Uppföljningsrapport IT-generella kontroller 2015

Relevanta dokument
Uppföljningsrapport IT-revision 2013

Kommunrevisionen: granskning av generella IT-kontroller 2014

Revisionsrapport. IT-revision Solna Stad ecompanion

Datum Kommunrevisionen: Granskning av generalla IT-kontroller 2013

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Bolagsspecifika resultat Sektion 3. Page 1

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Granskning av generella IT-kontroller för PLSsystemet

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Revision av den interna kontrollen kring uppbördssystemet REX

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Region Skåne Granskning av IT-kontroller

Angered. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Granskning av Intern kontroll

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Generella IT-kontroller uppföljning av granskning genomförd 2012

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

REGLER FÖR INTERN KONTROLL

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Revisionsrapport. Internkontroll - Finspångs kommun år Ref R Wallin

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Intern kontroll och riskbedömningar. Strömsunds kommun

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Projekt med extern finansiering styrning och kontroll

Årsrapport NU-sjukvården Diarienummer REV

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Östra Göteborg. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Granskning av IT-säkerhet

Övergripande granskning IT-driften

Riktlinjer för intern kontroll i Örebro kommun

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning Sammanfattning

Riktlinje för nämndernas och bolagsstyrelsernas verksamhetsplanering och uppföljning samt interna kontroll

Lokala regler och anvisningar för intern kontroll

Grundläggande granskning av samarbetsnämnd för löneservice

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Intern kontroll i kommunen och dess företag. Sollefteå kommun

Granskning av IT-säkerhet

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Policy för internkontroll för Stockholms läns landsting och bolag

Kommunstyrelsens utskott för strategi

Revisionsrapport. Årsredovisning för Linköpings universitet Sammanfattning. Linköpings universitet LINKÖPING

Riktlinje för riskanalys och intern kontroll

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Förklarande text till revisionsrapport Sid 1 (5)

Reglemente för intern kontroll

Granskning av årsredovisning 2016 samt landstingsstyrelsens styrning, uppföljning och interna kontroll

Förstudie: Övergripande granskning av ITdriften

Granskning av intern kontroll i redovisningsprocessen 2013

/6-~c~Æ ~v{; _e/ Elisabeth Friberg, vice ordförrupe. .lile fj ~ C'" Till Kommunstyrelsen

Förändring av den politiska organisationen

Punkt 11 Internrevisionsplan

Revisionsrapport. Styrelsen för internationellt utvecklingssamarbete årsredovisning Datum Dnr

Granskning intern kontroll

Ansvarsutövande: Nämnden för arbetsmarknad, vuxenutbildning och integration Sundsvalls kommun

Samordningsförbundet Norra Dalsland. Revisionsrapport Styrelsens ansvar KPMG AB. Antal sidor: 6. FörvrevRapport08.doc

TOMELILLA KOMMUN KOMMUNAL FÖRFATTNINGSSAMLING Nr B 17:1

Ansvarsutövande: Kommunstyrelsen Sundsvalls kommun

Utöver vad som föreskrivs i kommunallagen gäller bestämmelserna i detta reglemente.

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

Revisionsrapport Självdeklaration Intern Kontroll

IT-säkerhet Externt och internt intrångstest

Granskning av intern styrning och kontroll vid Statens servicecenter

Datum Kommunrevisionen: Angående stödsystem Heroma och Agresso

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

Uppföljning av tidigare granskningar

Reglemente för intern kontroll. Krokoms kommun

Uppföljning av internkontrollplan per december 2017

Revisionsrapport. Riksrevisionens granskning av Sveriges riksbank Inledning

Regler. Fö r intern köntröll. Vision. Program. Policy. Regler. Handlingsplan. Riktlinjer Kommunfullmäktige Kommunstyrelsen Nämnd

Intern kontroll och riskbedömningar. Sollefteå kommun

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Verkställighet och återrapportering av beslut

NORA KOMMUN KOMMUNREVISORERNA

Riktlinje för riskhantering

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

Kungsörs kommun. Uppföljning av intern kontroll Revisionsrapport. KPMG AB Antal sidor: 8

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Strategi Program Plan Policy >>Riktlinjer Regler. Lysekils kommuns. Riktlinjer för intern kontroll

December 2013 Pernilla Lihnell, certifierad kommunal revisor Åsa Vilsson, revisor. Granskning av internkontrollstrukturen Skara Kommun

Revisionsrapport avseende granskning av Folke Bernadotteakademin

Granskningsrapport av intern styrning och kontroll 2017

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Reglemente för intern kontroll. Krokoms kommun

Revisionsberättelse för Pensionsmyndigheten 2016

Pandium Capital AB RIKTLINJER FÖR INTERNREVISION

Oktober Uppföljning av revisionsrapporter i Timrå kommun

Granskning av styrning och kontroll av miljöoch hälsoskyddsarbetet

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Intern styrning och kontroll. Verksamhetsåret 2009

Granskning av bokslutsprocessen

Svar på revisionskontorets årsrapport 2017

Granskning av årsredovisning 2015 samt landstingsstyrelsens styrning, uppföljning och interna kontroll

Transkript:

Revisionsrapport Uppföljningsrapport IT-generella kontroller 2015 Uppsala kommun Gustaf Gambe Frida Ilander 15 september 2015 1 av 17

Innehållsförteckning Inledning... 3 Granskningens omfattning... 4 Sammanfattning... 5 Resultat och status på observationer... 6 Appendix 1 Intervjuade personer 2 av 17

Inledning I samband med den finansiella revisionen 2015 har PwC genomfört en uppföljning av de observationer som identifierades i samband med 2013 års granskning avseende IT-generella kontroller för verksamhetskritiska applikationer inom Uppsala kommun. I samband med den finansiella revisionen 2014 genomförde PwC en likvärdig uppföljning av 2013 års observationer, vilket också presenteras i denna rapport. Kommunstyrelsen har uppsiktsplikt över att den interna kontrollen inom kommunen byggs upp och organiseras på ett tillfredsställande sätt. Nämnderna har det fulla ansvaret för den interna kontrollen inom sina verksamhetsområden och applikationer. Intern kontroll är en process som påverkas av nämnderna, kommunstyrelsen och tjänstemannaorganisationen, vilken utformas för att ge en rimlig försäkran om att kommunens mål uppnås inom följande områden: Ändamålsenlig och effektiv verksamhet Tillförlitlig ekonomisk och verksamhetsmässig rapportering Efterlevnad av tillämpliga lagar och förordningar Syftet med uppföljningen är att identifiera vilka förändringar som Uppsala kommun har genomfört gällande den interna kontrollen under 2015 och hur detta har påverkat föregående års observationer. Rapporten presenterar det aggregerade resultatet av respektive applikation med en status för varje observation, vilka kommunledningen bör beakta i sitt arbete med att utveckla och förbättra förvaltningen och den interna kontrollen för Uppsala kommuns IT-miljö. Vi vill tacka den personal på Uppsala kommun som hjälpt oss att genomföra granskningen, för deras bemötande och goda samarbetsvilja. 3 av 17

Granskningens omfattning Under 2013 års granskning noterades avvikelser inom följande områden: Område IT-styrning Programutveckling och förändring Åtkomstkontroll Infrastruktur Observation Katastrofplan är inte implementerad för samtliga applikationer Bristande dokumentation avseende förändringar i applikationer Periodisk genomgång av användare har vid granskningstillfället inte utförts Lösenordsinställningar i applikationer och operativsystem uppfyller ej god praxis Inga formella återläsningstester av backup har genomförts Vid applikationsgranskningar och granskning av processer för Teknik & Service noterades totalt 20 observationer enligt nedan fördelning vid 2013 års granskning samt 2014 års uppföljning: Applikation Antal Observationer 2013 Antal Observationer 2014 Agresso 3 3 Heroma 4 4 Procapita Individ- och Familjeomsorg (IFO) 4 4 Siebel 3 3 Extens 4 4 Teknik & Service 2 2 Totalt antal observationer 20 20 PwC har under augusti 2015 följt upp ovan observationer samt med relevant personal på Uppsala kommun (se Appendix 1- Intervjuade personer). 4 av 17

Sammanfattning Genom intervju och genomgång av dokumentation under uppföljningen år 2014 kunde PwC konstatera att Uppsala kommun hade påbörjat aktiviteter under verksamhetsåret för att åtgärda observationerna som identifierades år 2013. Av totalt 20 observationer från år 2013 kvarstod 10 (50 %) stycken som ej åtgärdade och för resterande 10 (50 %) hade aktiviteter påbörjats. För majoriteten av observationerna där aktiviteter påbörjats, utförs kontrollen i dagsläget, men de dokumenteras bristfälligt eller inte alls, varför PwC inte kan verifiera att kontrollerna utförs ändamålsenligt. Genom intervju och genomgång av underlag under uppföljningen år 2015 kan PwC konstatera att Uppsala kommun har fortsatt att aktivt arbeta med att åtgärda observationerna som identifierades år 2013. Av totalt 20 observationer från år 2013 kan vi se att för 15 (75 %) stycken observationer har aktiviteter påbörjats och att resterande 5 (25 %) stycken är åtgärdade. Se tabell nedan för illustration av resultaten. 25 20 15 0 10 5 Åtgärdade 10 5 20 10 15 Pågående aktivitet Ej åtgärdade observationer 0 Resultat 2013 Resultat Uppföljning 2014 0 Resultat Uppföljning 2015 Utifrån den uppföljning som är gjord har det framkommit att Uppsala kommun har genomfört samt håller på att genomföra förbättringar inom majoriteten av antal områden men att det fortfarande finns utrymme för förbättring gällande den interna kontrollen kopplat till IT. Under året har det skett flera förändringar, bland annat har kommunledningskontoret (KLK) fått en ny organisation där Teknik och Service nu är utspridd och finns således inte längre kvar som en enhet. Även nya styrdokument, statusrapportering och en enhetlig förvaltningsstyrning har arbetats fram. Uppsala kommun arbetar aktivt med att åtgärda samtliga observationer och har som målsättning att alla ska vara åtgärdade och klara under detta verksamhetsår. För mer detaljer gällande status på respektive observation från föregående år, se avsnitt Resultat och status på observationer nedan. 5 av 17

Resultat och status på observationer Observationer från föregående år har granskats genom intervju samt i förekommande fall via genomgång av dokumentation. Baserat på detta resultat har respektive observation graderats med en status. Observera att denna gradering inte är jämförbar med föregående års rapport. Observationerna har graderats enligt följande modell: - Observationen har inte åtgärdats sedan föregående års granskning vilket medför att relaterad risk och rekommendation kvarstår. - Aktiviteter och åtgärder finns planerade eller är under genomförande, dock kvarstår risken då åtgärderna ännu inte är på plats. - Åtgärder och aktiviteter för att begränsa risken har implementerats och underlag har granskats vilket säkerställer operativ effektivitet i kontrollen. Nedan återfinnas resultatet av den uppföljningsgranskning som genomförts per observation. Applikation Ref Observation Agresso 1. Bristande dokumentation avseende förändringar i applikationer. Uppsala kommun har implementerat förvaltningsmodellen PM3 där rutiner för förändringshantering ingår. Enligt erhållen information finns rutinerna på plats men det är inte fastställt att de efterlevs fullt ut i verksamheten. Slutsats: Observationen kvarstår då rutinerna i dagsläget inte efterlevs fullt ut i verksamheten. Uppsala kommun har implementerat förvaltningsmodellen Pm3 där rutiner för förändringshantering ingår. All dokumentation ska registreras och följas upp i det nyligen implementerade ärendehanteringssystemet ÄRNST. Rutinen tillämpas dock ej fullt ut, till exempel dokumenteras inte vem som ska ta beslut. Slutsats: Observationen kvarstår då rutinerna i dagsläget inte efterlevs fullt ut i verksamheten. 6 av 17

2. Periodisk genomgång av användare har vid granskningstillfället inte utförts. genomgång av användare i Agresso. Dock har PwC inte kunnat verifiera att kontrollen utförts, då underliggande dokumentation ej erhållits. genomgång av användare i Agresso. PwC har dock inte kunnat verifiera att kontrollen utförts, då underliggande dokumentation ej erhållits. Vid nästa genomgång, som sker under hösten 2015, kommer bevis dokumenteras. 3. Inga formella återläsningstester av backup har genomförts. Uppsala kommun har påbörjat arbete med att upprätta formella återläsningstester av backup. Dock är arbetet pågående och i dagsläget utförs inga formella återläsningstester. Slutsats: Observationen kvarstår då formellt återläsningstest ännu ej har genomförts under Uppsala kommun har under året upprättat formella återläsningstester av backup. PwC har tagit del av underlag som styrker detta. Slutsats: Observationen är åtgärdad och borttagen då formella återläsningstester har genomförts under året. 7 av 17

Heroma 1. Katastrofplan är inte implementerad för samtliga applikationer. Uppsala kommun har inte påbörjat något arbete med att ta fram en katastrofplan för applikationen Heroma under Slutsats: Observationen kvarstår då katastrofplan ännu ej är formellt implementerad. Uppsala kommun har påbörjat ett arbete med att ta fram en katastrofplan för applikationen Heroma under Representanter från Drift och Förvaltning ansvarar för arbetet och har tagit fram mallar. PwC har dock inte kunnat verifiera att kontrollen utförts, då underliggande dokumentation ej erhållits. 2. Periodisk genomgång av användare har vid granskningstillfället inte utförts. genomgång av användare i Heroma. Dock har PwC inte kunnat verifiera att kontrollen utförts, då underliggande dokumentation ej erhållits. genomgång av användare i Heroma. PwC har dock inte kunnat verifiera att kontrollen utförts, då underliggande dokumentation ej erhållits. Vid nästa genomgång, som sker under hösten 2015, kommer bevis dokumenteras. 8 av 17

3. Lösenordsinställningar i applikationer och operativsystem uppfyller ej god praxis. Lösenordsinställningarna i Heroma följer Uppsala kommuns riktlinjer för lösenord. Dock uppfyller inte dessa god praxis, då endast ett 6 tecken långt lösenord kan användas. Slutsats: Observationen kvarstår då Uppsala kommuns lösenordspolicy inte uppfyller god praxis. Uppsala kommun har påbörjat ett arbete med att implementera Singel Sign On (SSO) för Heroma. 4. Inga formella återläsningstester av backup har genomförts. Rutiner finns på plats men det har inte skett några formella återläsningstester under Slutsats: Observationen kvarstår då formellt återläsningstest ännu ej har genomförts under Uppsala kommun har under året upprättat formella återläsningstester av backup. PwC har tagit del av underlag som styrker detta. Slutsats: Observationen är åtgärdad och borttagen då formella återläsningstester har genomförts under året. 9 av 17

Procapita IFO 1. Katastrofplan är inte implementerad för samtliga applikationer. Uppsala kommun har påbörjat arbete med att ta fram en katastrofplan för applikationen Procapita IFO. Dock är arbetet pågående och i dagsläget finns ingen katastrofplan implementerad. Slutsats: Observationen kvarstår då katastrofplan ännu ej är formellt implementerad. Uppsala kommun har påbörjat ett arbete med att ta fram en katastrofplan för applikationen Procapita IFO under Representanter från Drift och Förvaltning ansvarar för arbetet och har tagit fram mallar. PwC har dock inte kunnat verifiera att kontrollen utförts då underliggande dokumentation ej erhållits. 2. Bristande dokumentation avseende förändringar i applikationer. Samtliga förändringar i Procapita IFO hanteras av en utvecklingsgrupp och styrgrupp, där varje ärende hanteras. Dock dokumenteras inte förändringarna på det sätt så att det går att följa ärendet från ändringsbegäran till driftsättning. Dock är planen att ta fram en gemensam process för förändringshantering och hur de ska dokumenteras för samtliga system. Slutsats: Observationen kvarstår, då förändringarna inte dokumenteras så att spårbarhet i hela förändringsprocessen är möjlig. Uppsala kommun har implementerat förvaltningsmodellen Pm3 där rutiner för förändringshantering ingår. All dokumentation ska registreras och följas upp i det nyligen implementerade ärendehanteringssystemet ÄRNST. Rutinen tillämpas dock ej fullt ut, till exempel dokumenteras inte vem som ska ta beslut. Slutsats: Observationen kvarstår då rutinerna i dagsläget inte efterlevs fullt ut i verksamheten. 10 av 17

3. Periodisk genomgång av användare har vid granskningstillfället inte utförts. genomgång av användare i Procapita IFO. Dock har PwC inte kunnat verifiera att kontrollen utförts, då underliggande dokumentation ej erhållits. genomgång av användare i Procapita IFO. PwC har dock inte kunnat verifiera att kontrollen utförts, då underliggande dokumentation ej erhållits. Vid nästa genomgång, som sker under hösten 2015, kommer bevis dokumenteras. 4. Inga formella återläsningstester av backup har genomförts. Uppsala kommun har inte påbörjat något arbete med att implementera rutiner för formella återläsningstester under Slutsats: Observationen kvarstår då rutinen för formellt återläsningstest ännu ej är formellt implementerad. Uppsala kommun har under året upprättat formella återläsningstester av backup. PwC har tagit del av underlag som styrker detta. Slutsats: Observationen är åtgärdad och borttagen då formella återläsningstester har genomförts under året. 11 av 17

Siebel 1. Katastrofplan är inte implementerad för samtliga applikationer. Uppsala kommun har inte påbörjat något arbete med att ta fram en katastrofplan för applikationen Siebel under Slutsats: Observationen kvarstår då katastrofplan ännu ej är formellt implementerad. Uppsala kommun har påbörjat ett arbete med att ta fram en katastrofplan för applikationen Siebel under Representanter från Drift och Förvaltning ansvarar för arbetet och har tagit fram mallar. PwC har dock inte kunnat verifiera att kontrollen utförts då underliggande dokumentation ej erhållits. 2. Periodisk genomgång av användare har vid granskningstillfället inte utförts. genomgång av användare i Siebel, dock är inte genomgången formaliserad. Slutsats: Observationen kvarstår då det inte genomförts någon formell periodisk genomgång under genomgång av användare i Siebel. PwC har dock inte kunnat verifiera att kontrollen utförts, då underliggande dokumentation ej erhållits. Vid nästa genomgång, som sker under hösten 2015, kommer bevis dokumenteras. 12 av 17

3. Inga formella återläsningstester av backup har genomförts. Uppsala kommun har inte påbörjat något arbete med att implementera rutiner för formella återläsningstester under Slutsats: Observationen kvarstår då rutinen för formellt återläsningstest ännu ej är formellt implementerad. Uppsala kommun har under året upprättat formella återläsningstester av backup. PwC har tagit del av underlag som styrker detta. Slutsats: Observationen är åtgärdad och borttagen då formella återläsningstester har genomförts under året. Extens 1. Katastrofplan är inte implementerad för samtliga applikationer. Uppsala kommun har inte påbörjat något arbete med att ta fram en katastrofplan för applikationen Extens under Slutsats: Observationen kvarstår då katastrofplan ännu ej är formellt implementerad. Uppsala kommun har påbörjat ett arbete med att ta fram en katastrofplan för applikationen Extens under Representanter från Drift och Förvaltning ansvarar för arbetet och har tagit fram mallar. PwC har dock inte kunnat verifiera att kontrollen utförts då underliggande dokumentation ej erhållits. 13 av 17

2. Periodisk genomgång av användare har vid granskningstillfället inte utförts. Uppsala kommun har inlett arbete med att registrera alla externa användare och ny rutin för periodisk genomgång av användare kommer att implementeras inom två månader. Slutsats: Observationen kvarstår då periodisk genomgång av samtliga användare i applikationen ej genomförts under genomgång av användare i Extens. PwC har dock inte kunnat verifiera att kontrollen utförts, då underliggande dokumentation ej erhållits. Vid nästa genomgång, som sker under hösten 2015, kommer bevis dokumenteras. 3. Inga formella återläsningstester av backup har genomförts. Uppsala kommun har inte påbörjat något arbete med att implementera rutiner för formella återläsningstester under Slutsats: Observationen kvarstår då rutinen för formellt återläsningstest ännu ej är formellt implementerad. Uppsala kommun har under året upprättat formella återläsningstester av backup. PwC har tagit del av underlag som styrker detta. Slutsats: Observationen är åtgärdad och borttagen då formella återläsningstester har genomförts under året. 14 av 17

4. Lösenordsinställningar i applikationer och operativsystem uppfyller ej god praxis. Uppsala kommun har genomfört en riskanalys och arbete pågår för att övergå till e-legitimation vid inloggning i systemet. Arbetet är inplanerat till våren 2015. Slutsats: Observationen kvarstår då nuvarande lösenordsinställningar ej uppfyller god praxis. Uppsala kommun har genomfört en riskanalys och arbete pågår för att övergå till e-legitimation vid inloggning i systemet. Arbetet pågår och inplanerat att vara åtgärdat till nästa verksamhetsår. Slutsats: Observationen kvarstår då nuvarande lösenordsinställningar ej uppfyller god praxis. Teknik & Service 1. Periodisk genomgång av användare har vid granskningstillfället inte utförts. Rutinen är implementerad sedan tidigare och uppföljning av genomförd granskning i maj genomfördes ej fullt ut på grund av omprioritering av resurser. Slutsats: Observationen kvarstår då uppföljning av genomförd granskning ej avslutats under genomgång av användare i Teknik & Service. PwC har dock inte kunnat verifiera att kontrollen utförts, då underliggande dokumentation ej erhållits. Vid nästa genomgång, som sker under hösten 2015, kommer bevis dokumenteras. 15 av 17

2. Lösenordsinställningar i applikationer och operativsystem uppfyller ej god praxis. Lösenordsinställningarna på operativsystemsnivå följer Uppsala kommuns riktlinjer för lösenord. Dock uppfyller inte dessa god praxis, då endast ett 6 tecken långt lösenord kan användas. Slutsats: Observationen kvarstår då Uppsala kommuns övergripande lösenordspolicy inte uppfyller god praxis. Lösenordsinställningarna på operativsystemsnivå följer Uppsala kommuns riktlinjer för lösenord. Uppsala kommun genomfört ett arbete för lösenordet ska uppfylla god praxis. PwC har dock inte kunnat verifiera att kontrollen utförts, då underliggande dokumentation ej erhållits. 16 av 17

Appendix 1 Intervjuade personer I samband med revisionen har intervju genomförts med nyckelpersoner inom Uppsala kommun i syfte att skapa förståelse för vilka förändringar som genomförts sedan föregående års revision. Följande personer intervjuades: Maria Nilsson IT-strateg 17 av 17

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss