Granskning av IT-säkerhet
|
|
- Ulla Lundgren
- för 7 år sedan
- Visningar:
Transkript
1 Revisionsrapport Ragnar Malmros Anna Lång Jon Arwidson Juni 2015 Granskning av IT-säkerhet Oskarshamns kommun
2 Innehållsförteckning 1. Inledning Bakgrund Revisionsfråga Granskningens omfattning Sammanfattning Observation, risk och rekommendation Appendix 1 - Genomförande Appendix 2 - Dokumentförteckning samt intervjuer Appendix 3 - Definitioner
3 1. Inledning 1.1. Bakgrund Kommuner blir alltmer beroende av sina informationssystem. Ny teknik utgör en viktig komponent för fungerande och effektiva verksamhetsprocesser men introducerar även nya risker. Kommunikationen med omvärlden ökar i omfattning och systemen blir mer integrerade såväl inom kommunen som med andra intressenter. Detta ställer krav på ett balanserat risktagande och ett väl fungerande säkerhetsarbete. Informationen måste skyddas mot obehörig åtkomst samtidigt som den skall finnas tillgänglig och dessutom vara tillförlitlig - rätt information i rätt tid och för rätt personer. En ändamålsenlig IT-verksamhet som baseras på grundläggande styrprinciper och en väl fungerande teknisk och funktionell plattform är en viktig förutsättning för en effektiv verksamhet. Inom ramen för revisionsarbetet har revisorerna uppmärksammat IT-säkerhet i sin risk- och väsentlighetsbedömning Revisionsfråga Har kommunstyrelsen på en övergripande nivå ändamålsenliga rutiner och processer för att hantera IT-säkerhet? Revisionskriterier Relevanta styrdokument avseende IT-säkerhet Kontrollmål Det finns ett strukturerat arbete för att säkerställa en god IT-säkerhet? Det finns erforderliga styrande dokument framtagna som är kommunicerade till intressenterna (t ex verksamheten)? Hantering av behörigheter (tillägg, förändring, borttag) sker strukturerat? Behörigheter till applikationer granskas periodiskt? Applikationen skyddas med lösenord som efterlever satta policys och leading practice? Loggfunktionalitet finns aktiverad i kritiska applikationer? Regelbundna logguttag och analys av genomförd aktivitet för de centrala enheterna? Ändamålsenlig förändringshanteringsrutin finns på plats? Rutiner för backup och avbrottshantering finns definierade? Utbildning av personal sker i IT-säkerhet? Oskarshamn kommun 1 av 22
4 Den interna kontrollen över IT och informationssäkerhet bedöms utifrån följande kriterier: Det finns en övergripande informationssäkerhetspolicy för kommunen. Det finns tydliga processer och riktlinjer definierade för tilldelning och utnyttjande av applikationer och system. Det finns kontroller, kontrollmoment och uppföljningsprocesser definierade där uppföljning av vad tredjepartsleverantören gör i systemen inkluderas, i syfte att säkerställa fullständighet och riktighet. Avsaknad eller brister inom dessa områden kan påverka tillgänglighet, riktighet och konfidentialitet, för både finansiell och icke finansiell information. Granskningen har utförts genom intervju med nyckelpersoner inom Oskarshamns kommun, samt med systemförvaltare för två applikationer som används inom hela kommunen. Vidare har stödjande dokumentation granskats. Granskningen har genomförts under juni Avgränsning Granskning ska främst fokusera på central hantering för att säkerställa att den interna kontrollen när det gäller IT-säkerhet är tillräcklig. Granskningen avser inte att vara: Bestyrkande. Tredjeparts bekräftelse (s.k. Third Party Assurance ). Intyg av drift/processer/intern kontroll. För mer information gällande metod och intervjuade personer se Appendix 1 och Granskningens omfattning Granskningen har utförts genom intervju med nyckelpersoner inom kommunen och systemförvaltare för två av de applikationer som används av hela kommunen. Samt granskning av stödjande dokumentation, policys och riktlinjer. Granskningen har avgränsats till nedanstående kontrollområden. Granskingens sakinnehåll har sakgranskats av Tomas Karlsson, IT-chef och Lars Blomberg, Säkerhetschef. Oskarshamn kommun 2 av 22
5 IT-styrning/ ansvarfördelning och förvaltningsrutiner - Det finns ett strukturerat arbete för att säkerställa en god ITsäkerhet? - Det finns erforderliga styrande dokument framtagna som är kommunicerade till intressenterna (t ex verksamheten)? - Utbildning av personal sker i IT-säkerhet? Behörighetshantering - Hantering av behörigheter (tillägg, förändring, borttag) sker strukturerat. - Behörigheter till applikationer granskas periodiskt? - Applikationen skyddas med lösenord som efterlever satta policys och leading practice? - Loggfunktionalitet finns aktiverad i kritiska applikationer? - Regelbundna logguttag och analys av genomförd aktivitet för de centrala enheterna? Förändringshantering - Ändamålsenlig förändringshanteringsrutin finns på plats? Drift - Rutiner för backup och avbrottshantering finns definierade? Granskningen har övergripande omfattat behörigheter och ansvarsfördelning i följande applikationer: Ref. nr. Applikation 1 Raindance 2 Public 360 Oskarshamn kommun 3 av 22
6 2. Sammanfattning Revisionen har genomfört en övergripande granskning av informationssäkerhet och IT-säkerhet på kommunen. Utgångspunkten för granskningen har varit att förstå om kommunen har ändamålsenliga rutiner och processer för att hantera ITsäkerhet. Granskningens utgångspunkt har varit den centrala IT-avdelningen och deras arbete, samt genom att granska förvaltningen för två applikationer inom kommunen. IT-avdelningen jobbar på uppdrag av kommunstyrelsen och tillhör kommunkontoret. IT-avdelningen har ansvar för all IT inom kommunen och tre bolag. Det arbetar 20 personer på IT-avdelningen varav 12 renodlat med IT. Avdelningen leds idag av IT-chefen. IT-chefen har till sin hjälp en övergripande säkerhetschef som stöttar i alla frågor som rör säkerhet. Säkerhetschefen tillhör formellt Räddningstjänsten. IT-chefen ingår inte i kommunens ledningsgrupp. IT-avdelningen har ansvar för ca 150 system, PC-klienter och läsplattor/ mobiler fördelat på användare. All drift av operativsystem, databas och applikationer sköts av IT-avdelningen medan systemförvaltningen sköts av verksamheten. IT-avdelningen har hand om både informations- och IT-säkerhet men det finns inte en person som formellt är utsedd till att vara den informationssäkerhetsansvarig för hela kommunen. Ansvaret för informationssäkerhet faller på respektive förvaltningschef för den information som förvaltningen hanterar. Det finns inget formellt uppdrag från kommunstyrelsen att avsätta resurser till att arbeta med frågor kring informations- och IT-säkerhet. IT-chefen arbetar i praktiken med dessa frågor. Det finns samarbeten med Regionförbundet i Kalmar län genom en informationssäkerhetssamordnare och med kommunerna Högsby och Hultsfred där det finns två gemensamma personer som arbetar med verksamhetsutveckling med stöd av IT. Det finns även ett länsgemensamt projekt där Myndigheten för samhälsskydd och beredskap (MSB) har tilldelat 1,5 MSEK till kompetenshöjande åtgärder inom informationssäkerhet vilket anses vara positivt. IT-styrning/ ansvarfördelning och förvaltningsrutiner Kommunen saknar informationssäkerhetspolicy. Det finns ett dokument med regler gällande IT som är det senaste formella styrdokumentet. IT-reglerna gäller från år 2006 men det saknas information om när reglerna senaste uppdaterades. Dokumentet liknas vid en instruktion för hur kommunens IT får användas. Det finns inte någon IT-säkerhetspolicy. En IT-säkerhetspolicy skulle komplettera informationssäkerhetspolicyn med riktlinjer kring IT-säkerhetsrelaterade frågor. Exempelvis kan en IT-säkerhetspolicy ställa krav på hur behörighetshantering, förändringshantering och drift ska skötas. Oskarshamn kommun 4 av 22
7 Det finns ett utkast på en informationssäkerhetspolicy som är framtagen i samarbete med informationssäkerhetsamordnaren på Regionförbundet i Kalmar län. Vid en övergripande granskning av policyn håller den god kvalitet och skulle vara ett steg i att få styrande dokument på plats. Det finns även en del dokumentation. Exempelvis riktlinjer för dokumenthantering som ger stöd i hur dokument ska informationsklassas. Det finns även en investeringspolicy som ska vara till stöd för IT-investeringar. Nämnder ska årligen bedöma sitt investeringsbehov och IT-avdelningen har ett samordningsansvar för ITinvesteringar. Det händer att IT-avdelningen inte blir involverade i ett tidigt skede utan får vetskap om investeringar för sent. Det finns även en kontinuitetsplan där applikationer kopplade till HSA (risktäckande katalogtjänst med kvalitetssäkrade uppgifter om personer, funktioner och enheter i Sveriges kommuner, landsting och privata vårdgivare) ingår. Dokumentationen som identifierats bygger bland annat på kontroller som utförs. Vi har under granskningen kunnat identifiera att det utförs vissa typer av kontroller som inte är dokumenterade. Exempelvis är många av kontrollerna som utförs i processen för att tilldela behörigheter inte dokumenterade. Det saknas en kontrollmatris. Det sker inte någon utbildning inom informations eller IT-säkerhet inom kommunen. Vid anställningstillfället får den nyanställde en kortare digital utbildning i informationssäkerhet kallad DISA (Datorstöd informationssäkerhetsutbildning för användare) som MSB tillhandahåller. Avtal med tredjepart för system och IT relaterade tjänster hanteras av ITavdelningen och det pågår ett arbete med att få med samtliga avtal i en avtalsdatabas för att på ett kontrollerat sätt kunna följa upp och kontrollera avtaletens livscykel. Vi informerades om att alla avtal inte är på plats men att situationen har blivit avsevärt mycket bättre sen arbetet med databasen påbörjades. Försvårande omständigheter är att avtalen ofta upprättas och ägs av respektive förvaltning. Detta har fått effekt på avtalen då förvaltningarna delvis saknar kompetens att utforma både krav och avtal. Kompetensen att ställa krav saknas främst gällande icke funktionella krav, det vill säga krav som mer relaterar till säkerhet och möjlighet att följa upp avtalet. För alla applikationer finns det utsedda systemägare och systemförvaltare. Dessa två roller kan kombineras men det saknas en tydlig beskrivning över ansvaret att vara ägare eller förvaltare. Vanligtvis finns systemägaren i den förvaltning som använder applikationen. För de gemensamma applikationer som finns arbetar ofta systemägaren på kommunkontoret. Oskarshamn kommun 5 av 22
8 Behörighetshantering Applikationsförvaltare intervjuades för två av kommunens applikationer, Public 360 och Raindance. För båda applikationerna finns det arbetsrutiner och kontrollmoment som utförs i samband med upplägg, förändring och borttag av användare. Detta bygger inte på formella kontroller och det finns inte alltid en tydlig definition om vem som får beställa eller besluta om vissa behörigheter. För applikationen Raindance är kontrollen för tilldelning något mer formaliserad då den kräver att förvaltningschefen godkänner alla nya användare med underskrift. IT-avdelningen undersöker möjligheterna till ett Identity Management System (IMS) för att automatisera borttag och kvalitetssäkra hela kontots livscykel. IMS finns med som en del av budgeten för år Periodisk genomgång av användare för applikationerna genomförs regelbundet men det saknas en formell kontroll som beskriver vad och när det ska utföras och vilken risk som lindras genom att kontrollen utförs. Public 360 är en applikation som hanterar ärenden inom kommunen, exempelvis ärenden som ska upp för politiskt beslut. I applikationen finns det olika roller som är utformande efter vad för typ av arbete användaren utför, exempelvis handläggare. Det är behörighetsstyrt så att handläggare endast kan se sina egna ärenden och att chefer kan se ärenden för de personer chefen ansvarar för. Det går att ha fler än en roll samtidigt i applikationen. Det finns inga formella riskanalyser gjorda i vem som kommer åt vilken information eller om det kan finnas en risk med att en person innehar flera roller. De roller som är uppsatta i applikationen bygger på standardroller men är i vissa fall justerade, då det går att lägga till eller ta bort funktioner. Public 360 använder sig av Singel Sign On (SSO). För applikationen Raindance som är kommunens ekonomisystem finns det olika roller. Tillgång till applikationen har ekonomiavdelningen på kommunkontoret som är cirka nio personer och ytterligare en person som jobbar på IT-avdelningen. Annan åtkomst går via Raindanceportalen som är ett webgränssnitt för att ta emot, kontera och attestera fakturor. Rollerna inom ekonomiavdelningen bygger på standardiserade roller i applikationen. Det finns ingen riskanalys gjord för vilka roller som är olämplig att kombinera. Attestflödet är styrt så att en person inte kan attestera och godkänna samma faktura, oavsett roll. Raindance använder sig inte av SSO utan säkerhetsinställningar hanteras i applikationen. Generellt för behörigheter så användas personliga konton. Arbetet med att städa upp bland opersonliga konton under de senaste åren har gett effekt och samtliga användare har numera personliga konton. Det finns vissa generiska konton kvar Oskarshamn kommun 6 av 22
9 inom IT-avdelningen. De generiska kontona är på väg att tas bort även inom ITavdelningen genom arbetet med Server Domain Isolation. För tilldelning, förändring och borttag av höga behörigheter på operativsystemsoch databasnivå ansvarar idag IT-avdelningen. Det finns inga formella kontroller vilket är en risk. Denna risk lindras något då avdelningen är liten. Det finns leverantörer som har direkt åtkomst till information. IT-avdelningen jobbar med ett projekt för Server Domin Isolation för att underlätt förvaltningen av operativsystemet och göra aktiviter mer spårbara och miljön säkrare genom bland annat personliga konton. Lösenordsinställningar för Active Directory (behörighetsstyrning för åtkomst till nätverk och operativsystem) och applikationen Raindance uppfyller inte de krav som kan anses vara god praxis för den typen av applikationer och funktioner de ger åtkomst till. För varken Public 360, Raindance, databaser eller operativsystemet finns det systematisk uppföljning av loggar. De loggar som övervakas och som larmar är loggar relaterade till prestanda, exempelvis larm för att diskutrymme håller på att ta slut eller att CPU-nivån är hög. Förändringshantering Det görs ingen egen utveckling av applikationerna och dess funktioner. De förändringar som utförs är standardiserad systemutveckling i form av versionsuppgraderingar eller tillägg av nya moduler. För Public 360 har det nyligen implementerats en ny version. Denna förändring hanterades med hjälp av en projektmodell som IT-avdelningen använder för alla större projekt. För Raindance läggs moduler till då ny funktionalitet krävs. För tillfället arbetar kommunen med att möjliggöra e-fakturor i större utsträckning vilket inneburit att en ny modul installeras. Större projekt hanteras vanligtvis genom projektmodell med implementerade kontroller och beslutspunkter, exempelvis för test och godkännande innan produktion. I och med att det inte görs någon egen utveckling så är ofta leverantören med i hela processen tills det att förändringen är implementerad. Vi har under granskningen inspekterat projektplanen för uppgraderingen till ny version av Public 360, vilken innehåller västenliga steg och beslutspunkter. Kommunen har uppskattningsvis sex större förändringar per år. Det finns inte kontroller för att säkerställa Segregation of Duties mellan personer som jobbar med systemutveckling och de som kan produktionssätta förändringar. Många delar av denna process hanteras av leverantörerna av applikationen. För databaser och operativsystem görs inga justeringar utan endast patchning och versionsuppgraderingar. Delvis finns det uppdateringar som sker automatiskt och Oskarshamn kommun 7 av 22
10 IT-avdelningen arbetar med att utveckla den automatiserade uppdateringen. Det finns en rutin framtagen för hur patchning ska hanteras, vilken anses vara ändamålsenlig. Drift Alla backuper hanteras av IT-avdelningen. Det finns systemstöd kallat Netapp som managerar och övervakar backuper. Den automatiska övervakningen sker i realtid och varnar för bland annat om det är mer än 27 timmar sedan senaste lyckade backup genomfördes eller om CPU belastning är för hög. Larmen från övervakningen skapar inte automatiskt incidenter och larm kan lösa sig av sig självt, om t.ex. belastningen på CPU går upp över kritiska nivåer. Servicetekniker är ansvarig för att följa upp och säkerställa att alla larm blir hanterade och att backuper går enligt plan. Det finns inga krav på att larm ska generera incidenter eller liknande. Det sker inte några regelbundna återläsningstester av backuper. Däremot har det skett återläsningar av information och hela system i skarpt läge, vilket enligt uppgift har fungerat bra. Det finns ett dokument framtaget med rutiner för backup, vilket anses vara ändamålsenligt. Återläsningar av backuper är inte en del av detta dokument. Kravställning av backuper och lagringstider kommer ofta som förslag från ITavdelningen till verksamheten som accepterar förslagen. IT-avdelningen upplever att verksamheten inte alltid reflekterar över den föreslagna lösningen utan accepterar rakt av vad IT-avdelningen säger. Det finns inga tydliga krav eller riktlinjer för hur länge olika typer av information ska sparas. Batchjobb hanteras på samma sätt som backuper. Det finns systemstöd som hanterar och övervakar. Inga incidenter skapas av larmen och uppföljningen av larm är manuell. Incidenter gällande driften hanteras i möjligaste mån av IT-avdelningen. Enligt ITavdelningen saknas det idag ett anpassat systemstöd för att hantera alla ITrelaterade incidenter. Det som används idag är det ärendehanteringssystem som kommunen service center hanterar alla sina ärenden i. IT-avdelningen har undersökt möjligheten att få ett ärendehanteringssystem som stöder ITIL-processerna för att kunna arbeta effektivare med hanteringen av incidenter. IT-avdelningen är medveten om att många incidenter som inte rör driften av plattformarna hamnar direkt vid systemägaren som kontaktar leverantör. Följden av detta är att IT-avdelningen inte har insikt i alla incidenter och inte heller kan arbeta proaktivt med att förhindra dessa. IT-avdelningen har börjat begära incidentrapporter från leverantörerna för att få bättre kontroll. För att få kontroll över allvarliga incidenter har IT-avdelningen tagit fram en mall för rapportering av allvarliga incidenter som anses uppfylla sitt syfte. Det finns en övergripande krishanteringsplan inom kommunen. Det finns inte Disaster recovery plan (DRP) för IT, som ska vara till hjälp för att hantera de IT- Oskarshamn kommun 8 av 22
11 relaterade bitarna vid någon form av oförutsedd händelse. IT-avdelningen upplever inte att det finns något tydligt uppdrag från politiken att hantera frågan med DRP. Det finns det två datahallar, som till viss del täcker upp för varandra men det är ingen komplett duplicerad lösning. Den ena vid stadshuset och den andra vid räddningstjänsten, som båda är försedda med UPS och avbrottsfri strömförsörjning genom diesel. MSB har nyligen granskat dessa, som en del i ett projekt kallat den kommunala ledningsplatsen och kommit fram till att stadshuset måste ha ny dieselmotor som genererar reservkraft som täcker hela stadshusets behov. Idag är det endast vissa delar som har reservkraft genom diesel vilket bland annat påverkar kylningen till datahallen. MSBs granskning kom även fram till att det måste finns ytterligare en kylmetod för datahallen. Där av pågår ett projekt med en tredje kylmetod som baseras på kylning med hjälp av havsvatten. Den nya reservkraften är beställd. Summering Den övergripande bedömningen är att det görs många bra saker för att säkerställa tillgänglighet, riktighet, konfidentiallitet och spårbarhet i information och ITapplikationer. Det saknas styrande dokumentation såsom Informationssäkerhetspolicy och det saknas även formaliserade kontroller som är möjliga att följa upp, granska och bedöma. Sammanfattningsvis bör kommunen genomföra förbättringar inom följande områden: Informations- och IT-säkerhetspolicy Interna kontroller för kritiska applikationer inom kommunen inom behörighetshantering, förändringshantering och drift. Periodisk granskning av behörigheter bör ytterligare formaliseras och dokumenteras av de lokala enheterna gällande för alla applikationer där det anses nödvändigt. Återläsning av backuper. Gruppkonton för IT-avdelningen bör tas bort. Säkerhetsinställningar bör uppdateras. Vi bedömer att ovanstående inte är i enlighet med god praxis för intern kontroll och kommunen rekommenderas att genomföra föreslagna förbättringar. För samtliga observationer vilka noterats i samband med granskningen, se nedanstående tabell. Oskarshamn kommun 9 av 22
12 Nedan har observationer för granskningen sammanställts på aggregerad nivå. Observationerna har bedömts efter dess väsentlighet, graderingen illustreras med hjälp av följande definition: Hög En brist med stor påverkan på system, processer eller intern kontroll vilken kan medföra att verksamheten exponeras för betydande förluster eller väsentliga fel i den finansiella rapporteringen. Brister med prioritet hög bör hanterats snarat. Mellan En brist med påverkan på system, processer eller intern kontroll som kan medföra att verksamheten exponeras för förluster eller ett betydande fel i den finansiella rapporteringen. Brister med prioritet mellan bör hanteras inom ett år. Låg Mindre brister eller fel där risken för otillbörlig användning och/eller felaktigheter i bokföringen är lägre, men där det ändå bedöms finnas utrymme för förbättringar. Brister med prioritet låg bör hanteras inom två år. Ref. Observation Prioritet Styrning av informations- och IT-säkerhet Hög Avsaknad av formella rutiner för behörighetshantering Mellan Avsaknad av förvaltningsmodell Mellan Avsaknad av formella rutiner för direkta databasförändringar Mellan Avsaknad av rutiner för backup och avbrottshantering Mellan Säkerhetsinställningar Mellan Avsaknad av formella rutiner för förändringshantering Låg Avsaknad av utbildning Låg För mer information och detaljer gällande respektive observation se sektionen Observation, risk och rekommendation. Oskarshamn kommun 10 av 22
13 3. Observation, risk och rekommendation Styrning av informations- och IT-säkerhet Observation Det noterades under granskningen att det inte finns ett formellt uppdrag från politiken att arbeta med frågor kring informations- och IT-säkerhet. Följderna av detta är att det inte finns någon person som är utsedd att vara ansvarig för informationssäkerhet. Ansvaret för IT-säkerhet finns hos IT-chefen trots avsaknaden av tydligt formulerat uppdrag. Det finns inga uppdaterade styrdokument för informations- och IT-säkerhet. Detta innebär att det saknas en informationssäkerhetspolicy som är det dokumentet i vilket kommunstyrelsen sätter riktning och mål med informationssäkerhetsabetet. Trots att informationssäkerhetspolicyn saknas noterades det under granskningen att det finns tankar, arbetssätt och till viss del dokumenterade riktlinjer för hur kommunen arbetar med kontroller relaterade till informations- och IT-säkerhet. Exempelvis finns det riktlinjer för dokumenthantering som till viss del stödjer hur informationsklassning ska göras. Men riktlinjen uppfyller inte fullt ut de krav som gäller för informationsklassning i exempelvis ISO Det finns ingen övergripande dokumentation som identifierar alla kontroller eller kontrollmoment som utförs inom de olika förvaltningarna. Vi har sett ett antal initiativ som är påbörjade för att driva arbetet med informations- och IT-säkerhet framåt. Bland annat noterades det att Regionförbundet i Kalmar län har en gemensam resurs för att jobba med informationssäkerhet. Detta har bland annat resulterat i ett utkast till en informationssäkerhetspolicy och mall för systemsäkerhetsanalys. Det finns även två resurser som delas med Högsby och Hultsfreds kommun som arbetar med verksamhetsutveckling med stöd av IT. Risk Utan ett formellt uppdrag och någon som är formellt ansvarig för informationssäkerhet finns det en risk att ansvaret i frågan blir otydligt och att arbetet faller mellan olika stolar. Risken ökar i och med att det idag inte finns någon policy som berättar vad informationssäkerhet innebär och i förlängningen vad kommunen och dess anställda ska göra för att skydda sina informationstillgångar. Rekommendation Oskarshamns kommun rekommenderas att upprätta ett formellt uppdrag att jobba med informationssäkerhet och att peka ut ansvariga för både informations- och ITsäkerhet. Oskarshamns kommun rekommenderas även att införa en informationssäkerhetspolicy för att styra arbetet med informationssäkerhet. Prioritet: Hög Oskarshamn kommun 11 av 22
14 Avsaknad av formella rutiner för behörighetshantering Observation Vi noterade under granskningen att det i de flesta fall saknas formella rutiner och kontroller för behörighetshantering. Tilldelning, ändring och borttag av behörigheter sker inte okontrollerat men det finns inga dokumenterade kontroller och de kontrollmoment som utförs dokumenteras inte alltid. Exempelvis kan inte vem som helst beställa eller ändra en behörighet och det genomförs regelbundna kontroller att användare fortfarande ska ha åtkomst till applikationen. IT-avdelningen har börjat undersöka systemstöd för att kunna koppla ihop åtkomsten till kommunens nätverk med information från HR-applikationen för att möjliggöra att den generella behörighet till nätverk avslutas med automatik när en person slutar. Detta ligger med i budgeten för år Vidare noterades att IT-avdelningen har jobbat med att rensa bort ej personliga användarkonton från IT-miljön. Detta har resulterat i att alla normala användare numera har personliga konton. Vi noterade att det finns opersonliga konton kvar på IT-avdelningen. Under granskningen informerades vi även om att det inte sker någon systematisk uppföljning av loggar för höga behörigheter i operativsystem, databaser eller applikationer. Risk Avsaknad av formella rutiner och kontroller för tilldelning, förändring och borttag av behörigheter ökar risken för att obehöriga användare har tillgång till funktioner eller information. Avsaknad av rutiner för uppföljning av loggar ökar risken för felaktiga eller bedrägliga förändringar till känslig data som exempelvis bankkontonummer, leverantörsuppgifter, kritiska konteringar etc. Risken gäller både finansiell information och de operativa processerna. Risken ökar om opersonliga konton används. Rekommendation Kommunen rekommenderas att införa en generell rutin för hur tilldelning, förändring och borttag av behörigheter ska hanteras för kommunens applikationer. Kommunen rekommenderas att utvärdera vilken typ av användare som bör loggas och vilken typ av logg som systematiskt bör granskas. Prioritet: Mellan Oskarshamn kommun 12 av 22
15 Avsaknad av förvaltningsmodell Observation Det finns ingen modell för systemförvaltning implementerad. Från IT-avdelningens sida har efterforskningar gjorts angående Pm3 och om det skulle vara möjligt att inför modellen. Organisationen kring IT är till viss del decentraliserad. Detta visar sig genom att lokala applikationsägare tar egna initiativ och ibland upphandlar och köper in applikationer utan den centrala IT-avdelningen vetskap. För att förhindra detta finns en investeringspolicy som ställer krav på att den centrala IT-avdelningen ska vara inblandad i alla beslut om nya applikationer. Vidare har applikationsägarna som ofta tillhör respektive förvaltning direkt kontakt med leverantörer gällande support och incidenter. Detta gör att IT-avdelningen inte har fullständig kontroll över vad som händer på respektive förvaltning. Driften av IT-miljön är centraliserad och sköts av IT-avdelningen. Vidare noterade vi att IT-avdelningen har jobbat aktivt med att skapa en avtalsdatabas för att möjliggöra fullständig kontroll över samtliga avtal. Även om situationen är bättre finns det fortfarande avtal som IT-avdelningen inte har någon kunskap om eller som är för dåligt utformade. Detta kan vara på grund av att förvaltningarna själva initierat processen och skrivit avtalen. Risk Avsaknaden av en förvaltningsmodell innebär en risk att arbete med förvaltningen kan falla mellan stolar eller att applikationsägaren inte vet vad deras roll innebär. I och med att applikationsägarna ofta tillhör respektive förvaltning ökar risken att ITavdelningen inte har möjlighet att kontrollera applikationerna. Den decentraliserade uppsättning som finns idag ökar risken för att icke strategiska beslut fattas av förvaltningarna och att kommunen inte drar nytta av sina stordriftsfördelar. Risken med att avtalen inte kontrolleras centralt är att det inte följs upp om kommunen får den service man betalar för, eller att det vid upphandling inte ställs tillräckliga krav på leverantören. Rekommendation Kommunen rekommenderas att införa tydliga roller och ansvar gällande förvaltning och inköp av IT-relaterade produkter. Applikationsägareansvar bör vara tydligt specificerat liksom ansvaret för att hantera inköp och avtal. Det bör undersökas om det finns ett värde för kommunen att implementera en modell för förvaltning av applikationerna. En tydlig förvaltningsmodell kan hjälpa till att skapa en mer centraliserad kontroll över IT genom definition av roller och ansvar. Dock är det inte säkert att implementationen av en hel förvaltningsmodell levererar värde utan att det kan vara vissa delar som man bör fokusera på. Prioritet: Mellan Oskarshamn kommun 13 av 22
16 Avsaknad av formella rutiner för direkta databasförändringar Observation Det noterades under granskningen att systemleverantörer i många fall har direkt åtkomst till de databaser som applikationen använder och att applikationsägare vanligtvis tar direkt kontakt med systemleverantörer vid incidenter eller liknande som kan leda till förändringar i databasen. Risk Avsaknad av formella rutiner för hantering av direkta databasförändringar ökar risken för att icke godkända förändringar genomförs och att spårbarheten i förändringarna är låg. Detta påverkar i sin tur hur tillförlitlig information i applikationerna är. Rekommendation Kommunen rekommenderas att införa en rutin för hur direkta förändringar till databasen hanteras. För att kunna kontrollera vem som har initierat förändringen och vem som har utför den. Prioritet: Mellan Oskarshamn kommun 14 av 22
17 Avsaknad av rutiner för backup och avbrottshantering Observation Det noterades att det inte finns några formella kontroller relaterade till uppföljning av larm för backuper. Det finns manuella kontroller som genomförs. Det noterades även under granskningen att det inte finns några formella rutiner för att genomföra återläsningstester av backuper. Det har skett återläsningar av information och hela system i skarpt läge vilket har gått bra. Vidare saknas det också formella riktlinjer om hur länge viss information ska sparas. IT-avdelningen kommunicerar hur backuper och arkivering fungerar med enligt information är respons från verksamheten låg när det kommer till aktiva beslut om hur länge något måste sparas. Risk Det finns risk att kontroller som inte går att följa upp och verifiera inte utförts, vilket är risken kopplade till uppföljningen av larm. Risken är förhållandevis låg. Risken kopplad till avsaknaden av formella rutiner för att genomföra återläsningstester av backup är att informationen inte är tillgänglig när den behövs. Det finns risk att backuper inte går att använda vilket gör att information kan gå förlorad. Avsaknad av formella riktlinjer för hur länge information ska sparas ökar risken att information inte finns tillgänglig när den behövs. Det ökar även risken att kommunen inte följer lagar och regler gällande hur länge information ska sparas. Rekommendation Kommunen rekommenderas att se över om det finns möjlighet att implementera kontroller relaterade till uppföljning av larm kopplade till backuper. Vidare rekommenderas kommunen att införa en rutin för återläsning av backuper för att öka säkerheten i att backuper kan användas på det sätt som är tänkt. Kommunen rekommenderas också att ställa krav på verksamheten och begära uppgifter om hur länge information ska finnas tillgänglig för att säkerställa att nuvarande uppsättning fyller deras krav. Prioritet: Mellan Oskarshamn kommun 15 av 22
18 Säkerhetsinställningar Observation Under granskningen noterades det att Windows Active Directory (AD) används för att ge generell åtkomst till kommunens nätverk och till vissa applikationer genom Singel Sign On (SSO). AD har inte lösenordsoinställningar som anses vara god praxis. Den granskade applikationen Public 360 använder SSO. Applikationen Raindance använder inte SSO utan inställningar för lösenord hanteras i applikationen. Inställningarna för Raindance anses inte uppfylla god praxis. Risk Det finns en ökad risk att obehöriga användare kommer åt information eller funktioner i systemet om de lösenord som skyddar användaren inte är tillräckligt långa eller ställer vissa krav på komplexitet och periodiska byten. Rekommendation Kommunen föreslås införa starkare krav på lösenord för att säkerställa att de lösenord som används uppnår sitt syfte. Prioritet: Mellan Oskarshamn kommun 16 av 22
19 Avsaknad av formella rutiner för förändringshantering Observation Under granskningen noterades att det inte finns några formella rutiner för förändringshantering. Vi noterade att det inte genomförs förändringar (change) till applikationerna utan att det som sker handlar om utveckling (development). Det som genomförs är versionsuppgraderingar och tillägg av moduler etc. Dessa är i många fall kontrollerade genom den projektmodell som IT-avdelningen använder sig av, vilken innehåller beslutspunkter och kontrollmoment för bland annat test och godkännande före produktionssättning. Risk Avsaknad av tydliga krav i rutinen för förändringshantering ökar risken för att felaktiga implementeringar görs i produktionsmiljö som kan påverka applikationernas funktionalitet. Risken lindras av att det endast är större och standardiserade förändringar som implementeras och inte förändringar som är initierade och utvecklade för kommunens räkning. Risken lindras även av att projekten för dessa införanden ofta är stora nog av att hanteras i projektmodellen. Rekommendation Kommunen rekommenderas att införa en process för ändringshantering för att se till att alla förändringar som görs följer projektmodellen och att det finns tydliga beslutspunkter för testning av förändringen och beslut om att införa denna i produktionsmiljö. Prioritet: Låg Oskarshamn kommun 17 av 22
20 Avsaknad av utbildning Observation Det noterades under granskningen att det inte förkommer någon regelbunden utbildning i informationssäkerhet för anställda inom kommunen. Kommunens nyanställda genomgår en kortare utbildning (ca 20 minuter) vid anställning där syftet är att informera om informationssäkerhet. Denna utbildning är tillgänglig genom MSB (Myndigheten för samhällsskydd och beredskap) och kallas för DISA (Datorstöd informationssäkerhetsutbildning för användare). Risk Avsaknad av regelbunden utbildning i informationssäkerhet gör att medvetenheten om risker förknippande med informationssäkerhet kan hamna på en låg nivå. Utan medvetenheten ökar risken att avancerade tekniska lösningar som skyddar information inte fungerar då anställda medvetet eller omedvetet kringgår dessa. Exempelvis genom att ha lösenord nedskrivet på en lapp. Rekommendation Kommunen rekommenderas att utvärdera möjligheterna till att regelbundet utbilda och informera sina anställda i aktuella frågeställningar och risker kring informationssäkerhet. Prioritet: Låg Oskarshamn kommun 18 av 22
21 4. Appendix 1 - Genomförande Granskningen har genomförts via intervjuer med IT-chef och Säkerhetschef på Oskarshamns Kommun samt personal gällande förvaltning av applikationerna Public 360 och Raindance. I samband med dessa intervjuer har följande generella kontroller gällande drift och hantering och applikationer granskats: IT-styrning/ ansvarfördelning och förvaltningsrutiner - Det finns ett strukturerat arbete för att säkerställa en god ITsäkerhet? - Det finns erforderliga styrande dokument framtagna som är kommunicerade till intressenterna (t ex verksamheten)? - Utbildning av personal sker i IT-säkerhet? Behörighetshantering - Hantering av behörigheter (tillägg, förändring, borttag) sker strukturerat. - Behörigheter till applikationer granskas periodiskt? - Applikationen skyddas med lösenord som efterlever satta policys och leading practice? - Loggfunktionalitet finns aktiverad i kritiska applikationer? - Regelbundna logguttag och analys av genomförd aktivitet för de centrala enheterna? Förändringshantering - Ändamålsenlig förändringshanteringsrutin finns på plats? Drift - Rutiner för backup och avbrottshantering finns definierade? Följande personer har intervjuats i samband med granskningen: Tomas Karlsson, IT-chef Lars Blomberg, Säkerhetschef Andreas Carlsson, Driftansvarig IT-avdelningen Eva Nilsson, Systemförvaltare Public 360 Elin Johansson, Systemförvaltare Public 360 Kristina Danielsson, Systemförvaltare Raindance Intervjufrågor har baserats på de generella kontroller som identifieras ovan. För vissa områden där det funnits stödjande dokumentation har vi granskat denna. Dokumentation och information från intervjun har varit till underlag för de bedömningar som gjorts relaterade till kontrollen. All typ av information och dokumentation har beaktats, även om den inte anses var av formell karaktär. Samtliga intervjuade personer har fått möjligheten att lämna kommentarer på de områden i rapporeten som de varit involverade i. Oskarshamn kommun 19 av 22
22 5. Appendix 2 - Dokumentförteckning samt intervjuer Under granskningen tagit del av följande dokument: Dokument Arkivbeskrivning för kommunstyrelsen Arkivreglemente fastställt Backuprutiner HSA_Anslutningsavtal_HPTA_Oskar shamns_kommun_version_3.6.2 Incidentrapport strömavbrott Informationssäkerhetspolicy Oskarshamns kommun IT-regler KS Strategi för bredband Oskarshamns kommun.doc _5_0 PatchrutinerServrarochDB Projektplan ver 5 Public 360 SP7 Restorerutiner Riktlinjer för avtalshantering Riktlinjer för bredband Rutiner_OskarshamnsKommun_SE _version_1_2 Service o Support Struktur AD Tjänsteavtal SITHS bilaga RAPS KO Oskarshamn Kort information Sammanfattning hur arkiv är organiserat Reglemente för kommunfullmäktige samt kommunens myndigheter Information om hantering av backuper Speglingsdokument till HSA-policyn anpassat till kommunen Exempel på incidentrapport Information om kommunens arbete med informationssäkerhet Regler för användning av IT-system Kommunens strategi för bredband Patchhantering på Kommunen Projektplan Oskarshamn Kommun, för Public 360 Restorerutiner Oskarshamn Kommun Avtalshantering för verksamheter inom Kommunen Riktlinjer för bredbandsutbyggnad Skriftliga rutiner i samband med kort- och certifikatutgivning Flödesschema service och support Karta över AD-strukturen Beskriver hur RA-organisationen är utformad i Kommunen Oskarshamn kommun 20 av 22
23 6. Appendix 3 - Definitioner Ord Informationssäkerhet IT-säkerhet Pm3 Patch Definition Informationssäkerhet syftar till de rutiner som kommunen implementerar för att säkerställa informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet. Det vill säga att rätt information är tillgänglig för rätt person inom rimlig tid. IT-säkerhet syftar till att skydda kommunens värdefulla tillgångar som information, hårdvara och mjukvara. IT-säkerheten fokuserar främst på att hantera risker förknippade med användningen av IT. Pm3 är en förvaltnings- och portföljstyrningsmodell. Det betyder att pm3 både kan användas till att skapa ordning och reda i det enskilda förvaltningsuppdraget samt för att hantera organisationens totala uppdragsportfölj avseende förvaltning och utveckling. Är en rättning (programfix eller buggfix) som installeras i en applikation. En mindre uppdatering som ofta genomförs regelbundet. Oskarshamn kommun 21 av 22
24 Ragnar Malmros Projektledare Pär Sturesson Uppdragsledare Oskarshamn kommun 22 av 22
Revisionsrapport. IT-revision Solna Stad ecompanion
Revisionsrapport IT-revision 2013 Solna Stad ecompanion Fredrik Dreimanis November 2013 Innehållsförteckning Inledning... 3 Avgränsning.3 Granskningens omfattning... 4 Sammanfattning... 5 Observationer
Läs merRegion Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017
Region Gotland Generella IT kontroller Visma och HR Plus Detaljerade observationer och rekommendationer Februari 2017 Fredrik Dreimanis Jonas Leander Innehållsförteckning Sammanfattning av granskningen...
Läs merTyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017
Tyresö kommun Generella IT kontroller Economa och Heroma Detaljerade observationer och rekommendationer Juni 2017 Fredrik Dreimanis Johan Jelbring Tina Emami Innehållsförteckning Sammanfattning av granskningen...
Läs merSollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017
Sollentuna kommun Generella IT kontroller Visma Affärslösningar Detaljerade observationer och rekommendationer November 2017 Fredrik Dreimanis Johan Jelbring Jesper Östling Innehållsförteckning Sammanfattning
Läs merUppföljningsrapport IT-revision 2013
Revisionsrapport Uppföljningsrapport IT-revision 2013 Solna Stad Raindance Fredrik Dreimanis November 2013 1 av 10 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning... 5
Läs merUppföljningsrapport IT-generella kontroller 2015
Revisionsrapport Uppföljningsrapport IT-generella kontroller 2015 Uppsala kommun Gustaf Gambe Frida Ilander 15 september 2015 1 av 17 Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning...
Läs merVäxjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:
www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet avseende externt och internt dataintrång Informationssäkerhetsspecialister: Viktor Bergvall Linus Owman Certifierad kommunal revisor: Lena
Läs merRevisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018
SKATTEVERKET 171 94 SOLNA Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018 Som en del av arbetet med att granska Skatteverkets årsredovisning 2018 har
Läs merÖvergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun
Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.
Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen
Läs merInformationssäkerhetspolicy för Ånge kommun
INFORMATIONSSÄKERHETSPOLICY 1 (10) Informationssäkerhetspolicy för Ånge kommun Denna informationssäkerhetspolicy anger hur Ånge kommun arbetar med informationssäkerhet och uttrycker kommunens stöd för
Läs merInformationssäkerhetspolicy för Katrineholms kommun
Styrdokument Informationssäkerhetspolicy för Katrineholms kommun Senast reviderad av kommunfullmäktige, 203 2 (10) Beslutshistorik Gäller från 2013-09-16 2015-12-31 2010-08-18 Revision enligt beslut av
Läs merIT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina
1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,
Läs merGislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:
www.pwc.se Övergripande säkerhetsgranskning av kommunens säkerhet angående externt och internt dataintrång Informationssäkerhetsspecialister: Pernilla Nordström Viktor Bergvall Victor Svensson Kommunalrevisor:
Läs merBolagsspecifika resultat Sektion 3. Page 1
Bolagsspecifika resultat Page 1 Omfattning av granskning Introduktion EY har under 2015 genomfört en uppföljning av de observationer som noterades i samband med IT-revisionen 2014. De tidigare observationerna
Läs merIT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.
Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice
Läs merRegion Skåne Granskning av IT-kontroller
Region Skåne Granskning av IT-kontroller Per Stomberg Niklas Westerlund Deloitte AB Januari 2016 2 Innehållsförteckning 1. Sammanfattning... 3 2. Inledning... 4 2.1 Bakgrund och syfte... 4 2.2 Revisionskriterier...
Läs merGranskning av IT intern kontroll
1 Styrelseärende Styrelsen 2014-03-13 Ärende 8 Handläggare: Lars Brogren Telefon: 08-508 370 00 (vx) Till styrelsen Granskning av IT intern kontroll VD:s förslag till beslut Styrelsen för Svenska Bostäder
Läs merBotkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.
Botkyrka Kommun Revisionsrapport Generella IT kontroller Aditro och HRM Detaljerade observationer och rekommendationer Oktober 2015 Anders Hägg Fredrik Dreimanis Anna Lång Thomas Bauer Innehållsförteckning
Läs merRevisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016
www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016 Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4
Läs merGranskning av generella IT-kontroller för PLSsystemet
F Ö R S V A R E T S M A T E R I E LV E R K (F M V ) 115 88 S T O C K HO LM Försvarets materielverk (FMV) Granskning av generella IT-kontroller för PLSsystemet vid Försvarets materielverk (FMV) Som ett
Läs merGranskning av intern kontroll i kommunens huvudboksprocess
Revisionsrapport Granskning av intern kontroll i kommunens huvudboksprocess Marks kommun Andreas Crusell Erik Sellergren Augusti 2015 Innehållsförteckning 1. Introduktion... 1 1.1. Bakgrund och revisionsfråga...
Läs merGranskning av räddningstjänstens ITverksamhet
www.pwc.se Granskning av räddningstjänstens ITverksamhet Författare: Niklas Ljung, projektledare Ida Ek, utredare Södertörns Brandförsvarsförbund December 2017 1. Bakgrund och syfte Bakgrund och syfte
Läs merRevision av den interna kontrollen kring uppbördssystemet REX
1 Revision av den interna kontrollen kring uppbördssystemet REX 1 Inledning Riksrevisionen har som ett led i den årliga revisionen 2012 av Kronofogdemyndigheten (KFM) granskat den interna kontrollen kring
Läs merFörstudie: Övergripande granskning av ITdriften
Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...
Läs merInformationssäkerhetspolicy
Informationssäkerhetspolicy KS/2018:260 Ansvarig: Kanslichef Gäller från och med: 2018-07-19 Uppföljning / revidering ska senast ske: 2019-07-19 Beslutad av kommunfullmäktige 2018-06-20, 60 Innehållsförteckning
Läs merBilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag
Förfrågningsunderlag stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav
Läs merInformationssäkerhetspolicy KS/2018:260
Informationssäkerhetspolicy KS/2018:260 Innehållsförteckning Antagen av kommunfullmäktige den [månad_år] Informationssäkerhetspolicy...22 Ändringar införda till och med KF, [nr/år] Inledning och bakgrund...22
Läs merGranskning av generella IT-kontroller för ett urval system vid Skatteverket 2017
SKATTEVERKET 171 94 SOLNA Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017 Som ett led i granskningen av årsredovisningen med syfte att göra uttalanden om denna har Riksrevisionen
Läs merInternt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)
Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning
Läs merIT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group
IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf
Läs merGranskning av generella IT-kontroller för ett urval system vid Skatteverket
SKATTEVERKET 171 94 SOLNA Granskning av generella IT-kontroller för ett urval system vid Skatteverket Som ett led i granskningen av årsredovisningen med syfte att göra uttalanden om denna har Riksrevisionen
Läs merInformationssäkerhetspolicy för Ystads kommun F 17:01
KS 2017/147 2017.2189 2017-06-29 Informationssäkerhetspolicy för Ystads kommun F 17:01 Dokumentet gäller för: Ystads kommuns nämnder, kommunala bolag och kommunala förbund Gäller fr.o.m. - t.o.m. 2017-08-01-tillsvidare
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.
Revisionsrapport Kungl. Musikhögskolan i Stockholm Box 27711 115 91 Stockholm Datum Dnr 2011-03-08 32-2010-0733 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan
Läs merIT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert
Läs merGranskning av kommunens IT-säkerhet 2017
Granskning av kommunens IT-säkerhet 2017 KOMMUNREVISIONEN Revisionsrapport 1(11) Revisionskontoret 6 2017-12-13 KR 2017/0039 Granskning av kommunens IT-säkerhet Innehållsförteckning 1. Sammanfattning...
Läs merInformationssäkerhetspolicy
Informationssäkerhetspolicy Tyresö kommun 2014-03-06 Innehållsförteckning 1 Mål för informationssäkerhetsarbetet... 3 2 Policyns syfte... 3 3 Grundprinciper... 4 4 Generella krav... 4 4.1 Kommunens informationstillgångar...
Läs merDNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen
TJÄNSTESKRIVELSE Datum DNR: KS2016/918/01 2018-03-07 1 (1) Kommunstyrelsen Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Förslag till beslut Förslaget till Informationssäkerhetspolicy för
Läs merGranskning av applikationenn Basware oktober 2012*
Granskning av applikationenn Basware 2012 22 oktober 2012* 1. Granskningens omfattning PwC har på uppdrag av revisionskontoret (Kjell Johansson) genomfört en granskning av applikationen Basware. Syftet
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.
Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan
Läs merHåbo kommuns förtroendevalda revisorer
www.pwc.se Revisionsrapport Granskning av intrångsskydd Niklas Ljung Mattias Gröndahl Håbo kommuns förtroendevalda revisorer April/2018 Innehåll Sammanfattning... 2 1. Inledning... 4 1.1. Granskningsbakgrund...
Läs merRegler och instruktioner för verksamheten
Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig
Läs merGranskning av intern kontroll i lönehanteringen
www.pwc.se Granskning av intern kontroll i lönehanteringen Anna Lycke Börjesson (Certifierad kommunal revisor) Erik Sellergren Amanda Elg Vårgårda kommun och Herrljunga kommun Juni 2017 Juni 2017 Innehåll
Läs merTJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63
TJÄNSTESKRIVELSE 2019-01-14 Kommunstyrelsen Richard Buske Tf säkerhetschef Telefon 08 555 010 22 richard.buske@nykvarn.se informationssäkerhetspolicy KS/2019:63 Förvaltningens förslag till beslut Revidering
Läs merIT-säkerhet Internt intrångstest
Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...
Läs merNr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen 2014-05-03, dnr VER 2014-132
Riksrevisionen årlig revision 1 (12) 4.2 Systemgenererade listor över applikationsförändringar kan för närvarande inte produceras. Avsaknad av fullständiga listor över applikationsförändringar som har
Läs merInformationssäkerhetspolicy
2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,
Läs merInformationssäkerhet, Linköpings kommun
1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...
Läs merInformationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??
Informationssäkerhet Hur skall jag som chef hantera detta?? Vad är det?? Vad är informationssäkerhet? Informationssäkerhet handlar om att skapa och upprätthålla ett lämpligt skydd av information. Information
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.
Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010
Läs merIT-säkerhet Externt och internt intrångstest
Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och
Läs merÖvergripande granskning av ITverksamheten
Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads
Läs merRevisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket 171 94 Solna. Datum Dnr 2012-02-03 32-2011-0544
Revisionsrapport Skatteverket 171 94 Solna Datum Dnr 2012-02-03 32-2011-0544 Revision av uppbördsprocessen Moms 1 Inledning Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat
Läs merGRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret
GRANSKNINGS Uppföljning IT-granskningar Projektledare: Lotta Onsö Beslutad av revisorskollegiet 2013-06-12 RAPP Uppföljning IT-granskningar Postadress: Stadshuset, 205 80 Malmö Besöksadress: August Palms
Läs merPolicy för informations- säkerhet och personuppgiftshantering
Policy för informations- säkerhet och personuppgiftshantering i Vårgårda kommun Beslutat av: Kommunfullmäktige för beslut: 208-04- För revidering ansvarar: Kommunfullmäktige Ansvarig verksamhet: Strategisk
Läs merGranskning av IT- och informationssäkerhet
www.pwc.se Granskning av IT- och informationssäkerhet Bollebygds kommun Kajsa Jansson Julia Lahti Innehåll 1. Sammanfattning 2. Inledning 3. Resultat av granskningen 4. Sammanfattande mognadsgrad (illustrativ
Läs merInformationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57
1 (5) Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige 2018-05-07, 57 Postadress Besöksadress Telefon Internet och fax Giro och org.nr Sunne kommun Verksamhetsstöd
Läs merRevisionsrapport Styrning och ledning av IT och informationssäkerhet
www.pwc.se Revisionsrapport Styrning och ledning av IT och informationssäkerhet Göran Persson- Lingman Sollefteå Robert Bergman Mars/2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund...
Läs merPolicy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1
DIARIENUMMER: KS 47/2018 FASTSTÄLLD: 2018-04-10 VERSION: 1 SENAS T REVIDERAD: GILTIG TILL: DOKUMENTANSVAR: Tills vidare Fullmäktige Policy Policy för informationssäkerhet och personuppgiftshantering i
Läs merLandskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.
www.pwc.se Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten Magnus Karmborg Viktor Bergvall Victor Svensson Lena Salomon December 2016 Granskning av IT-organisationen
Läs merStyrning av behörigheter
Revisionsrapport Styrning av behörigheter i journalsystem Landstinget i Östergötland Janne Swenson Kerem Kocaer Jens Ryning Eva Andlert, cert. kommunal revisor Styrning av behörigheter i journalsystem
Läs merSvar på revisionsskrivelse informationssäkerhet
TJÄNSTEUTLÅTANDE Personalavdelningen Dnr KS/2014:280-007 2015-03-03 1/3 KS 10:1 Handläggare Annica Strandberg Tel. 0152-291 63 Kommunrevisionen Svar på revisionsskrivelse informationssäkerhet Förslag till
Läs merGranskning av intern kontroll i kommunens centrala löneprocess
Revisionsrapport Granskning av intern kontroll i kommunens centrala löneprocess Amanda Elg Fredrik Jilmstad Joakim Rydberg Januari 2016 Innehållsförteckning 1. Sammanfattning... 1 2. Introduktion... 2
Läs merPOLICY INFORMATIONSSÄKERHET
POLICY INFORMATIONSSÄKERHET Fastställd av Kommunfullmäktige 2016-03-21 56 Bo Jensen Säkerhetsstrateg Policy - Informationssäkerhet Denna policy innehåller Haninge kommuns viljeinriktning och övergripande
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688
Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led
Läs merUppföljningsrapport för internkontrollplanen 2018 för Fastighetsnämnden
Fastighetsnämnden Handläggare Lena Lien Telefon: 08-508 270 00 Dnr: FSK2019/61 Sid 1 (13) 2019-01-28 Till Fastighetsnämnden Uppföljningsrapport för internkontrollplanen 2018 för Fastighetsnämnden Sid 2
Läs merFördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören
Version: 1 Beslutsinstans: Regiondirektören 2(10) ÄNDRINGSFÖRTECKNING Version Datum Ändring Beslutat av 1. 2016-06-30 Nyutgåva Regiondirektören 3(10) INNEHÅLLSFÖRTECKNING 1 INLEDNING...4 2 ANSVAR FÖR INFORMATIONSSÄKERHET...4
Läs merRiktlinjer för IT-säkerhet i Halmstads kommun
Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4
Läs merÖvergripande granskning IT-driften
www.pwc.se Övergripande granskning IT-driften Sollentuna Kommun Bakgrund och syfte Inledning Under augusti-september 2013 har på uppdrag av de förtroendevalda revisorerna i Sollentuna kommun genomfört
Läs merRiktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret
Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet
Läs merRevisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011
Revisionsrapport Förstudie av personalsystemet Kalmar kommun Caroline Liljebjörn Förstudie av personalsystemet 2011-10-10 Caroline Liljebjörn Stefan Wik Kalmar kommun Förstudie av personalsystemet Innehållsförteckning
Läs merIT- och informationssäkerhet
www.pwc.se Revisionsrapport IT- och informationssäkerhet Robert Bergman Revisionskonsult December 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte och Revisionsfråga...
Läs merGranskning av IT-säkerhet
TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet
Läs merGranskning av IT-säkerhet
www.pwc.se Granskning av IT-säkerhet Karlstads kommun, Region Värmland samt Karlstadsregionens Räddningstjänstförbund. Emily Jönsson Erik Sellergren Augusti 2017 Augusti 2017 Innehåll 1. Sammanfattning
Läs merGranskning av bokslutsprocessen
www.pwc.se Revisionsrapport Martin Westholm Granskning av bokslutsprocessen Motala kommun Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Bakgrund... 2 2.2.
Läs merÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning
ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation
Läs merKommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336
Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336 Sida 151 av 282 Tjänsteskrivelse 1(2) 2018-03-26 Dnr: KS 2017/336 Kommunfullmäktige Revidering av
Läs merExternt finansierade projekt
Revisionsrapport Externt finansierade projekt Gällivare kommun Mars 2010 Hans Forsström, certifierad kommunal revisor Rolf Särkimukka, revisionskonsult 2010-03-11 Hans Forsström Rolf Särkimukka Innehållsförteckning
Läs merSAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum
SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum 2018-08-15 117 KS 245/18 Upprättande av riktlinjer för informationssäkerhet Beslut Arbetsutskottets förslag till kommunstyrelsen Kommunstyrelsen
Läs merGranskning av intern styrning och kontroll vid Statens servicecenter
1 Granskning av intern styrning och kontroll vid Statens servicecenter Riksrevisionen har som ett led i den årliga revisionen av Statens Servicecenter granskat den interna styrning och kontroll i myndighetens
Läs merInformationssäkerhetspolicy
Styrdokument, policy Kommunledningskontoret 2011-05-03 Per-Ola Lindahl 08-590 970 35 Dnr Fax 08-590 733 40 KS/2015:315 per-ola.lindahl@upplandsvasby.se Informationssäkerhetspolicy Nivå: Kommungemensamt
Läs merDatum 2014-04-11. Kommunrevisionen: Granskning av generalla IT-kontroller 2013
ta,xj -Zoty-OG-I^ Uppsala "KOMMUN A retat. 4-5 KONTORET FÖR BARN, UNGDOM OCH ARBETSMARKNAD Handläggare Wicks Elaine Datum 2014-04-11 Diarienummer BUN-2014-0631 Barn och ungdomsnämnden Kommunrevisionen:
Läs merVÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT
VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT Sid 2 (7) Innehåll 1. Att upphandla på ett säkert... 3 2. Identifiera krav... 4 3. Samråd vid säkerhetsskyddad upphandling... 6 Sid 3 (7) 1. Att upphandla på
Läs merEDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy
EDA KOMMUN nformationssäkerhet - Informationssäkerhetspolicy Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål... 2 3 Organisation, roller
Läs merInformationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.
Informationssäkerhetspolicy 2011-2014 1. Bakgrund Detta dokument fastställs av kommunfullmäktige och gäller för all verksamhet inom kommunen. Detta betyder att det inte finns utrymme att besluta om lokala
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet
Revisionsrapport Karolinska institutet 171 77 Stockholm Datum Dnr 2011-02-01 32-2010-0715 Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet 2010 Riksrevisionen
Läs merIT-säkerhet Externt och internt intrångstest
Revisionsrapport IT-säkerhet Externt och internt intrångstest Tierps kommun Älvkarleby kommun Kerem Kocaer Juni 2014 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt...
Läs merRIKTLINJER. Riktlinjer för styrning av IT-verksamhet
RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer
Läs merRiktlinjer för IT och informationssäkerhet - förvaltning
Författningssamling Utgivare: Kommunledningsförvaltningen Kansli Gäller från: Lagakraftvunnet beslut Gäller till och med: tillsvidare Antagen: Kommunstyrelsen 2019-03-26 95 Riktlinjer för IT och informationssäkerhet
Läs merGranskning av utbetalningar
Revisionsrapport Granskning av utbetalningar Trelleborgs kommun Bengt-Åke Hägg Godkänd revisor Innehållsförteckning 1. Sammanfattning... 1 2. Inledning... 1 2.1. Bakgrund... 1 2.2. Revisionsfråga... 1
Läs merVälkommen till enkäten!
Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av
Läs merBilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet
Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar
Läs merService Level Agreement mall för kommunalt IT-stöd
Service Level Agreement mall för kommunalt IT-stöd v1.0-2010-11-02 Kim Weyns & Martin Höst Institutionen för Datavetenskap, Lunds Universitet Box 118, S-221 00 Lund kim.weyns@cs.lth.se Inledning Ett Service
Läs merNr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen 2014-05-16 dnr 017721-2014
Riksrevisionen årlig revision 1 (14) 5.2 Systemgenererade listor över applikationsförändringar kan för närvarande inte produceras. Avsaknad av fullständiga listor över applikationsförändringar som har
Läs merEnheten för Administration och kommunikation TJÄNSTEUTLÅTANDE Diarienummer: KN 2017/424
Enheten för Administration kommunikation TJÄNSTEUTLÅTANDE Diarienummer: 2017-03-15 KN 2017/424 Handläggare: David Malmberg Tjänsteutlåtande Ärendebeskrivning Alla nämnder bolag ska upprätta interna kontrollplaner
Läs merBehörighetshantering. Söderköpings kommun 2018
www.pwc.se Revisionsrapport Behörighetshantering Niklas Ljung Johan Jonsson Maj 2018 2018 Innehåll Sammanfattning och revisionell bedömning... 1 1. Inledning... 5 1.1. Bakgrund... 5 1.2. Syfte och revisionsfråga...
Läs merGranskning av bokslutsprocessen
www.pwc.se Revisionsrapport Martin Westholm Granskning av bokslutsprocessen Mjölby kommun Innehållsförteckning 1. Sammanfattning... 1 2. Inledning... 2 2.1. Bakgrund... 2 2.2. Uppdrag... 2 2.3. Metod och
Läs merRiktlinje för informationssäkerhet
Bilaga 2 Dokumentansvarig: Chef Samhällsskydd och Beredskap Upprättad av: Informationssäkerhetschef Beslutad av: Kommunfullmäktige Gäller för: Anställda och förtroendevalda i Göteborgs Stads förvaltningar,
Läs merRevisionsrapport E-förvaltning: molntjänster Skellefteå kommun Bo Rehnberg Cert. kommunal revisor
www.pwc.se Revisionsrapport E-förvaltning: molntjänster Bo Rehnberg Cert. kommunal revisor Januari 2017 Innehåll Sammanfattning...2 1. Inledning...3 1.1. Bakgrund...3 1.2. Syfte och kontrollområden...3
Läs mer