Revisionen överlämnar bifogad rapport för yttrande senast 31 augusti 2019.

Relevanta dokument
Granskning av kommunens tillsyn av fristående förskolor

Granskning av klassificering av utgifter som drift eller investering

Taxor och avgifter - Översiktlig granskning av den interna kontrollen

Kommunrevisionen: granskning av generella IT-kontroller 2014

Revisionsrapport 2010 Genomförd på uppdrag av revisorerna i Jönköpings kommun. Jönköpings kommun Granskning av användaradministrationen

PAJALA KOMMUN Tjänsteställe/Handläggare Revisorerna

Revisionsplan 2016 för Tidaholms kommun och dess helägda bolag och stiftelser

Systemdrift och Systemförvaltning Centrala verksamhetssystem Service Desk

Revisionsrapport 2017 Genomförd på uppdrag av revisorerna december Laholms kommun Granskning av IT-säkerhet och informationssäkerhet

Lekmannarevision 2017 Systematiskt arbetsmiljöarbete. Göransson Arena AB

Region Skåne. Granskning av utomlänsfakturering Rapport. KPMG AB Offentlig sektor 27 januari 2015 Antal sidor: 10

Riktlinjer för informationssäkerhet. ver 1.0. Antagen av Kommunstyrelsen

Granskning av årsredovisning 2017

1(2) För kännedom; Fullmäktiges. presidium. uppföljning. barn- och. iakttagelser: finns. lokalt. Behov. Omorganisering. g renodlat tjänsterna

Integritetspolicy Bokförlaget Nona

Revisionsrapport. Investeringar. Katrineholms kommun. Annika Hansson, Cert kommunal revisor Jukka Törrö November 2011

Beskrivning av Metakatalog. Sundsvalls kommun

Beskrivning av chef vid Karolinska Institutet

Leverantörsbetalningar

Processbeskrivning fakturahantering

JAJvlTLAND HARJEDALEN. Uppföljning av tidigare granskning av regionens finansförvaltning REVISIONSRAPPORT REVISIONSKONTORET. Dnr: REV 16/2017 REG I ON

SITHS rekommendationer för internt revisionsarbete

Malltext Tredjepart- /Samarbetsavtal HSA och SITHS

Landstinget Dalarna. Granskning av finansförvaltningen Rapport. KPMG AB Antal sidor: 12

Kommunallagen 84. Bindningar enligt kommunallagen 84 1/10/2017. Vasa Martin Slotte, OFR, CIA KPMG Offentliga Tjänster Ab, OFR-samfund

Kommunstyrelsens Ledningsutskott (22) BILDANDE AV GEMENSAM VÄXELORGANISATION - INFORMATION Dnr: LKS

Policy för personuppgiftshantering 2018 Antagen av styrelsen för PRO i Tullinge vid styrelsemötet Version 1.

Intern kontroll inom Försörjningsstöd

AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS

Vetlanda kommun. Granskning av Överförmyndarverksamheten

Riktlinjer för Lex Sarah

Svar på motion från Emil Broberg (V) m.fl Städning av vårdlokaler i egen regi (LiÖ )

SAMVERKANSAVTAL VIMMERBY KOMMUN 2013

INFORMATIONSSÄKERHETSPOLICY

Mobil närvård Västra Götaland Lathund. Delrapport 2 kortfattad sammanfattning av följeutvärderingens resultat och rekommendationer

Policy för personuppgiftshantering i Brf Näsbyallé

Yttrande från Stockholmsregionen om EU:s handlingsplan för e-förvaltning

Identifiera, förebygga och motverka osakliga könsskillnader i kärnverksamheten

Verksamhetsplan 2015 Regionservice, Region Halland. Samverkad med arbetstagarorganisationerna

Uppdrag att granska hyresavtal mellan Danderyds kommun och Marina läroverket/klart skepp m.m.

1. Rambölls uppdrag. Uppdrag Utredning och analys av omställningsarbete för Mötesplatser för unga vuxna Botkyrka kommun PM nr 01 Datum

Integritetspolicy. Senast uppdaterad i maj Vårt sekretessåtagande. Vi ska

IT-strategin ersätter tidigare IT-strategi från (CF /04).

Revisionsrapport. Intern kontroll snöröjning. Vänersborgs kommun. Datum Henrik Bergh. Revisionskonsult kommunal sektor

Tillämpningsanvisningar Attestreglementet

Granskning av intern kontroll avseende attestering av leverantörsfakturor Jönköping kommun. Februari 2017 Pernilla Rehnberg och Kristina Engelke

Information från socialkontorets ledningsgrupp

Auktorisering och grupphantering. Projektplan

Allmänna bestämmelser för Certifiering

Landstinget i Värmland. Förstudie IT-säkerhet Rapport. Offentlig sektor - kommuner och landsting KPMG AB Antal sidor: 10

SAMMANTRÄDESPROTOKOLL KOMMUNSTYRELSEN. Sammanträdesdatum

Intern styrning och kontroll vid Stockholms universitet

Granskning av delårsbokslut per 30 juni 2014

Definition. Bilaga 4. Anslutningstjänst leverantörer. Routing. Ansvar för att test av anslutning i produktionsmiljö genomförs

Projektnamn: Vägledning för ett hälsosamt åldrande Seniorguiden. upprättades: Upprättad av: Namn Therese Räftegård Färggren och Anna Jansson

1 (2) Landstingets revisorer Dnr REV/31/06

Metod Momentet ska kontrolleras med hjälp av korstabell i Styret/ekonomisystemet.

ACD Accelerated Competitive Dialogue

Revisionsrapport Hantering av IT

Digital strategi för Ödeshögs kommunala skola

Styrning ökat fokus på brukares och patienters medskapande

Revisionsrapport Mjölby Kommun

Integritetspolicy för givare

Leverantörskvalificering

Sollentuna kommun. Samverkan mellan kommun och landsting vid in- och utskrivning inom den slutna hälso- och sjukvården

PERSONALSTRATEGI. för KORSHOLMS KOMMUN. Godkänd av kommunfullmäktige Uppdaterad av kommunstyrelsen

Reglemente för Miljö- och byggnämnden i Lilla Edets kommun. Antaget av: Kommunfullmäktige Datum: Dnr: KS 2018/451

Aktörsgemensam CBRNEstrategi

Granskning av förskolenämndens säkerställande av kompetensförsörjningen

Registerbeskrivning. Svensk-Österbottniska Samfundet r.f. & Harry Schaumans stiftelse. EU:s dataskyddsförordning, 2016/679. Registerförare 23.5.

Checklista förändringsledning best practice Mongara AB

Rapport delprojektgrupp HR i genomförandefasen aug jan 2014 hemsjukvårdsreformen

Producenter: anvisning om hur checklistan för kontroll av planen för egenkontroll och hur denna omsätts i praktiken fylls i

Vad är kompetens och vad är rätt kompetens?

Revisionsberättelse och årsrapport för 2011

INTEGRITETSPOLICY ADJURE AB

Innehåller instruktioner för hur du ska fylla i mallen Egenkontroll för elinstallationsarbete som finns i EL-VIS Mall

NORD FONSKOMMISISON AB INTEGRITETSPOLICY. Antagen av styrelsen i Nord Fondkommission AB

KOMMUNIKATIONSSTRATEGI GÖTEBORGS MILJÖVETENSKAPLIGA CENTRUM, GMV,

SAMMANTRÄDES PROTOKOLL

Tjänsteportfölj IT-teamet

Förskolechefen har under läsåret utbildat personalen i pedagogisk dokumentation.

FU 2000 Generella arbetsmiljökrav

Riktlinjer för externfinansierade forskningsprojekt vid Högskolan i Skövde

Överenskommelse om kommunernas krisberedskap

Sammanträdesdatum. 246 Dnr 646/15

Slutrapport Uppdragsutbildning ITM

Råd och riktlinjer för mobil försäljning av mat i Mjölby, Mantorp och Skänninge

Kommunikationsplan Miljö- och samhällsnytta Vi skapar ren välfärd

Bildningsförvaltningens pedagogiska IKT-strategi för skolutveckling med hjälp av digitala verktyg

Styrelse och rektor. Revisionsrapport Upphandling. Internrevisionen Dnr LiU-2008/ (8) 1. Bakgrund

Uppdaterad information om integritetspolicy

Granskning av lönehanteringen. Mönsterås Kommun. Revisionsrapport. Caroline Liljebjörn Certifierad kommunal revisor

Regler vid verksamhetsövergång och ägarbyte

Reglemente för Tekniska nämnden i Lilla Edets kommun. Antaget av: Kommunfullmäktige Datum: Dnr: KS 2018/452

Riktlinje delegering, Falkenbergs kommun

Rutin för domänvalidering. Verifiering av organisationer och ombud

Kvalitetsgranskning av svenskundervisning för invandrare (sfi) i Stockholms stad

Projekt #svenskrodd2020 barn och ungdom

att överlämna ärendet till socialnämnden utan eget ställningstagande.

Transkript:

Kmmunrevisinen Järfälla kmmun Kmmunstyrelsen För kännedm: Kmmunfullmäktiges presidium På vårt uppdrag har KPMG granskat ändamålsenligheten i kmmunens arbete med IT-säkerhet. Granskningen har ingått i revisinsplanen för 2018. Efter genmförd granskning lämnar vi följande rekmmendatiner till kmmunstyrelsen: Upprätta en IT-strategi Förslagsvis bör denna avgränsas utifrån rganisatinens ch ledningens behv. Viktigt kan vara att invlvera nyckelpersner, sm har förståelse för visinen, tidigt i denna prcess. Vidare kan det vara viktigt att betänka hur strategin ska implementeras, samt hur uppföljning ska ske. Löpande bör denna ckså granskas för att se huruvida den är aktuell, implementerad ch leder till ett ptimalt IT-stöd. Regelbundet utnyttja sin rätt enligt avtal att genmföra revisin av att leverantören uppfyller sina åtaganden ch skyldigheter för leverans av applikatins- ch systemdrift. - Frtsätta arbetet med upprättande av användarinstruktin sm infrmerar m kmmunens regler vid användning av dess datrer, infrmatin, mail etc. Säkerställa att inte gruppbehörigheter till lika verksamhetssystem riskerar att leda till t ex tillåten hantering av persnkänslig infrmatin. I hanteringen av lösenrd öka minimikraven för antal tecken, specialtecken ch versaler etc. Frtsätta arbetet med behörigheter, specifikt kpplat till att revidera nuvarande behörigheter till Raindance, bland annat så att t ex belppsmässiga begränsningar i attesträtt återspeglas även i Raindance att rutinmässigt kntrllera att samtliga användare är aktuella Frtsätta arbetet med upprättande av samlingsplan för eknmisystemet Raindance. Upprätta kntinuitetsplan för drift av Raindance. Revisinen överlämnar bifgad rapprt för yttrande senast 31 augusti 2019. Järfälla den 19 mars 2019 För Järfälla å rnmuns revisrer Lars Marksted Olf Tillander Sida 1 av 1

Granskning av ITsäkerhet Rapprt KPMG AB Antal sidr 9 Antal bilagr 0 2019 KPMG AB, a Swedish limited liability cmpany and a member firm f the KPMG netwrk f independent member firms affiliated with KPMG Internatinal Cperative ( KPMG Internatinal ), a Swiss entity. All rights reserved.

Innehållsförteckning 1 Sammanfattning 2 2 Inledning/bakgrund 3 2.1 Syfte, revisinsfråga ch avgränsning 4 2.2 Revisinskriterier 4 2.3 Metd 4 2.4 Prjektrganisatin 5 3 Resultat av granskningen 5 3.1 Genmgång av granskning 5 3.1.1 IT-miljön generellt 5 3.1.2 IT-säkerhet 5 3.1.3 Åtkmst till system ch infrmatin 6 3.1.4 Systemförändringar ch -utveckling 6 3.1.5 Drift 6 3.1.6 Raindance 7 3.2 Slutsats ch rekmmendatiner 8 Järfälla Granskningsrapprt IT-säkerhet 2018.dcx i Dcument classificatin KPMG Public

1 Sammanfattning Vi har av Järfälla kmmuns revisrer fått i uppdrag att granska hur kmmunens ITfunktin uppfyller sitt uppdrag. Syftet med granskningen har varit att bedöma m IT-funktinens rganisatin ch arbetssätt ar ändamålsenlig utifrån uppdrag ch förväntningar på leverans av tjänster ch varr. Det har genmförts ett flertal utredningar avseende kmmunens IT-funktin under de senaste åren. Sammantaget har de visat på att det finns stra brister inm mrådet. Några verkningsfulla åtgärder för att hantera ch avhjälpa bristerna har dck inte vidtagits. Därför har ett strt förändringsarbete inletts sedan 2016. De brister sm tidigare utredningar identifierat har funnits under flera år. Det kan därför betraktas sm anmärkningsvärt att verkningsfulla åtgärder inte vidtagits tidigare. Sammanfattningsvis kan vi knstatera att kmmunens rutiner för hanteringen av den generella IT-miljön är gd. Plicydkument för de mest relevanta delarna av ITverksamheten är upprättade eller håller på att upprättas. Då stra delar av ITfunktinerna är utsurcade är risken för kunskapstapp eller annan berendeställning på individnivå lägre. upplevs vara i slutet av en pågående förbättringsfas. Mt bakgrund av vår granskning rekmmenderar vi kmmunen att: - Upprätta en IT-strategi Förslagsvis bör denna avgränsas utifrån rganisatinens ch ledningens behv. Viktigt kan vara att invlvera nyckelpersner, sm har förståelse för visinen, tidigt i denna prcess. Vidare kan det vara viktigt att betänka hur strategin ska implementeras, samt hur uppföljning ska ske. Löpande bör denna ckså granskas för att se huruvida den är aktuell, implementerad ch leder till ett ptimalt IT-stöd. - Regelbundet utnyttja sin rätt enligt avtal att genmföra revisin av att leverantören uppfyller sina åtaganden ch skyldigheter för leverans av applikatins- ch systemdrift. - Frtsätta arbetet med upprättande av användarinstruktin sm infrmerar m kmmunens regler vid användning av dess datrer, infrmatin, mail etc. - Säkerställa att inte gruppbehörigheter till lika verksamhetssystem riskerar att leda till t ex tillåten hantering av persnkänslig infrmatin. - I hanteringen av lösenrd öka minimikraven för antal tecken, specialtecken ch versaler etc. - Frtsätta arbetet med behörigheter, specifikt kpplat till att revidera nuvarande behörigheter till Raindance, bland annat så att t ex belppsmässiga begränsningar i attesträtt återspeglas även i Raindance att rutinmässigt kntrllera att samtliga användare är aktuella Järfälla Granskningsrapprt IT-säkerhet 2018.dcx 2

- Frtsätta arbetet med upprättande av samlingsplan för eknmisystemet Raindance. - Upprätta kntinuitetsplan för drift av Raindance. 2 Inledning/bakgrund KPMG har av Järfälla kmmuns revisrer fått i uppdrag att granska kmmunens prcesser kring IT-säkerhet. Uppdraget ingår i revisinsplanen för år 2018. Under 2017 har revisrerna genmfört en granskning av IT-funktinen i kmmunen. Granskningen knstaterade en hel del brister ch ett pågående förbättringsarbete. Den senaste tiden har framkmmit att många kmmuner har brister rörande hantering av säkerhetskänslig infrmatin, särskilt när delar av IT-funktinen utsurcas. Den senaste tiden har även framkmmit att många kmmuner utsatts för virusattacker ch utpressning. Den 25 maj 2018 trädde en ny lag i kraft, Allmänna dataskyddsförrdningen, förkrtad GDPR efter EU-benämningen General Data Prtectin Regulatin. Lagen kmmer i Sverige att ersätta Persnuppgiftslagen, förkrtad PUL. Kmmuner väljer i dag att i många fall överlåta driften av system ch verksamheter till andra. En av de största utmaningarna med detta är att säkerställa att säkerhetskänslig infrmatin regleras ch hanteras på ett krrekt sätt, för att på så sätt skydda enskilda, verksamheten ch även rikets säkerhet. Ett antal incidenter har den senaste tiden inträffat, vilka kan ha medfört risker för att säkerhetskänslig infrmatin kan ha spridits, men incidenterna har ckså inneburit stra förtrenderisker för de sm har berörts. Järfälla kmmuns revisrer har bedömt bland annat utifrån van nämnda händelser att mrådet IT-säkerhet är av vikt att granska för att säkerställa att kmmunens prcesser minimerar riskerna för skada rörande verksamheter, eknmi, individer, lagbrtt eller förtrende. Järfälla Granskningsrapprt IT-säkerhet 2018.dcx 3

2.1 Syfte, revisinsfråga ch avgränsning Granskningen har syftat till att knstatera m kmmunen har prcesser, rutiner ch erfrderlig kntrll över IT-säkerheten. Granskningen har bland annat avsett att besvara följande revisinsfrågr: - Finns ändamålsenliga interna styrdkument på mrådet? - Genmförs löpande en övergripande säkerhetsanalys där kmmunens skyddsvärda infrmatin, befattningar, lkaler, anläggningar, system ch rutiner identifieras? - Sker säkerhetsklassning av funktiner ch tjänster? - Görs säkerhetsanalyser inför upphandlingar ch utsurcing? - Skrivs säkerhetsskyddsavtal vid behv? - Kntrlleras ch följs säkerhetsskyddskrav upp? - Är säkerhetsskyddsarbetet integrerat i verksamheternas rdinarie prcesser? 2.2 Revisinskriterier 2.3 Metd - Hur säkerställs att endast behörig persnal har åtkmst till intranätet ch krrekta behörigheter i Raindance m fl system? Vi har bedömt m rutinerna uppfyller: - Kmmunallagen 6 kap 6 - Tillämpbara interna regelverk, plicyer ch beslut - Säkerhetsskyddslagen - Säkerhetsskyddsförrdningen - Allmänna dataskyddsförrdningen, GDPR - Lag m kmmunal bkföring ch redvisning Granskningen har genmförts genm dkumentstudier ch intervjuer/avstämningar med systemansvarig för Raindance, IT-chef ch IT-säkerhetsansvarig i följande steg: - Inhämtande av prcess- ch rutinbeskrivningar - Inhämtande av relevanta styrdkument - Identifiering av eventuellt utsurcade system/verksamheter - Granskning av avtal rörande utsurcing Järfälla Granskningsrapprt IT-säkerhet 2018.dcx 4

- Intervjuer - Analyser - Rapprtskrivning - Faktakntrll av rapprt 2.4 Prjektrganisatin Granskningen har genmförts under ledning av B Ädel, auktriserad revisr ch certifierad kmmunal yrkesrevisr ch även kundansvarig för KPMGs biträde till de förtrendevalda revisrerna i Järfälla kmmun. 3 Resultat av granskningen 3.1 Genmgång av granskning 3.1.1 IT-miljön generellt Kmmunen hade vid granskningstillfället inte upprättat en IT-strategi, med mtiveringen att andra frågr har pririterats. På längre sikt är det en fördel att knkret ch kntinuerligt sammanställa hur IT-funktinen ska uppnå sina mål. Effekten av att inte ha en uttalad IT-strategi kan bli ineffektivitet, tydlighet kring rllfördelning, avsaknad av relevanta plicys, krtsiktiga investeringar i infrastruktur eller att avtal med viktiga leverantörer inte är uppdaterade/saknas helt. Via Järfälla kmmuns förvaltningsmdell kallad PM3 sker kmmunikatin mellan ITfunktinen ch verksamheterna. I detta system anmäls de lika behv verksamheterna har ch IT-funktinen besvarar i sin tur via PM3 hur dessa ärenden hanteras. I PM3 finns även ansvarsbeskrivningar för IT-verksamheten, vilka KPMG har inhämtat ch bedömt ändamålsenliga. Denna visar på ett tydligt sätt hur ansvarsmrådena är uppdelade mellan verksamheten ch IT. KPMG har även mttagit en sammanställning över samtliga persner med Adminknt, samt vilka behörigheter dessa användare har till de lika applikatinerna ch prgramvarrna. Kmmunen bedöms begränsa behörigheter till varje individs funktin inm rganisatinen på ett ändamålsenligt sätt. 3.1.2 IT-säkerhet Kmmunen har en Infrmatinssäkerhetsplicy på plats ch samtliga IT-användare har infrmerats m dess innehåll. Ansvarig för tillhandahållandet av denna är kmmunens IT-chef, sm har delegerat ansvaret för infrmatinssäkerheten till kmmunens ITsäkerhetsansvarig. Då utsurcar denna del av IT-verksamheten, bygger plicyn i strt på de krav kmmunen ställer på leverantören Tiet Sweden AB för att uppfylla sina mål kring IT-säkerhet. Järfälla Granskningsrapprt IT-säkerhet 2018.dcx 5

För närvarande finns det ej en användarinstruktin sm infrmerar m kmmunens regler vid användning av dess datrer, infrmatin, mail etc. Detta är dck under utveckling tillsammans med HR-avdelning ch jurister. För att skydda kmmunens servrar, närverk ch datrer finns virusskydd ch brandväggar vilka uppdateras autmatiskt ch regelbundet mt skadlig kd. Den fysiska åtkmsten till serverrum begränsas genm lås ch skydd mt temperatur, fukt ch strömavbrtt. Leverantören Tiet Sweden AB står för applikatins- ch systemdrift sedan 2017-02-07. Enligt detta avtal har kmmunen rätt att genmföra årlig revisin av att leverantören uppfyller sina åtaganden ch förpliktelser. Sådan revisin har ännu inte genmförts. 3.1.3 Åtkmst till system ch infrmatin För att säkerställa behörig åtkmst till kmmunens nätverk finns individuella kntn ch lösenrd i generella IT-miljön. Ytterligare säkerställande att persnlig åtkmst upprätthålls genm att frmell knfigurering av lösenrd till varje närverksknt krävs. Bytesfrekvensen är på 90 dagar ch kräver minst 5 tecken, där lösenrdhistrik förhindrar återanvändande av tidigare lösenrd. Här finns ptential till att utöka kmplexiteten genm ökat minimumkrav på antal tecken, kräva specialtecken, siffrr, versaler etc. På så vis försvåras möjlighet till behörig åtkmst både från externa ch interna ht. När det kmmer till behörigheter ute i lika verksamheter finns vissa gruppkntn för hantering av infrmatin. Dessa är ej direkt kpplade till affärssystemet eller den finansiella infrmatinen hs kmmunen ch bör därmed inte utgöra ett strt prblem för framställandet av de finansiella rapprterna. Däremt kan risk finnas för lämplig hantering av persnkänslig infrmatin. 3.1.4 Systemförändringar ch -utveckling 3.1.5 Drift Generellt sker inga förändringar av systemparametrar, registerdata eller styrdata utan att detta finns definierat i en prjektplan, fta sm en del av en större prjektutveckling. Inför att dessa förändringar sjösätts finns alltid test- ch prduktinsmiljö separerade. Avseende inköp av mjuk-/hårdvara, knsulttjänster ch liknande sker beställningar alltid via IT-avdelningen, medan avtal finns för supprt från IT-leverantören till Raindance. Avtal har även skrivits med CGI för supprt med förvaltningsarbetet. Utöver de implementerade system sm används för det löpande arbetet ch upprättande av finansiella rapprter, arbetar kmmunen inte med egna applikatiner, såsm exempelvis Excel, vilka är av väsentlig betydelse för verksamheten. Drift av applikatiner ch system är utsurcat till Tiet Sweden AB. Avtal tecknades 2017-02-07. Avtalet innehåller bestämmelser m leverantörens åtaganden ch skyldigheter inklusive infrmatinssäkerhet ch skadeståndsansvar. Kmmunen är persnuppgiftsansvarig ch Tiet persnuppgiftsbiträde. Kmmunen instruerar Tiet m hur persnuppifter ska behandlas. Järfälla Granskningsrapprt IT-säkerhet 2018.dcx 6

3.1.6 Raindance Kmmunen har en upprättad beskrivning av sitt affärssystem Raindance på plats. Beskrivningen innehåller en systemskiss för prduktinen ch dess kmmunikatin med fysiska/virtuella servrar. Vidare framgår även hur systemets dagliga drift hanteras, såsm tillgång till lggfiler för felhantering/-analys, batchjb-hantering, övervakning av Windws-tjänster kpplade till Raindance. Utöver detta innehåller beskrivningen även backuphantering av data, databaser, filsystem ch transaktinslggar. Slutligen beskrivs även hur start, stängning ch återställning (restre) av Raindance bör hanteras. Från ch med 2019 gäller lag (2018:597) m kmmunal bkföring ch redvisning, LKBR. Lagen ersätter den tidigare gällande lag (1997:614) m kmmunal redvisning, KRL. Av nya LKBR framgår i 3 kap 11 : Varje kmmun ch landsting ska upprätta 1. sådana beskrivningar över bkföringssystemets rganisatin ch uppbyggnad sm behövs för att ge överblick över systemet (systemdkumentatin), ch 2. sådana beskrivningar över genmförda bearbetningar inm systemet sm gör det möjligt att utan svårighet följa ch förstå behandlingen av de enskilda bkföringspsterna (behandlingshistrik). Mtsvarande bestämmelser fanns i KRL, 2 kap 7. Järfälla kmmun har en samlingsplan för Raindance per 2017. Sedan det under 2018 har skett ett kdplansbyte pågår ett arbete med en uppdaterad versin för 2018 sm vid denna rapprts avlämnande inte färdigställts. Rådet för Kmmunal Redvisning, RKR, har i rekmmendatin RKR 23 Bestämmelser m löpande bkföring etc förtydligat lagens krav rörande bland annat systemdkumentatin ch behandlingshistrik. Sidrna 13-15 ch 99-112 rör dessa mråden. Vi rekmmenderar att kmmunen gör en genmgång av systemdkumentatinen utifrån dessa krav ch inkluderande de verksamhetssystem m m sm genererar transaktiner i Raindance. För Raindance finns upprättade avtal mellan kmmunen ch IT-användaren, där individen bekräftar att man har läst ch accepterar avtalets bestämmelser. För affärssystemet Raindance finns rutiner på plats för nytilldelning, ändring ch brttagning av användarkntn till kmmunens nätverk. Skriftliga gdkännanden/ändringsblankett av behörig persnal krävs när behörigheter läggs upp/ändras, samt att avslutsblankett bör lämnas in till IT-avdelning av behörig persnal vid avslutad anställning. Däremt finns ingen fastställd rutin sm regelbundet kntrllerar samtliga användares kntn ch behörigheter, någt sm är önskvärt då man inm rganisatinen har identifierat brister på mrådet. För att mtverka detta påbörjades i fjl ett arbete med att se över behörigheter i Raindance (vilket frtfarande pågår) ch förvaltningsledaren för Raindance för en dialg med IT-avdelningen kring hur avslutningsrutinen kan förbättras framöver. I Raindance är man för närvarande i prjektfasen av att införa en ny Leverantörsreskntraprtal, levererad från CGI Sverige AB. Implementatinen av denna utveckling Järfälla Granskningsrapprt IT-säkerhet 2018.dcx 7

förväntas innebära tydligare rller i systemet, tydligare elektrniska flöden, införande av belppsgränser, samt elektrnisk attest vid leverantörsupplägg ch utbetalningar. I detta prjekt är ansvaret uppdelat i prjektgrupp, -medlemmar, -ledare ch testgrupp. Alla beslut ch väsentliga händelser kring utvecklingens lika faser dkumenteras löpande av prjektledaren. Järfälla kmmun har för närvarande inte någn kntinuitetsplan upprättad när det kmmer till affärssystemet Raindance, någt sm skulle kunna vara önskvärt vid förutsedda händelser för att garantera frtsatt drift. Gällande incident- ch prblemhantering finns sm van nämnts avtalad supprt med leverantör. Daglig backup ff-site skser av Raindance under nattetid, vilket säkerställer att finansiell infrmatin inte går förlrad. För att säkerställa behörig åtkmst till kmmunens nätverk finns individuella kntn ch lösenrd i både Raindance ch den generella IT-miljön. 3.2 Slutsats ch rekmmendatiner Sammanfattningsvis bedömer vi att kmmunens rutiner för hantering av den generella IT-miljön är ändamålsenlig. Plicydkument för de mest relevanta delarna av ITverksamheten är upprättade eller håller på att upprättas. Då stra delar av ITfunktinerna är utsurcade är risken för kunskapstapp eller annan berendeställning på individnivå lägre. upplevs vara i slutet av en pågående förbättringsfas. Mt bakgrund av vår granskning rekmmenderar vi kmmunen att: - Upprätta en IT-strategi Förslagsvis bör denna avgränsas utifrån rganisatinens ch ledningens behv. Viktigt kan vara att invlvera nyckelpersner, sm har förståelse för visinen, tidigt i denna prcess. Vidare kan det vara viktigt att betänka hur strategin ska implementeras, samt hur uppföljning ska ske. Löpande bör denna ckså granskas för att se huruvida den är aktuell, implementerad ch leder till ett ptimalt IT-stöd. - Regelbundet utnyttja sin rätt enligt avtal att genmföra revisin av att leverantören uppfyller sina åtaganden ch skyldigheter för leverans av applikatins- ch systemdrift. - Frtsätta arbetet med upprättande av användarinstruktin sm infrmerar m kmmunens regler vid användning av dess datrer, infrmatin, mail etc. - Säkerställa att inte gruppbehörigheter till lika verksamhetssystem riskerar att leda till t ex tillåten hantering av persnkänslig infrmatin. - I hanteringen av lösenrd öka minimikraven för antal tecken, specialtecken ch versaler etc. - Frtsätta arbetet med behörigheter, specifikt kpplat till att revidera nuvarande behörigheter till Raindance, bland annat så att t ex belppsmässiga begränsningar i attesträtt återspeglas även i Raindance att rutinmässigt kntrllera att samtliga användare är aktuella Järfälla Granskningsrapprt IT-säkerhet 2018.dcx 8

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss