Protokollsutdrag. 346 Revisionsrapport Uppföljning IT-säkerhet och införande av dataskyddsförordningen - svar Dnr KS/2018:384

Relevanta dokument
Protokollsutdrag. Sammanträdesdatum

Handlingsplan för persondataskydd

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Mjölby Kommun PROTOKOLLSUTDRAG. 33 Dnr KS/2018:41. GDPR - utse ombud

Sammanträdesdatum Arbetsutskott (1) 73 Dnr KS/2018:41. Organisation med anledning av ny dataskyddsförordning

Protokollsutdrag. 1. Avge yttrande till revisionen enligt kommunledningskontorets förslag.

Revisionsrapport angående granskning av kommunens anpassning till nya IT-lösningar

Protokollsutdrag. 1. Godkänna svaret på revisionsrapport Granskning av det systematiska arbetsmiljöarbetet och överlämna det till revisionen.

Protokollsutdrag. 219 Svar revisionsrapport Kommunens styrmodell Dnr KS/2018:240. Beslut Kommunstyrelsen beslutar:

Revisionsrapport - Granskning av kommunstyrelsens arbete med intern kontroll

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Information om dataskyddsförordningen

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Sammanträdesdatum Arbetsutskott (1) 138 Dnr KS/2018:202. Riktlinjer för Mjölby kommuns webbplatser och sociala medier

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Revisionsrapport - Granskning av korthantering och representation

Svar på Uppföljning - Granskning av kommunstyrelsens

Sammanträdesdatum Arbetsutskott (2) 174 Dnr KS/2018:82

Yttrande över revisionsrapport - granskning av kommunens IT-verksamhet

Policy för informations- säkerhet och personuppgiftshantering

Anders Johansson (S), ordförande Göran Adrian (C), vice ordförande Per Lawén (S) Georg Forsberg (C)

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Informationssäkerhetspolicy för Ånge kommun

Enheten för Administration och kommunikation TJÄNSTEUTLÅTANDE Diarienummer: KN 2017/424

Granskning av drift och skötsel av anläggningar och samverkan med föreningsliv

Information om behandling av personuppgifter

Informationsklassning och systemsäkerhetsanalys en guide

Svar på revisionsskrivelse informationssäkerhet

Revisionsrapport "Förstudie av kommunens ITorganisation"

Policy och strategi för informationssäkerhet

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Mittuniversitetets riktlinjer för systemförvaltning

POSTADRESS BESÖKSADRESS TELEFON ORGANISATIONSNUMMER E-POSTADRESS. Varbergs kommun Norrgatan

Svar på revisorernas granskning av förekomst av bisysslor

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Svar på revisionsrapport om kommunens IT-strategi

Informationssäkerhetsanvisningar Förvaltning

Kommunrevisionen KS 2016/00531

Riktlinjer för personuppgiftshantering

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Verksamhetsplan Informationssäkerhet

Revisionsrapport: Uppföljning av rapport Granskning av bisysslor

Rapport internkontroll av efterlevnad av lagstiftningen lex Sarah

Svar på revisorernas granskning av förekomst av bisysslor

Riktlinjer för dataskydd

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Svar på granskningsrapport om Nässjö kommun avtalsefterlevnad

Revisionsrapport - Granskning av direktupphandling och följsamhet mot egna riktlinjer

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Svar på revisorernas granskning av förekomst av bisysslor. Landstingsstyrelsen: 1. Yttrandet till revisorerna enligt bilaga c) godkänns.

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion.

Svar på revisionsrapport Granskning av social- och arbetsmarknadsnämndens insatser för att motverka ekonomiskt utanförskap

Yttrande över revision - Granskning av kommunens uppföljning och kontroll av externa utförare

IT-policy. Styrdokument, policy Kommunledningskontoret Per-Ola Lindahl

Revisionsrapport: Uppföljning av rapport Genomlysning av IFO

Sammanträdesdatum Arbetsutskott (1) 48 KS/2017:335. Redovisning av internkontroll för KSF

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

SAMMANTRÄDESPROTOKOLL Sid LAHOLMS KOMMUN Sammanträdesdatum 1 Kommunstyrelsen Dnr

Riktlinjer för intern kontroll

Protokol I. Sammanträdesdatum

Informationssäkerhetspolicy för Katrineholms kommun

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Policy för informationssäkerhet

Verksamhetsplan. för IT. Diarienummer: Ks2014/ Gäller från: Fastställd av: Kommunstyrelsen

Informationssäkerhetspolicy

Sammanträdesdatum Arbetsutskott (1) 28 Dnr KS/2016:389. Slutredovisningen av internkontroll 2017, KSF

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

IT-plansprocessen. Titel: IT-plansprocessen Version: 2.0 Godkänd av: Joakim Jenhagen Chef IT-stab Datum:

Internkontrollplan för stadsbyggnads- och miljönämnden 2013

Protokollsutdrag. 41 Svar på revisionsrapport - Granskning av det systematiska arbetsmiljöarbetet Dnr SN/2018:72

Dnr

109 Riktlinjer för behandling av personuppgifter (KSKF/2018:47)

Revidering av riktlinjer för styrdokument i Uppsala kommun

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Policy för behandling av personuppgifter

Intern kontroll avseende de anställdas bisysslor

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Protokoll. Sammanträdesdatum ANSLAG / BEVIS

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Mjölby Kommun PROTOKOLLSUTDRAG 5 KS/2015:420. Internkontroll 2016 för kommunstyrelseförvaltningen - uppföljning

Informationssäkerhetspolicy

Lokala regler och anvisningar för intern kontroll

Anvisningar för behandling av personuppgifter

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Kommunrevisionen: Granskning av intern kontroll 2016

Svar på revisionsrapport om Våld i nära relationer

Uppföljningsrapport IT-generella kontroller 2015

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Projektförlängning 2018: Dataskyddsförordningen

Sammanträdesdatum Arbetsutskott (1) 166 Dnr KS/2018:311. Beslutsunderlag Riskbedömning samt föreslagna kontrollmoment

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Regler för behandling av personuppgifter vid Högskolan Dalarna

Transkript:

Protokollsutdrag Sammanträdesdatum Kommunstyrelsen 2018-12-04 1 346 Revisionsrapport Uppföljning IT-säkerhet och införande av dataskyddsförordningen - svar Dnr KS/2018:384 Beslut Kommunstyrelsen beslutar: 1. Avge svar enligt kommunledningskontorets förslag. 2. Uppdra till kommunledningskontoret att följa upp beslutade åtgärder enligt genomförd GAP-analys hösten 2016, och säkerställa att dessa blir åtgärdade. 3. Uppmana samtliga nämnder att se över åtgärder enligt samma GAP-analys. 4. Uppmana samtliga nämnder att implementera de nya uppdaterade VROB gällande förvaltning och drift. 5. Uppmana samtliga nämnder att arbeta in en handlingsplan för det fortsatta arbetet med GDPR/Dataskyddsförordningen Ärendet På uppdrag av kommunens revisorer har KPMG upprättat en revisionsrapport på Uppföljning av IT-säkerhet och granskning av införandet av dataskydds-förordningen samt införandet av dataskyddsförordningen. Rapporten har faktakontrollerats av IT-samordnare och IT-chef. Beslutsunderlag Svar revisionsrapport Uppföljning av IT-säkerhet och granskning av införandet av dataskyddsförordningen Vision 2025 Protokollsutdrag till Kommunchefen Samtliga förvaltningschefer Exp / 2018 Justerandes sign Utdragsbestyrkande

Timrå Kommun Kommunledningskontoret Svar på revisionsrapport "Uppföljning av IT-säkerhet och granskning av införandet av dataskyddsförordningen" KPMG har på uppdrag av kommunens revisorer genomfört en uppföljning av tidigare granskning av IT-säkerhet samt granskning av införandet av dataskyddsförordningen. Samtliga nämnder och kommunstyrelsen ska lämna svar på de slutsatser som redovisas och åtgärder senast 21 januari 2019. Säkerställande av beslutade åtgärder vidtas enligt genomförd GAPoch riskanalys GAP analys gjordes hösten 2016 och riskutvärdering gjordes 2017 på kommunens prioriterade system. Dessa visar på brister i olika system. Bland annat; Saknas handlingsplaner för analys och hantering av risker för verksamhetssystemen. Planerna saknas fortfarande. Centrala IT har 4 gånger per år förvaltningsmöten där kommande arbeten tas upp för respektive verksamhetssystem. I de uppdaterade riktlinjerna står även att en systemplan ska göras årligen. LIS system skulle införas. LIS system har införts. Systemet har dock inte varit så enkelt som det utlovades från leverantören. Två analyser är gjorda 2017 och 2018. Mall för en enklare riskanalys har tagits fram och kommer spridas/informeras om till systemförvaltarna på decembermötet. Uppdragsbeskrivning av Centrala IT. Omorganisation med ny chef som rekryterats och tillträder 1 januari 2019. Saknas strategi, tex processdokumentation och övrig systemrelaterad information. En IT-arkitekt genomför en dokumentation av kommunens nätverk under 2018. Utöver detta arbete måste varje systemägare ta sitt ansvar och dokumentera hur just deras system är uppsatt och med vilka kopplingar. Utbildning i informationssäkerhet. Både Informationssäkerhet samt GDPR/Dataskyddsförordningen har pågått i flera omgångar, under 2017-18 till alla medarbetare. Postadress: 861 82 Timrå Besöksadress: Köpmangatan 14 Telefon: 060-16 31 00 Bankgiro: 5672-9387 Organisationsnummer: 212000-2395 Fax: 060-16 31 05 Hemsida: www.timra.se E-post: info@timra.se

IT-infrastruktur Kraftförsörjningen Ansvaret internt på Kultur- o teknikförvaltningen. Centrala IT har säkerhetsställt viss säkerhet i kommunhuset under 2017-18 genom en ny UPS. Kommunikationsnivåer till prioriterade arbetsplatser. Ingen brist i dagsläget. Inga synpunkter har heller kommit från verksamheten att det ska vara någon brist någonstans. Kommunens telefonväxel Tillgänglighet och test regelbundet. Huvudansvaret ligger på leverantören Sundsvalls kommun. Gemensamma förvaltningsmöten ca 4 gånger per år. WWW.TIMRA.SE Tillgänglighet, prio ett vid en kris. Omfattande arbete genomförts för att säkra upp tillgängligheten under 2017-18. Servrar har flyttats och uppgraderats. Samt att under 2018 driftsätts en helt ny webbportal. Mailsystemet Flera mailsystem används inom kommunen vilket också bör tydliggöras. De höga SLA nivåer som finns på Outlook omfattas inte Firstclass inom skolan av. Förslaget i rapporten var att enas om ett system med lika hög tillgänglighet. Under 2018 har projekt inletts för att försöka lösa den frågan. Dessutom genomförs en sammanslagning av de två olika IT-enheterna under 2019. Det föreslogs en utbildning för medarbetarna om hur man hanterar mail och klickar på länkar. Det har gjorts 2017 i en omgång, och görs löpande just nu i en annan omgång, november 2018. Det föreslogs en handlingsplan när kommunen skulle byta mailsystem och uppgradera. När det gäller systemet för adminnätet har detta redan gjorts under 2017-18 till nyaste versionen, och arbetet fortsätter som sagt under 2019 med att försöka lösa ett gemensamt system för alla medarbetare. Teis Saknas en bedömning om vad som ska övervakas. Och vilka kriterier och larm som ska kräva åtgärd. Här krävs det insatser från alla håll. Först från systemägare som är de som ska sätta nivåerna för just sitt system. Sedan måste Centrala IT dokumentera detta på ett pedagogiskt sätt. Det har under flera års tid gått larm via mail, till två

