Informationssäkerhet. Ett prioriterat granskningsområde. Ann-Marie Dahlros,

Relevanta dokument
Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Välkommen till enkäten!

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Granskning av Polismyndighetens informationssäkerhetsarbete

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Myndigheten för samhällsskydd och beredskaps författningssamling

Etik, moral och värdegrundsarbete som framgångsfaktor Hur kan internrevisionen bidra?

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Fortsättning av MSB:s metodstöd

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Granskning av informationssäkerhet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Ledningssystem vad varför hur. Ledningssystem JLL. Roland Frisdalen , Version 0.2

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Informationssäkerhetspolicy

Policy för informationssäkerhet

Informationssäkerhetspolicy KS/2018:260

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Riktlinje för intern styrning och kontroll

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerheten i den civila statsförvaltningen

Uppgifter till redovisningen över internrevisionen

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Bygga intern styrning och kontroll Från kaos till kontroll på ett år. Katrin Westling Palm Stephan Sandelin

Internrevisionsrapport 2018

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhet och författningskrav i verksamheter

INFORMATIONSSÄKERHET ETT HINDER ELLER EN MÖJLIGGÖRARE FÖR VERKSAMHETEN

Informationssäkerhetspolicy

Justitiedepartementet Stockholm

REVISION AV OUTSOURCAD VERKSAMHET - EXEMPEL UR VERKLIGHETEN

Hantering av IT-risker

Granskning av behörigheter till journalsystemet

Systematiskt arbete med skydd av samhällsviktig verksamhet

Granskning av landstingsstyrelsens kontroll över ledningssystemet år 2016

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Bilaga Från standard till komponent

Hur värnar kommuner digital säkerhet?

Revisionsplan 2017/2018

Informationssäkerhetspolicy. Linköpings kommun

Revisionsplanen fastställd av konsisistoriet den 4 december Postadress Besöksadress Telefon E-Post Karolinska Institutet STOCKHOLM

Fortsättning av MSB:s metodstöd

Informationssäkerhetspolicy för Umeå universitet

Granskningsrapport av intern styrning och kontroll 2017

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Verksamhetsplan Informationssäkerhet

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Svar på revisionsskrivelse informationssäkerhet

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Punkt 11 Internrevisionsplan

Informationssäkerhetspolicy för Ånge kommun

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetsprogram Valter Lindström Strateg

Vårt ledningssystem med Esther i fokus. Camilla Strid & Jan Sverker, Medicinkliniken, Eksjö

Punkt 14 Försäkring AB Göta Lejons säkerhetsprogram

Administrativ säkerhet

Konsekvensutredning rörande reviderade föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet

Internrevisionens årsrapport 2016

Informationssäkerhetspolicy för Ystads kommun F 17:01

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG

Bilaga till rektorsbeslut RÖ28, (5)

Välkomna! FOKUS-seminarium Kompetensbehov och kompetensförsörjning inom informationssäkerhetsområdet

PROJEKTRAPPORT NR 14/2014. Ledningssystem för informationssäkerhet, förutsättningar för en god intern kontroll?

Riskhantering & Informationssäkerhet. Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Kvalitetsprocesser och nya utmaningar i ISO-certifieringar. Jana Johansson Kvalitetsansvarig CityAkuten Praktikertjänst AB

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Emelie Holmlund Dnr 2017/346. Revisionsplan 2017 Internrevisionens riskanalys och revisionsplan

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

CERTIFIERING AV ARBETSMILJÖN

Lokala regler och anvisningar för intern kontroll

Bli riskmedveten - öka din lönsamhet

Lokal och regional krisberedskap. Dag 2. Risk- och sårbarhetsanalyser

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Intern styrning & kontroll samt internrevision i staten

Revisionsrapport. Bolagsverkets informationssäkerhet. 1. Inledning Bolagsverket SUNDSVALL.

skapa ett ökat mervärde uppnå ännu bättre resultat bidra positivt till människors tillvaro

Revisionsrapport. Sidas årsredovisning 2010 samt brister i den interna styrningen och kontrollen. 1. Inledning och sammanfattning

Myndigheten för samhällsskydd och beredskaps författningssamling

Intern styrning och kontroll. Verksamhetsåret 2009

Nya krav på systematiskt informationssäkerhets arbete

Utvecklingsplan för god och jämlik vård. Revisionspromemoria. LANDSTINGETS REVISORER Revisionskontoret

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Kommunernas krisberedskap - uppföljningsprocessen. Tomas Ahlberg

Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC eller konsten att införa LIS

Jämförelse mellan miljöledningssystemen Svensk Miljöbas, ISO och EMAS Svensk Miljöbas 3:2013

ISO/IEC och Nyheter

Transkript:

Informationssäkerhet Ett prioriterat granskningsområde Ann-Marie Dahlros, 2018-09-19

Kort om internrevisionen och Skatteverket Skatteverket Stor geografisk spridning Ca 11 000 medarbetare Fr.o.m. 1 augusti styrelsemyndighet Internrevisionen 6 internrevisorer inkl chef 4 certifieringar

Audit Universe Ledningsprocesser Kärnprocess Stödprocess Exempel: Informationssäkerhet Verksamhetsstyrning Organisationskultur/Etik IT-strategi Exempel: Beskattning Brottsbekämpning Folkbokföring Fastighetstaxering ID-kort Bouppteckningar Exempel: Administration/ekonomi HR-frågor Rättsligt stöd IT-stöd Kommunikation Ledningssystem för informationssäkerhet (LIS)

Informationssäkerhet ett riskområde Skatteverket har samhällsviktig verksamhet Tillgänglighet, riktighet, konfidentialitet, spårbarhet Information är en av Skatteverkets viktigaste tillgångar. Känslig/kritisk information Funkar LIS? Information är mångfacetterad många informationsbärare Personal, IT-system, pappersform, skalskydd lokaler/utrustning, hantering krisberedskap Kräver målgruppsanpassad kunskap

Vilka revisioner har vi genomfört? Diarienummer Revision 131 238068 12/1211 Riskhantering inom SKV ur ett säkerhetsperspektiv 131 692189 13/1211 Informationssäkerhet Implementering av LIS 131 484168 14/1211 IT-generella kontroller-skatteverkets behörighetsstruktur 131 156410 15/1211 Informationssäkerhet Kontinuitetsplanering 131 450988 15/1211 Riskhanteringsprocessen 131 478899 16/1211 IT-säkerhet 200 460834 17/1211 Informationssäkerhet Organisation och uppdrag

Status LIS 2013 Delvis uppdaterat dock senast 2009, dvs tiden före MSB:s första föreskrift (2010) Planer för uppdateringar som skjutits på framtiden Ingen tidigare genomförd internrevision på övergripande nivå för tiden innan 2012

Strategi för revisioner inom området 1. Starta från toppen Lagstiftning? MSFBS 2016:1 ISO Har SKV omsatt gällande lagstiftning? 2. Hur fungerar informationssäkerhetsstyrningen? Testa av om styrningen fungerar som tänkt inom några områden.

Generiska utmaningar under planeringsfasen Bedömning av risk: Är identifierad risk relevant? Syfte: Fångar syftet risken? Revisionsfrågor: Vilka revisionsfrågor är relevanta för att besvara syftet? Bedömningsgrunder/Kriterier: Utifrån vad ska revisionsfrågorna bedömas? Lagstiftning? COSO? Best practice?

Planeringsutmaningar revisionen Implementering LIS Finns en ISK som säkerställer ett fungerande ledningssystem för informationssäkerhet? Hur ta hjälp av COSO-ramverket? Bedömningsgrunder/kriterier?

COSO MSBFS 2016:1 Styrmiljö 3, 5, 6 och 7 Uppf o utvärdering Riskanalys 6 9 Info o kommunikation Kontrollåtgärder 5 och 8 8, 10 och 11 Resultat: Vi har identifierat bedömningsgrunder för en god ISK

Granskningsplan Syfte: Granska att Skatteverket implementerat och hanterat bestämmelserna i MSB:s föreskrifter om informationssäkerhet. Revisionsfrågor samt bedömningsgrunder: i MSB:s föreskrift Genomförande: Intervjuer och dokumentstudier. Ta hjälp av MSB:s metodstöd

Utfyllande beskrivning - MSB:s metodstöd Källa - https://www.informationssakerhet.se/metodstod-for-lis/

Sammanfattande slutsatser i revisionen Skatteverket hade inte en ISK som säkerställde ett fungerande ledningssystem för informationssäkerhetsområdet. Otydlighet i mandat för att leda och samordna Styrmiljö Systematiskt arbete för att identifiera risker saknades Avsaknad av granskningar och bristande underlag för utvärderingar av området Riskanalys Uppföljning och utvärdering

Framgångsfaktorer Utmaningar

Löpande informationsbevakning/uppföljning

Vad hände sedan? Diarienummer Revision 131 238068 12/1211 Riskhantering inom SKV ur ett säkerhetsperspektiv 131 692189 13/1211 Informationssäkerhet Implementering av LIS 131 484168 14/1211 IT-generella kontroller-skatteverkets behörighetsstruktur 131 156410 15/1211 Informationssäkerhet Kontinuitetsplanering 131 450988 15/1211 Riskhanteringsprocessen 131 478899 16/1211 IT-säkerhet 200 460834 17/1211 Informationssäkerhet Organisation och uppdrag

2017 Senast genomförda revision Förutsättningar och input - Organisationsförändringar - Chefsbyten i flera nivåer - Resultat från tidigare genomförda revisioner inkl uppföljningar Underlag för granskningsplan Revisionsfrågor Har säkerhetsarbetet organiserats på ett för Skatteverket optimalt sätt? Finns förmåga att styra, leda och följa upp informationssäkerhetsarbete?

Lessons learned Kultur och attitydförändring viktig men tar tid Ligger på ledningens agenda Mandat och ansvar Spegla hela organisationen alla måste sitta i båten.

Tack för att ni lyssnat! ann-marie.dahlros@skatteverket.se 2

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss