TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-01-26 Dnr: 2014/386-ÄN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Kommunrevisionen Äldrenämnden Granskning av IT-säkerhet Förslag till beslut Äldrenämnden godkänner yttrande över Kommunrevisionens rapport Granskning av IT-säkerheten inom Sociala nämndernas förvaltning. Ärendebeskrivning Kommunrevision har genomfört en granskning av IT-säkerheten kopplat till verksamhetssystemen: Procapita HSL (system för patientjournaler) Procapita IFO (system inom Individ- och familj) Pulsen Combine (system inom äldre- och funktionshinderområdet). Granskningen är riktad mot Äldrenämnden, Individ- och familjenämnden, Nämnden för personer med funktionshinder samt Kommunstyrelsen. Följande svar lämnas gemensamt till Kommunrevisionens rapport. Sociala nämndernas förvaltning har i skrivelse den 26 januari 2015 lagt fram förslag till beslut. Bilagor Revisionsrapport Granskning av IT-säkerhet Svar på kommunrevisonens granskning av IT-säkerheten inom Sociala nämndernas förvaltning Skickad av: Eva Sahlén - SNSES03
TJÄNSTESKRIVELSE 1(3) Diarienr 2015-01-20 2014/386-ÄN-012 2014/270-NF-012 2014/957-IFN-012 2014/1021-KS Sociala nämndernas förvaltning Marie Carlsson och Ulf Ranestedt (Stadsledningskontoret) Till Äldrenämnden Individ- och familjenämnden Nämnden för personer med funktionshinder Kommunstyrelsen Svar på kommunrevisonens granskning av IT-säkerheten inom Sociala nämndernas förvaltning Inledning Kommunrevision har genomfört en granskning av IT-säkerheten kopplat till verksamhetssystemen: Procapita HSL (system för patientjournaler) Procapita IFO (system inom Individ och Familj) Pulsen Combine (system inom äldre- och funktionshinderområdet). Granskningen är riktad mot ovanstående nämnder samt Kommunstyrelsen. Följande svar lämnas gemensamt till Kommunrevisionens rapport. Stadens informationssäkerhetsstrateg bedriver just nu ett arbete med att revidera befintlig riktlinje för informationssäkerhet. Arbetet inkluderar även att skapa underliggande instruktioner som ska fastställa stadsövergripande krav och nivåanpassa dem kopplat till informationsklassificering. Innehåll i respektive instruktion hänvisas till respektive kommentar nedan. Hela ramverket är planerat att fastställas under första kvartalet 2015. Iakttagelser och kommentarer 1. Avsaknad av dokumenterade rutiner för hantering av behörigheter Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera regelverk för åtkomst till system och nätverk. Hela ramverket är planerat att fastställas under första kvartalet 2015. Dokumenterade rutiner finns inom Sociala nämndernas förvaltning och bedöms uppfylla rekommendationerna. 2. Användare som slutat har kvar behörigheter i verksamhetssystem Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera regelverk för åtkomst till system och nätverk och instruktionen kommer att inkludera regelverk för behörighetsrevideringar. Hela ramverket är planerat att fastställas under första kvartalet 2015. Användare som slutat är nu avslutade i systemen och den periodiska genomgången av samtliga tilldelade behörigheter är genomförd efter granskningstillfället.
Västerås stad 2 (3) 3. Avsaknad av regelverk för hantering av programförändringar Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera regelverk för anskaffning, utveckling och underhåll av informationssystem. Instruktionen kommer inkludera regelverk för ändringshantering. Hela ramverket är planerat att fastställas under första kvartalet 2015. En rutin för att verkställa, testa, godkänna och övervaka programförändringar är nu framtagen och innehåller de kontroller och aktiviteter som rekommenderas. 4. Logguppföljning genomförs inte i samtliga system Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera regelverk för spårbarhet och loggning. Den instruktionen kommer att inkludera övergripande regelverk för systematisk logguppföljning. Hela ramverket är planerat att fastställas under första kvartalet 2015. Loggning kommer därefter att ske systematiskt och återkommande i samtliga system så fort verksamhetsspecifika instruktioner är klara. 5. Testning och godkännande av programförändringar saknar spårbarhet Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera regelverk för anskaffning, utveckling och underhåll av informationssystem. Instruktionen kommer även att inkludera regelverk för testning och godkännande. Vidare kommer även en instruktion för basnivå IT-säkerhet att inkludera regelverk för test och verifiering. Hela ramverket är planerat att fastställas under första kvartalet 2015. All testning ska dokumenteras och vara spårbar och godkännanden inför driftsättning ska kommuniceras skriftligt till leverantören och sparas. Detta finns nu dokumenterat i en ny verksamhetsspecifik rutin för att verkställa, testa, godkänna och övervaka programförändringar. 6. Ofullständig modell för systemsäkerhetsanalys Kommentar: Stadens informationssäkerhetsstrateg har genomfört en revidering av stadens metod för informationsklassning (systemsäkerhetsanalys) och genomfört utbildningsinsatser med berörda parter. Kopplat till detta pågår ett arbete med att utveckla en krav-/ kontrollkatalog som ska kopplas till informationsklassificering. Tidplanen för att fastställa en första version av kontrollkatalogen är första kvartalet 2015. 7. Inaktuell systemsäkerhetsanalys för Vård och omsorg Kommentar: Befintlig systemsäkerhetsanalys ska revideras under första kvartalet 2015.
Västerås stad 3 (3) 8. Avsaknad av regler kring distansarbete Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera märkning och hantering av information. Instruktionen kommer att inkludera regelverk för distansarbete. Hela ramverket är planerat att fastställas under första kvartalet 2015. Sociala nämndernas förvaltning kommer att ta fram verksamhetsspecifika regler för distansarbete. Arbetet är planerat att genomföras under andra kvartalet 2015. 9. Ofullständig kontinuitets- och avbrottsplanering Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera kontinuitets- och återställningsplanering. Hela ramverket är planerat att fastställas under första kvartalet 2015. Reservrutiner för Pulsen Combine finns hos verksamheten. Existerande avbrottsplaner hos leverantören har presenterats för Kommunrevisionen. 10. Leverantörers åtaganden följs inte upp Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera basnivå för IT-säkerhet och instruktionen kommer att innehålla ett avsnitt rörande styrning och kontroll av utomstående driftleverantör. Hela ramverket är planerat att fastställas under första kvartalet 2015. Sociala nämndernas förvaltning överväger att genomföra en granskning av en av leverantörerna under fjärde kvartalet 2015.