ansvariga på Centrala IT och till vissa systemförvaltare. Detta måste tydliggöras under 2019 till systemförvaltarna vad dessa mail innebär. LEX Inför framtiden med integration mot e-tjänster bör en godkänd process för varje integration göras, så att hänsyn tas till alla säkerhetsrisker. Detta görs i varje projekt för varje enskild e-tjänst. Detta har löpande pågått under 2018 och fortsätter under 2019. ecompanion/besched Här planeras upphandling och införande av nytt system. Detta system agerar master för all personal och alla behörigheter i nätet. Eftersom detta system har särskilt höga krav just vid utbetalningstillfällena föreslås att kommunen har goda rutiner för ett eventuellt bortfall de dagarna i månaden. Det finns reservrutin med banken och har funnit sedan start 2004. Detta måste också säkerställas inför ett nytt system att rutinerna funkar. Aditro (Visma) ekonomisystem Här pågår införandet av helt nytt system. Planeras vara klart kring årsskiftet 2018-19. Styrdokument efterlevs samt omprövas Nya Vägledande Råd Och Bestämmelser är gjorda och anpassade efter nya Dataskyddsförordningen. Ärende hos Kommunstyrelsen den 4 december 2018. Dokumentet för Drift och förvaltning har utökats med ännu mer detaljerad och tydligare information för systemägare och systemförvaltarens ansvar. En mall för systemförvaltningsplan har gjorts och informerats om på gemensamt möte i december 2018. Fastställda riktlinjer för behörigheter finns där ansvarig chef tilldelar behörigheter. Dessa rutiner och blankett finns på intranätet. Ett stort arbete med förbättrad säkerhet har genomförts som innebär att medarbetarens behörigheter stängs i och med sista anställningsdagen i kommunen har passerat. Centrala IT har också gjort en e-tjänst för beställning av behörigheter. Den är nästan klar och ligger ute för test. Förväntas kunna publiceras Q1 2019. Under hela 2017 genomfördes en löpande internkontroll som omfattade alla de prioriterade systemen. Fokus låg på att kolla behörigheter och loggar. Dessutom gjordes internkontroller av Centrala IT på konsultkonton, VPN-koppling för distansarbetsplats, växelanknytningar, mobilabonnemang, surfmängder som också indirekt hör till behörigheter. Dessa kontroller görs hela tiden löpande. Frågan har under oktober 2018 tagits med ansvariga för internkontrollen för att få till ytterligare stående kontrollpunkter.

Centrala IT har sedan 2010 gjort ett internt dokument som kallats Året som gått 20xx. I detta dokument kommer från och med 2019 att införas rapport från varje förvaltning om vilka kontroller som genomförts hos dem. Dokumentet kommer framöver anmälas till KS som informationsärende. Åtgärder Genomförda Nya VROB anpassade efter GDPR KS 4 dec 2018 2 systemförvaltare KLK v 43-44 2018 GDPR Handlingsplan Uppdateras löpande från CIT. Lämnas till KS som informationsärende 4 dec 2018 Förteckning behandlingar Uppdateras löpande Personuppgiftsbehandlingsavtal Skrivs löpande Beställning behörigheter Riktlinjer för grundbeställning finns på intranätet. Den styrs helt utifrån om du har en anställning eller inte. Utan den får man inte tillgång till andra system. E- tjänst är under utveckling och planeras vara klar och testad Q1 2019. Information på decembers IT-råd/Rond Alla internkontroller som görs i systemen måste rapporteras till Informationssäkerhetssamordnaren senast 1 mars årligen Riktlinjer för beställning av behörighet i respektive verksamhetssystem måste göras Förvaltningsplan med budget, för vhtsystem Systemdokumentation för vhtsystem GAP-analys/LIS system informeras nämnden något? Enklare mall för riskanalys kommer användas i stället Hur hanteras brister i den, handlingsplan? Övervakning o larm i Teis för respektive VHTsystem? Kraftförsörjning på respektive arbetsplats? Kommunikationsnivåerna på respektive arbetsplats?

Dataskyddsförordningen efterlevnad Timrå kommun har ett dataskyddsombud tillsammans med Ånge och Sundsvalls kommuner, samt deras bolag. Detta innebär ett gemensamt nätverk, att arbetssätt, riktlinjer osv är mycket lika i dessa kommuner. Vilket innebär att det är fler medarbetare som kommer med kloka inlägg så att eventuella risker upptäcks lättare. Dataskyddssamordnaren för Kommunledningskontoret har under 2018 skapat en handlingsplan för det genomförda arbetet med införandet av dataskyddsförordningen. Detta dokument har skickats ut som ett stöd till samtliga förvaltningar, med ett tips om att göra ett liknande dokument för sin nämnd. Alla rutiner, riktlinjer och mallar samlas på intranätet. Handlingsplanen lämnas som informationsärende till Kommunstyrelsen i slutet av året. Arbetet med nya dataskyddsförordningen är inget arbete som tar slut. Det är ständigt ett pågående arbete. Register som ska hållas aktuellt, personuppgiftsbiträdesavtal ska skrivas med leverantörer, incidenter ska anmälas, samtycken ska underhållas osv. Under oktober/november 2018 har även kommunens dataskyddsombud genomfört revision hos nämnderna enligt Datainspektionens riktlinjer.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss