hantering av behörigheter och roller Dnr UFV 2018/1170 Hantering av behörigheter och roller Rutiner för informationssäkerhet Fastställda av Säkerhetschefen 2018-08-14 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-02-23 1333-2009 City Dental i Stockholm AB Box 16156 111 51 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar

Läs mer

Emmaboda kommun. Granskning av Informationssäkerheten inom Emmaboda kommun. November november 2017

Emmaboda kommun. Granskning av Informationssäkerheten inom Emmaboda kommun. November november 2017 www.pwc.com/se Granskning av Informationssäkerheten inom November 2017 28 november 2017 Strängt personlig och konfidentiell Innehåll 3 4 5 6 7 18 2 Under perioden juni till augusti 2017 har på uppdrag

Läs mer

Uppföljning av tidigare granskningar

Uppföljning av tidigare granskningar Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2

Läs mer

Revisionsrapport Styrning och ledning av IT och informationssäkerhet

Revisionsrapport Styrning och ledning av IT och informationssäkerhet www.pwc.se Revisionsrapport Styrning och ledning av IT och informationssäkerhet Göran Persson- Lingman Sollefteå Robert Bergman Mars/2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund...

Läs mer

Intern kontroll och riskbedömningar. Strömsunds kommun

Intern kontroll och riskbedömningar. Strömsunds kommun www.pwc.se Revisionsrapport Intern kontroll och riskbedömningar Anneth Nyqvist Mars 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte och Revisionsfråga... 3 1.3. Kontrollmål

Läs mer

Revisionsrapport "Förstudie av kommunens ITorganisation"

Revisionsrapport Förstudie av kommunens ITorganisation 1(5) Ks 27 Dnr 2017-000354 Kort sammanfattning Kommunens revisorer har genomfört en förstudie om kommunens ITorganisation och överlämnat den till kommunstyrelsen för yttrande med önskat svar och synpunkter

Läs mer

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete s revisorer Kommunstyrelsen För kännedom: Kommunfullmäktiges presidium Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete Revisionen har via KPMG genomfört en granskning

Läs mer

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål. Informationssäkerhetspolicy 2011-2014 1. Bakgrund Detta dokument fastställs av kommunfullmäktige och gäller för all verksamhet inom kommunen. Detta betyder att det inte finns utrymme att besluta om lokala

Läs mer

Kundfordringar en uppföljande granskning

Kundfordringar en uppföljande granskning Kundfordringar en uppföljande granskning Revisionsrapport LANDSTINGETS REVISORER 2017 03 22 16REV47 2(7) Sammanfattning I vår tidigare granskning av kundfordringar uppmärksammades ett antal risker och

Läs mer

Rutin för Användarkonto, Procapita omsorg

Rutin för Användarkonto, Procapita omsorg 2018-06-27 1 (5) Kommunförvaltningen Användarkonto Procapita Ansvarig Systemägare procapita VoO + IFO Upprättad av Karin Broholm, Gustaf Janse Upprättad den 2018-06-27 Reviderad den 2018-07-19 Rutin för

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc www.pwc.se Revisionsrapport Joanna Hägg Tilda Lindell Granskning av intern kontroll Tierps kommun pwc Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Granskningsbakgrund...

Läs mer

Policy för intern styrning och kontroll

Policy för intern styrning och kontroll Rättslig grund Policy för intern styrning och kontroll Finansinspektionens föreskrifter och allmänna råd om styrning, riskhantering och kontroll i kreditinstitut (FFFS 2014:1) Dokumentägare Antagen datum

Läs mer

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10 Revisionsrapport KPMG AB Antal sidor: 10 Innehåll 1. Sammanfattning 1 2. Bakgrund 3 3. Syfte 3 4. Avgränsning 3 5. Revisionskriterier 4 6. Ansvarig styrelse/nämnd 4 7. Metod 4 8. Projektorganisation 4

Läs mer

Enheten för Administration och kommunikation TJÄNSTEUTLÅTANDE Diarienummer: KN 2017/424

Enheten för Administration och kommunikation TJÄNSTEUTLÅTANDE Diarienummer: KN 2017/424 Enheten för Administration kommunikation TJÄNSTEUTLÅTANDE Diarienummer: 2017-03-15 KN 2017/424 Handläggare: David Malmberg Tjänsteutlåtande Ärendebeskrivning Alla nämnder bolag ska upprätta interna kontrollplaner

Läs mer

IT- och informationssäkerhet

IT- och informationssäkerhet www.pwc.se Revisionsrapport IT- och informationssäkerhet Robert Bergman Revisionskonsult December 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte och Revisionsfråga...

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 586-2013 Omsorgsnämnden Trollhättans stad 461 83 Trollhättan Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut

Läs mer