Granskning av IT-säkerhet

Relevanta dokument
Granskning av IT-säkerhet

Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

Västerås stad. Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

Sociala nämndernas förvaltning Dnr: 2014/773-IFN-012 Yvonne Pettersson - snsyp01 E-post: yvonne.pettersson@vasteras.se

Informationssäkerhetspolicy

Revision av den interna kontrollen kring uppbördssystemet REX

Kallelse och föredragningslista

Sociala nämndernas förvaltning Dnr: 2014/773-IFN-012 Yvonne Pettersson - snsyp01 E-post:

Informationssäkerhet - Informationssäkerhetspolicy

Svar till kommunrevisionen avseende genomförd IT-revision

Kallelse och föredragningslista

Dnr: 2011/367-KS Karin programmet. Förslag till beslut. Kommunstyrelsen

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Granskning av generella IT-kontroller för PLSsystemet

Nästa fas i e-hälsoarbetet (SOU 2015:32)

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Informationssäkerhetsanvisningar Förvaltning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhet i. Torsby kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Granskning av IT-säkerheten inom Lunds kommun

Myndigheten för samhällsskydd och beredskaps författningssamling

Sociala nämndernas förvaltning Dnr: 2015/153-NF-010 Patrik Kalander - aj069 E-post:

Svar på revisionsrapport om kommunens IT-strategi

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Sociala nämndernas förvaltning Dnr: 2015/468-IFN-010 Yvonne Pettersson - snsyp01 E-post:

Lokala ordningsföreskrifter för Västerås Kommun

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Koncernkontoret Enheten för säkerhet och intern miljöledning

I Central förvaltning Administrativ enhet

IT-Säkerhetsinstruktion: Förvaltning

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

IT-säkerhetspolicy. Fastställd av KF

Sociala nämndernas förvaltning Dnr: 2014/124-NF-702 Cecilia Tollbom Lindh - ay340 E-post: cecilia.tollbom.lindh@vasteras.

Informationssäkerhet, Linköpings kommun

Södertälje kommun. Rapport: IT- och informationssäkerhet

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Logghantering för hälso- och sjukvårdsjournaler

TJÄNSTESKRIVELSE Motion från (L) om åtgärdsplan mot våldsbejakande extremism i Västerås Förslag till beslut Ärendebeskrivning Bilagor

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Jämtlands Gymnasieförbund

Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787

Informationsklassning och systemsäkerhetsanalys en guide

Landskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.

Alltid bästa möjliga möte!

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Informationssäkerhetspolicy

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Sociala nämndernas förvaltning Dnr: 2016/36-IFN-750 Ann Östling - au996 E-post: Individ- och familjenämnden

Kommunstyrelsen

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Svar på revisionsskrivelse informationssäkerhet

Bolagsspecifika resultat Sektion 3. Page 1

Ks 352 Dnr Kommunstyrelsen beslutar

IT-säkerhetsinstruktion Förvaltning

Revidering av policy och regler för informationssäkerhet i Stockholms stad

Regler och instruktioner för verksamheten

Uppföljning av tidigare granskningar

Riktlinje för informationssäkerhet

Styrning av behörigheter

Uppföljningsrapport IT-generella kontroller 2015

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Riktlinjer serveringstillstånd

Informationssäkerhetspolicy för Vetlanda kommun

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Sociala nämndernas förvaltning Dnr: 2015/201-NF-702 Helena Vesterlund - bh998 E-post:

Väsentlighets- och riskanalys samt internkontrollplan 2019 för kommunstyrelsen

Chefsuppdrag och ledarpolicy för Västerås stad

Riktlinjer för IT och informationssäkerhet - förvaltning

Kommunstyrelsen Svar på revisionens granskning av kommunens krisberedskap (KS )

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Ledningssystem för systematiskt kvalitetsarbete

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Särskilda direktiv för utförarstyrelserna

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Verksamhetsplan Informationssäkerhet

Informationssäkerhetspolicy IT (0:0:0)

Rutiner för tillämpningen av lex Sarah SOSFS 2011:5

Sociala nämndernas förvaltning Dnr: 2016/52-IFN-700 Yvonne Pettersson - snsyp01 E-post:

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Yttrande över revisorernas granskningsrapport om intern kontroll avseende investeringsprojekt. Ärendebeskrivning LULEÅ KOMMUN


Uppföljning av uppdrag Markörgatan, proaros

RIKTLINJER FÖR IT-SÄKERHET

Revisionsrapport angående granskning av kommunens anpassning till nya IT-lösningar

Sociala nämndernas förvaltning Dnr: 2015/115-NF-751 Ann Östling - au996 E-post: ann.ostling@vasteras.se

UTKAST. Riktlinjer vid val av molntjänst

Informationssäkerhetspolicy för Nässjö kommun

Sociala nämndernas förvaltning Dnr: 2015/123-IFN-753 Tommy Lindquist - SNSTL01 E-post:

Transkript:

TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-01-26 Dnr: 2014/386-ÄN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Kommunrevisionen Äldrenämnden Granskning av IT-säkerhet Förslag till beslut Äldrenämnden godkänner yttrande över Kommunrevisionens rapport Granskning av IT-säkerheten inom Sociala nämndernas förvaltning. Ärendebeskrivning Kommunrevision har genomfört en granskning av IT-säkerheten kopplat till verksamhetssystemen: Procapita HSL (system för patientjournaler) Procapita IFO (system inom Individ- och familj) Pulsen Combine (system inom äldre- och funktionshinderområdet). Granskningen är riktad mot Äldrenämnden, Individ- och familjenämnden, Nämnden för personer med funktionshinder samt Kommunstyrelsen. Följande svar lämnas gemensamt till Kommunrevisionens rapport. Sociala nämndernas förvaltning har i skrivelse den 26 januari 2015 lagt fram förslag till beslut. Bilagor Revisionsrapport Granskning av IT-säkerhet Svar på kommunrevisonens granskning av IT-säkerheten inom Sociala nämndernas förvaltning Skickad av: Eva Sahlén - SNSES03

TJÄNSTESKRIVELSE 1(3) Diarienr 2015-01-20 2014/386-ÄN-012 2014/270-NF-012 2014/957-IFN-012 2014/1021-KS Sociala nämndernas förvaltning Marie Carlsson och Ulf Ranestedt (Stadsledningskontoret) Till Äldrenämnden Individ- och familjenämnden Nämnden för personer med funktionshinder Kommunstyrelsen Svar på kommunrevisonens granskning av IT-säkerheten inom Sociala nämndernas förvaltning Inledning Kommunrevision har genomfört en granskning av IT-säkerheten kopplat till verksamhetssystemen: Procapita HSL (system för patientjournaler) Procapita IFO (system inom Individ och Familj) Pulsen Combine (system inom äldre- och funktionshinderområdet). Granskningen är riktad mot ovanstående nämnder samt Kommunstyrelsen. Följande svar lämnas gemensamt till Kommunrevisionens rapport. Stadens informationssäkerhetsstrateg bedriver just nu ett arbete med att revidera befintlig riktlinje för informationssäkerhet. Arbetet inkluderar även att skapa underliggande instruktioner som ska fastställa stadsövergripande krav och nivåanpassa dem kopplat till informationsklassificering. Innehåll i respektive instruktion hänvisas till respektive kommentar nedan. Hela ramverket är planerat att fastställas under första kvartalet 2015. Iakttagelser och kommentarer 1. Avsaknad av dokumenterade rutiner för hantering av behörigheter Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera regelverk för åtkomst till system och nätverk. Hela ramverket är planerat att fastställas under första kvartalet 2015. Dokumenterade rutiner finns inom Sociala nämndernas förvaltning och bedöms uppfylla rekommendationerna. 2. Användare som slutat har kvar behörigheter i verksamhetssystem Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera regelverk för åtkomst till system och nätverk och instruktionen kommer att inkludera regelverk för behörighetsrevideringar. Hela ramverket är planerat att fastställas under första kvartalet 2015. Användare som slutat är nu avslutade i systemen och den periodiska genomgången av samtliga tilldelade behörigheter är genomförd efter granskningstillfället.

Västerås stad 2 (3) 3. Avsaknad av regelverk för hantering av programförändringar Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera regelverk för anskaffning, utveckling och underhåll av informationssystem. Instruktionen kommer inkludera regelverk för ändringshantering. Hela ramverket är planerat att fastställas under första kvartalet 2015. En rutin för att verkställa, testa, godkänna och övervaka programförändringar är nu framtagen och innehåller de kontroller och aktiviteter som rekommenderas. 4. Logguppföljning genomförs inte i samtliga system Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera regelverk för spårbarhet och loggning. Den instruktionen kommer att inkludera övergripande regelverk för systematisk logguppföljning. Hela ramverket är planerat att fastställas under första kvartalet 2015. Loggning kommer därefter att ske systematiskt och återkommande i samtliga system så fort verksamhetsspecifika instruktioner är klara. 5. Testning och godkännande av programförändringar saknar spårbarhet Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera regelverk för anskaffning, utveckling och underhåll av informationssystem. Instruktionen kommer även att inkludera regelverk för testning och godkännande. Vidare kommer även en instruktion för basnivå IT-säkerhet att inkludera regelverk för test och verifiering. Hela ramverket är planerat att fastställas under första kvartalet 2015. All testning ska dokumenteras och vara spårbar och godkännanden inför driftsättning ska kommuniceras skriftligt till leverantören och sparas. Detta finns nu dokumenterat i en ny verksamhetsspecifik rutin för att verkställa, testa, godkänna och övervaka programförändringar. 6. Ofullständig modell för systemsäkerhetsanalys Kommentar: Stadens informationssäkerhetsstrateg har genomfört en revidering av stadens metod för informationsklassning (systemsäkerhetsanalys) och genomfört utbildningsinsatser med berörda parter. Kopplat till detta pågår ett arbete med att utveckla en krav-/ kontrollkatalog som ska kopplas till informationsklassificering. Tidplanen för att fastställa en första version av kontrollkatalogen är första kvartalet 2015. 7. Inaktuell systemsäkerhetsanalys för Vård och omsorg Kommentar: Befintlig systemsäkerhetsanalys ska revideras under första kvartalet 2015.

Västerås stad 3 (3) 8. Avsaknad av regler kring distansarbete Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera märkning och hantering av information. Instruktionen kommer att inkludera regelverk för distansarbete. Hela ramverket är planerat att fastställas under första kvartalet 2015. Sociala nämndernas förvaltning kommer att ta fram verksamhetsspecifika regler för distansarbete. Arbetet är planerat att genomföras under andra kvartalet 2015. 9. Ofullständig kontinuitets- och avbrottsplanering Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera kontinuitets- och återställningsplanering. Hela ramverket är planerat att fastställas under första kvartalet 2015. Reservrutiner för Pulsen Combine finns hos verksamheten. Existerande avbrottsplaner hos leverantören har presenterats för Kommunrevisionen. 10. Leverantörers åtaganden följs inte upp Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera basnivå för IT-säkerhet och instruktionen kommer att innehålla ett avsnitt rörande styrning och kontroll av utomstående driftleverantör. Hela ramverket är planerat att fastställas under första kvartalet 2015. Sociala nämndernas förvaltning överväger att genomföra en granskning av en av leverantörerna under fjärde kvartalet 2015.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss