Stadsrevisionen Malmö Stad Granskning av IT-verksamheten och informationssäkerhet

Relevanta dokument
Sammanfattning. Revisionsfråga Har kommunstyrelsen och tekniska nämnden en tillfredställande intern kontroll av att upphandlade ramavtal följs.

Intäkter inom äldreomsorgen Habo kommun

Förändrade förväntningar

Skattejurist för en dag på Deloitte i Malmö! 26 april 2016

Rutiner för avgångssamtal Östersunds kommun. Samtliga nämnder

Ansvarsfördelning mellan bosättningskommun och vistelsekommun prop 2010/11:49

Att rekrytera internationella experter - så här fungerar expertskatten

Förekomst av bisysslor, uppföljningsgranskning. Landstinget Dalarna

Granskning av rutiner för ansökan om ersättning från Migrationsverket Jämtlands Gymnasieförbund. Direktionen

Kommunal revision. Johan Osbeck 20 januari 2015

Revisionsrapport Granskning av delårsrapport Härjedalens Kommun

Västervik Miljö & Energi AB. 18 augusti Torbjörn Bengtsson & Sofia Josefsson

Revisionsrapport Granskning av rutiner för rekrytering och kompetensförsörjning. Krokoms kommun

Revisionsrapport Granskning av HR-avdelningens organisation och uppbyggnad

Revisionsrapport Tillväxt och näringslivsbefrämjande åtgärder Uppföljning av granskning från 2016

Rapport avseende granskning av nyttjande av leasingbilar. Östersunds kommun

Lagkrav på hållbarhetsrapportering Vad behöver ditt företag göra?

Direktionen uppdrar till räddningschef Lars Nyman att ta fram förslag på åtgärder enligt rekommendationer i rapporten.

Beredskap för att hantera ökade behov inom LSS Härnösands kommun Socialnämnden

Beredskap för att hantera ökade behov inom LSS Timrå kommun Socialnämnden

Granskning av Färdtjänstverksamheten Östersunds kommun. Miljö- och samhällsnämnden

Granskning av Verkställande av beslut Östersunds kommun

Granskning av ägarstyrning i kommunens bolag Timrå kommun. Kommunstyrelsen

Revisionsrapport Rutiner för fakturering av VA-avgifter. Ragunda kommun

Granskning av kommunens beredskap för ett ökat antal äldre Vadstena kommun. November 2015 Torbjörn Bengtsson, Jakob Janerheim och Viktor Mattsson

Revisionsrapport Externa avtal. Krokoms kommun

Skattedagarna Fastighetsbeskattning. Henrik Kaarme & Linnea Åman

Granskning uppföljning av socialsekreterarnas arbetsbelastning Östersunds kommun. Socialnämnden

Förstudie av grundskolans måluppfyllelse Eksjö kommun

Revisionsrapport Ägarstyrning av kommunala bolag 2017/ Ägardirektiv och styrdokument


Revisionsrapport Rutiner för diariehantering Krokoms kommun. Kommunstyrelsen Socialnämnden

Rapport avseende förtroenderisker inom Stockholm Business Region AB

Revisionsrapport Granskning av Barn- och utbildningsnämndens reglemente och delegation

Granskning av kompetensförsörjning Timrå kommun

Granskning av barnhälsan i förskolan Härnösands kommun. Skolnämnden

Revisionsrapport Granskning av näringslivsavdelningen

Revisionsrapport Granskning av Flygplatsens finansiering och ägande

Habo kommun Granskning av socialnämndens styrning och ledning inom äldreomsorgen. Torbjörn Bengtsson 21 oktober 2015

Granskning av Ägarstyrning Östersunds kommun. Kommunstyrelsen Östersunds Rådhus AB

Innehållsförteckning. Reseräkningar och privata utlägg Fördjupningsprojekt. Februari 2018 Catrin Karlsson och Per Stomberg

Revisionsrapport Arbetsrapport Granskning av Kostorganisationen- Ekonomi och organisation

Rapport avseende granskning av löneprocessen Skara kommun. Maj 2015 Elvira Hendeby och Viktor Johansson

Eksjö kommun Granskning av utjämning av LSS-kostnader för Eksjö kommun. Maj 2015 Torbjörn Bengtsson och Jenny Lundin

Solvens II ur ett IR-perspektiv

Granskning av investeringsprocessen Härnösands kommun. Kommunstyrelsen Samhällsnämnden

Revisionsrapport Granskning av Fastighetsförvaltningen- Organisation och rutiner

Granskning Rapport regionens riktlinjer för redovisning

Uppföljning av tidigare granskning av socialnämndens styrning och ledning av verksamheten Vadstena kommun

Granskning av Kompetensförsörjning Härnösands kommun. Kommunstyrelsen Skolnämnden Socialnämnden

Granskning av tillsyn och uppföljning av barn och unga placerade i familjehem Jönköpings kommun

Verkställande av fullmäktiges beslut avseende motioner i Eksjö kommun Eksjö kommun

Granskning av barn- och utbildningsnämndens process för ekonomistyrning. Östersunds kommun

Nyfiken på internrevision?

Revisionsrapport Granskning av rutiner för föreningsbidrag. Kommunstyrelsen

Private Client Services Skatterådgivning för entreprenörer och privatpersoner För en enklare vardag

Granskning av IT. Sunne kommun

Rapport avseende granskning av det systematiska arbetsmiljöarbetet. Härryda kommun

Revisionsrapport. Härjedalens kommun. Granskning av Årsredovisning Östersund

Riktade statsbidrag Innehållsförteckning. Riktade statsbidrag Fördjupningsprojekt. Januari 2018 Kajsa Malm och Per Stomberg

Revisionsrapport Granskning av inköpsrutiner inom kommunstyrelsen

Vadstena kommun Granskning av utjämning av LSS-kostnader för Vadstena kommun. Augusti 2015 Torbjörn Bengtsson och Jenny Lundin

IFRS 16 Leasing September 2019 Fredrik Walméus

Rapport avseende granskning av delårsrapport

Granskning av tillsynsverksamheten inom miljö- och hälsoskyddsnämnden Jönköpings kommun

Granskning av Hemtjänsten Kontroll av externa utförare Östersunds kommun. Vård- och omsorgsnämnden

Rapport avseende granskning av bygglovshanteringen. Östersunds kommun

Region Skåne Översiktlig granskning av delårsrapport per

En sammanhållen statlig telekominfrastruktur Möjligheter och nyttor

Rapport avseende granskning av Kostnadskontroll stora arenor. Östersunds kommun

IFRS 9 För icke-finansiella bolag IFRS Symposium 2015

Granskning av kommunens uppfyllelse av miljömål Eksjö kommun

Skattedagarna 2013 Nyheter individbeskattningsfrågor. Anna Sabelström Holmberg och Ellen Winberg Svensson

Rapport avseende granskning av delårsrapport Skara Kommun

Rapport avseende översiktlig granskning av delårsrapport Region Skåne

Vadstena kommun. Granskning av socialnämndens styrning och ledning av verksamheten. Elvira Hendeby och Tomislav Condric.

Skattedagarna 2013 Skattefrågor inför bokslutet. Daniel Glückman och Andreas Persson

Revisionsrapport Granskning av Hälsoarbetet i kommunen- Rutiner och organisation

Rapport avseende granskning av årsredovisning 2016 Uddevalla kommun. Mars 2017 Pernilla Lihnell

Rapport avseende granskning av delårsrapport Vadstena kommun

Skattedagarna 2013 Mervärdesskatt

Rapport avseende granskning av delårsrapport Uddevalla kommun. Oktober 2016 Harald Jagner, Pernilla Lihnell

Rapport avseende granskning av protokollhantering Uddevalla kommun. Januari 2017 Pernilla Lihnell, Jonas Söderberg, Sara Hansson

t v HARRYDA fl**wnlt {.t;, ØØ*zm{naDuwe

Revisionsrapport Granskning av Renhållningen- Rutiner och fakturering

Granskning av tillsynsverksamheten inom miljönämnden Habo och Mullsjö kommuner. Januari 2016 Torbjörn Bengtsson, Sofia Josefsson och Sebastian Lundin

Granskning av ansökan om ersättning för kostnader från Migrationsverket Habo kommun

Rapport avseende granskning av årsredovisning 2017

Revisionsrapport Granskning av Inköpsrutiner inom SABY

Rapport avseende översiktlig granskning av delårsrapport Region Skåne

IFRS i Fokus Påverkan av IFRS 16 Leasingavtal i delårsrapporten Q1 2019

Affärshälsa för starka och lönsamma företag

Migrationsersättningar Innehållsförteckning. Migrationsersättningar Fördjupningsprojekt. November 2016 Teodora Heim och Paul Hansson

Uppföljning av tidigare granskningar Östersunds kommun

Granskning av underlag till större beslut i kommunfullmäktige Uddevalla kommun

Dataskyddsförordningen. GDPR (General Data Protection Regulation)

IFRS i fokus. Mars Innehåll

Rapport avseende granskning av årsredovisning 2015 Uddevalla kommun. Mars 2016 Harald Jagner, Pernilla Lihnell

Granskning av integrationoch flykting-mottagande. Sunne kommun

Kvalitet i periodiseringar Innehållsförteckning. Kvalitet i periodiseringar Fördjupningsprojekt. Januari 2017 Imman Rahim och Per Stomberg

Transkript:

Stadsrevisionen Malmö Stad Granskning av IT-verksamheten och informationssäkerhet Marcus Sörlander, Peter Birgersson, Sofia Cervall 2015-12-11 - Slutversion

Innehåll... 1 1. Sammanfattning... 3 1.1 Översikt resultat... 3 2. Bakgrund... 5 2.1 Syfte, revisionsfråga och avgränsning... 5 2.2 Revisionskriterier... 5 2.3 Granskningsansvariga... 6 2.4 Upplägg och metod... 6 3. Resultat av granskningen... 7 3.1 Leds stadens IT-verksamhet på ett ändamålsenligt och effektivt sätt?. 7 3.2 Produktion och IT-utveckling sker i linje med nämndernas önskemål och på ett säkert sätt?... 7 3.3 Uppföljning av tidigare synpunkter från revisionen på stadens ITverksamhet, samt skyddas sekretessbelagd information tillräckligt?... 7 Deloitte Stadsrevisionen Malmö Stad 2

Utformning av kontroll Faktisk efterlevnad 1. Sammanfattning Deloitte har på uppdrag av Malmö stadsrevision granskat IT-verksamheten inom Malmö stad. Granskningens syfte har varit att utvärdera och bedöma om Malmö Stads IT-verksamhet leds på ett ändamålsenligt och effektivt sätt, om produktion och IT-utveckling sker i linje med nämndernas önskemål och på ett säkert sätt, uppföljning av tidigare synpunkter från revisionen på stadens IT-verksamhet samt om sekretessbelagd information skyddas tillräckligt. Leds stadens IT-verksamhet på ett ändamålsenligt och effektivt sätt, o Efter genomförd granskning där utvalda kontroller testats i utformning och faktisk efterlevnad bedömdes det att kontrollernas design är utformade korrekt, dock har vi noterat brister i faktisk efterlevnad vilket betyder att det finns förbättringsmöjligheter för att anse att Malmö Stads IT-verksamhet leds på ett effektivt sett. För att staden effektivt ska kunna arbeta med informationssäkerhet så ska ett register över informationstillgångar upprättas. Däremot anses stadens ITverksamhet vara ändamålsenlig då design av kontroller är korrekt. Sker produktion och IT-utveckling i linje med nämndernas önskemål och på ett säkert sätt, o Produktion och IT-utveckling sker i linje med nämndernas önskemål. Däremot är det inte alltid så att produktion och IT-utveckling genomförs på ett säkert sätt då vi noterat brister inom områdena Drift & Nätverk samt Förändringshantering. Har tidigare synpunkter från revisionen på stadens IT-verksamhet åtgärdats, samt skyddas sekretessbelagd information tillräckligt. o Delar av tidigare års rekommendationer har åtgärdats, däremot kvarstår flera observationer (se resultat nedan). Sekretessbelagd information skyddas inte tillräckligt enligt vår granskning där vi valt ut att titta specifikt på ett system som innehåller sekretessbelagd information. Då det finns brister i kontroller rörande behörigheter i systemet anses sekretessbelagd information inte skyddas tillräckligt. Vi rekommenderar att Malmö Stad tar fram en aktivitetsplan där det framgår vilka av observationerna som kommer att åtgärdas, när de kommer att åtgärdas samt vem som är ansvarig för att åtgärden fullföljs. 1.1 Översikt resultat Nedan ges en överblicksbild över de områden vi granskat och vilka områden vi bedömt att det finns behov av förbättringar inom. Övergripande IT-verksamheten IT-organisation - ansvarsfördelning och organisationsstruktur. Kontinuitetshantering Kontinuerligt förbättringsarbete för informationssäkerhet Register över informationstillgångar Drift & Nätverk Åtkomst till datahallar (Serverhall 1 och Serverhall 2) Servicedesk stödfunktion Backuphantering Rutin för driftgodkännande av IT-system/e-tjänster och framtida kapacitetsbehov Informationssäkerhet Styrningsdokument för informationssäkerhet Lösenordspolicy System Y, System X (Uppföljning 2011) Tillägg & Borttag av användare AD, System Y (Uppföljning 2011) Höga behörigheter (System X) Användargenomgångar (System X) 2015-12-11 - Slutversion

Mindre betydande Betydande Kritisk Förändringshantering Godkännande av standardförändringar Informationskrav relaterade till systemklassificering Utveckling/Test/Produktionsmiljö - Segregation of duties (System X) Kategorier Inga iakttagelser noterade Noterade iakttagelser Iakttagelserna är graderade röd, orange, gul beroende på allvarlighetsgrad, se tabell nedan. Revisionskriterier Kontroll är inte effektiv eller icke existerande. Mitigerande/Kompenserande process/kontroll är inte effektiv och/eller utformningen av kontrollen är bristfällig. Med mitigerande menas annan kontroll vilken täcker samma risk. Kontroll är detektiv snarare än preventiv och bidrar endast i viss omfattning till att minska organisationens exponering för betydande konsekvenser. Detektiv kontroll betyder en fångande kontroll efter en händelse, preventiv betyder kontroll innan en händelse inträffar. Mitigerande kontroll är implementerad men designen av kontrollen kan förbättras. Kontroll är implementerad, däremot kan ett åtgärdande av rekommendationen vara en proaktiv handling för att öka informationssäkerheten och driften av företagets IT-system. Mitigerande kontroll är implementerad med fungerande design, dock efterlevs inte den mitigerande kontroll fullt ut. Deloitte Stadsrevisionen Malmö Stad 4

Mindre betydande Betydande Kritisk 2. Bakgrund Deloitte har på uppdrag av Malmö stadsrevision granskat IT-verksamheten inom Malmö stad. Granskningens fokus har varit stadens arbete inom IT-verksamheten och att den leds på ett på ett ändamålsenligt och effektivt sätt, samt uppföljning av tidigare synpunkter från revisionen på stadens IT-verksamhet. Granskningen har berört stadsdelsnämnderna, servicenämnden och kommunstyrelsen. 2.1 Syfte, revisionsfråga och avgränsning Syfte och granskningens huvudfrågeställning var om IT-verksamheten leds på ett ändamålsenligt och effektivt sett. För att testa detta har frågeställningen brutits ned i följande frågeställningar: Leds stadens IT-verksamhet på ett ändamålsenligt och effektivt sätt, Sker produktion och IT-utveckling i linje med nämndernas önskemål och på ett säkert sätt, Har tidigare synpunkter från revisionen på stadens IT-verksamhet åtgärdats, samt skyddas sekretessbelagd information tillräckligt. För att svara på frågeställningen har kontroller testats både för utformning och faktisk efterlevnad och implementation. Vi har granskat Stadskontoret, Serviceförvaltningen, Grundskoleförvaltningen och Stadsområdesförvaltningen Väster. 2.2 Revisionskriterier Nedan följer revisionskriterier med tre olika nivåer. Observationerna har klassificerats utifrån nedanstående kategorier, baserat på vilken påverkan vi bedömer identifierade kontrollbrister har för Malmö Stad när kontrollerna inte är i linje med kravställning eller best practice. De styrdokument som vi reviderat mot under granskningen är följande: Malmö stad IT Standardbeskrivning Riktlinjer för informationssäkerhet - Beslutad av KS 2015-03-23 IT Malmö - Changeprocess 1.0 150528 Principer för det digitala Malmö v.1.0 Protokoll för inventering och klassificering av informationstillgångar Processdokumentation - IT-tjänster Rutin Ärendehantering Rutiner för behörighetsgivning rutin-tillträde Revisionskriterier Kontroll är inte effektiv eller icke existerande. Mitigerande/Kompenserande process/kontroll är inte effektiv och/eller utformningen av kontrollen är bristfällig. Med mitigerande menas annan kontroll vilken täcker samma risk. Kontroll är detektiv snarare än preventiv och bidrar endast i viss omfattning till att minska organisationens exponering för betydande konsekvenser. Detektiv kontroll betyder en fångande kontroll efter en händelse, preventiv betyder kontroll innan en händelse inträffar. Mitigerande kontroll är implementerad men designen av kontrollen kan förbättras. Kontroll är implementerad, däremot kan ett åtgärdande av rekommendationen vara en proaktiv handling för att öka informationssäkerheten och driften av företagets IT-system. Mitigerande kontroll är implementerad med fungerande design, dock efterlevs inte den mitigerande kontroll fullt ut. Deloitte Stadsrevisionen Malmö Stad 5

Till varje observation har vi nedan lämnat en förklaring av risken samt tillhörande rekommendation för att minska risken. De förbättringsåtgärder som har framkommit är nödvändigtvis inte en fullständig sammanställning över samtliga svagheter och brister som kan finnas eller förbättringar som är nödvändiga. 2.3 Granskningsansvariga Marcus Sörlander (Partner), Peter Birgersson (Manager) och Sofia Cervall (Consultant) på Deloitte, avdelning ERS (Enterprise Risk Services). 2.4 Upplägg och metod I nedanstående avsnitt ges en översiktlig beskrivning av uppdragets upplägg och metod, baserat på SKYREV s rekommendation. Uppdraget består av fyra faser; planera, genomföra, analysera och rapportera. Planera Syftet med denna fas är planering och formulering av detaljplan samt etablera kontakter med nyckelpersoner inom Malmö stad. Uppdraget startades utifrån överenskommelse med Stadsrevisionen. Granskningen började med ett uppstartsmöte med Stadsrevisionen och därifrån vidareutvecklades detaljplaneringen för projektet. Nyckelpersoner i verksamheten som innefattades av granskningsområdet identifierades. Dessa kontaktades under granskningens planeringsfas för att dels informeras om granskningens syfte och mål men även för att boka tid för intervju. Angreppssättet för granskningen var riskbaserad där förslag på omfattning och fokus beslutades med Malmö stad i den detaljerade planeringen. Genomföra Syftet med denna fas är att utifrån fastslagen granskningsplan genomföra granskning, intervjua personal (se bilaga 1) och samla in material/dokument för vidare analys. Genomförandet började med att ta del av förekommande centrala styrdokument, policys och riktlinjer inom granskningsområdena. Detta för att skapa förståelse för hur arbetet förväntas bedrivas samt de ramar som finns för IT-verksamheten vilket utgjorde grunden för granskningsarbetet. Vidare gjordes en översiktlig genomgång av IT- och informationssäkerhetsfrågor baserat dels på gällande lagar och förordningar men även relaterat till vanligt förekommande risker för liknande verksamheter med krav på informationens integritet, tillgänglighet och sekretess. Analysera Syftet med denna fas är att analysera och sammanställa resultatet av insamlad data som ligger till grund för slutsatser, både från genomförda intervjuer samt analys av erhållen dokumentation. Beroende på kontrollerna och hur de har implementerats har testning skett antingen via observation eller stickprovstestning för att utvärdera om policys och riktlinjer följs på ett ändamålsenligt sätt. Kopplat till de aktuella revisionsfrågeställningarna görs en bedömning och förslag på rekommendationer tas fram. Bedömningarna baseras på tidigare erfarenheter i liknande miljöer samt vedertagen best practice inom området. Eventuella uppföljande frågor formuleras och riktas till berörda. Slutligen dras sammanfattande slutsatser av granskningsresultatet. I detta steg genomförs även kvalitetssäkring av gjorda iakttagelser från genomförandefasen. Rapportera Syftet med denna fas är att rapportera och leverera resultatet av granskningen. Resultatet av granskningen sammanfattas i en preliminär rapport som stäms av med Stadsrevisionen i analysfasens slutskede. Därefter sker en slutlig kvalitetssäkring av rapporten. Rapporten kommer således innan den färdigställs att vara faktaavstämd liksom internt kvalitets och språkgranskad. Deloitte Stadsrevisionen Malmö Stad 6

3. Resultat av granskningen 3.1 Leds stadens IT-verksamhet på ett ändamålsenligt och effektivt sätt? För att besvara om IT-verksamheten leds på ett ändamålsenligt sätt identifierades kontroller utifrån de styrdokument som erhölls. De identifierade kontrollerna testades sedan i utformning och faktisk efterlevnad. För utformningen av kontrollerna så bedömdes dessa som effektiva, se övergripande ITverksamhet i 1.1, vilket gör att Stadens IT-verksamhet leds på ett ändamålsenligt sätt. För detaljerad beskrivning av observationer se bilaga 2. För den faktiska efterlevnaden se de granskade områdena Drift & Nätverk, Informationssäkerhet och Förändringshantering i 1.1 där de identifierades en del brister. Detta betyder att det finns förbättringsmöjligheter för att anse att Malmö Stads IT-verksamhet leds på ett effektivt sett. 3.2 Produktion och IT-utveckling sker i linje med nämndernas önskemål och på ett säkert sätt? För att besvara om produktion och IT-utveckling sker i linje med nämndernas önskemål och på ett säkert sätt genomfördes intervjuer med Stadsområdesförvaltning Väster och Serviceförvaltningen. En omorganisation genomfördes inom IT innan granskningen påbörjades vilket enligt intervjuerna var en positiv förändring men att organisationen behöver tid för att kunna landa i sina olika roller och att ansvarsfördelningen då kommer tydliggöras. Vår bedömning är att Produktion och IT-utveckling sker i linje med nämndernas önskemål. Däremot är det inte alltid så att produktion och IT-utveckling genomförs på ett säkert sätt då vi noterat brister inom Drift & Nätverk samt Förändringshantering. För detaljerad beskrivning av observationer se bilaga 2. 3.3 Uppföljning av tidigare synpunkter från revisionen på stadens IT-verksamhet, samt skyddas sekretessbelagd information tillräckligt? För att följa upp på tidigare års observationer samlades information in genom intervjuer och email med systemförvaltarna för de system observationerna lyftes för tidigare år. De observationer som fortfarande bedömdes som ej effektiva beskrivs på ett översiktligt sätt i kapitel 1.1. Alla observationer från tidigare år är inte åtgärdade. För att besvara frågan om sekretessbelagd information skyddas tillräckligt valdes systemet X och relevanta kontroller identifierades för testning då detta system innehåller den mest kritiska informationen. Eftersom att inaktiva användare och användare med höga behörigheter fortfarande har aktiva konton och lösenordskraven inte är i enlighet med Malmö Stads policy anser vi att den sekretessbelagda informationen inte skyddas tillräckligt för de utvalda systemet som granskades. För detaljerad beskrivning av observationer se bilaga 2. Deloitte Stadsrevisionen Malmö Stad 7

About Deloitte Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee ( DTTL ), its network of member firms, and their related companies. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as Deloitte Global ) does not provide services to clients. Please see www.deloitte.com/about for a more detailed description of the legal structure of DTTL and its member firms. Deloitte provides audit, consulting, financial advisory, risk management, tax and related services to public and private clients spanning multiple industries. With a globally connected network of member firms in more than 150 countries and territories, Deloitte brings worldclass capabilities and high-quality service to clients, delivering the insights they need to address their most complex business challenges. Deloitte s more than 220,000 professionals are committed to making an impact that matters. This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the Deloitte network ) is, by means of this communication, rendering professional advice or services. Before making any decision or taking any action that may affect your finances or your business, you should consult a qualified professional adviser. No entity in the Deloitte network shall be responsible for any loss whatsoever sustained by any person who relies on this communication. 2015 Deloitte AB Deloitte Stadsrevisionen Malmö Stad 8

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss