Svar till kommunrevisionen avseende genomförd IT-revision



Relevanta dokument
Kommunrevisorerna granskar. UMEÅ KOMMUN Granskning av IT- och informationssäkerhet.

IT-verksamheten, organisation och styrning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Vetenskapsrådets informationssäkerhetspolicy

Informationssäkerhetspolicy för Vetlanda kommun

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

EBITS Energibranschens IT-säkerhetsforum

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhetspolicy

Informationssäkerhet i. Torsby kommun

Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787

Informationssäkerhet - Instruktion för förvaltning

Granskning av IT-säkerhet

Region Skåne Granskning av IT-kontroller

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Revisionsrapport. Internkontroll - Finspångs kommun år Ref R Wallin

Revidering av policy och regler för informationssäkerhet i Stockholms stad

Rapport. Arbete med arbetsmiljön på sysselsättningsenheten Genomförd på uppdrag av de förtroendevalda revisorerna i Finspångs kommun

L! arienummar. Samtliga styrelser/nämnder bör vidta åtgärder för att säkerställa rutiner angående bisyssla så att riktlinjen följs.

Granskning av IT-säkerhet

Policy för informationssäkerhet

Revisionsrapport/Uppföljning. Delegation. Ängelholms kommun Kerstin Larsson, certifierad kommunal revisor

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Ystad kommun. Rapport: IT-revision. Göteborg,

Revisionsrapport Landskrona stad. Kommunstyrelsens styrning och ledning avseende servicekontorets städavdelning.

Förstudie 2012 Genomförd på uppdrag av revisorerna November Öckerö kommun Förstudie av implementeringen av den nya Planoch bygglagen

Löpande granskning av intern kontroll Omställningsarbetet inom Division Primärvård (PM2)

Granskning av målstyrning och mätetal svar på revisionsskrivelse från Huddinge kommuns revisorer

REVISORERNA. Bilaga till revisionsberättelse

1 Introduktion. Revisionens mest väsentliga observationer. # Observation Rekommendation Ansvar

Genomförda granskningsprojekt under tiden

Granskning av intern kontroll

Revisionsrapport 2012 Genomförd på uppdrag av revisorerna januari Vellinge kommun. Fastighetsunderhåll

Revisionsrapport 2014 Genomförd på uppdrag av revisorerna juni Hylte kommun. Granskning av den interna kontrollen avseende

Granskning av avtalstrohet, Vadstena Kommun

Beredningsprocessen i kommunens nämnder och styrelsen

Revisionsrapport: Informationssäkerheten i den tekniska miljön

PM Uppföljning av granskningen angående implementering av FN:s barnkonvention

Riktlinje för mobil användning av IT - remissvar

Revisionsrapport 2011 Genomförd på uppdrag av Karlskrona Kommuns förtroendevalda revisorer. Karlskrona kommun. Granskning av Överförmyndarnämnden

Revisionsberättelse för år 2011

11 Revisionsrapport Granskning av intern kontroll i regionens huvudboksprocess RS150315

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Granskning av bisysslor. 25 september 2013

ABCD. Granskning av kommunens flyktingmottagande. Ronneby kommuns revisorer. Revisionsrapport. Antal sidor:10

Grundläggande IT-strategi för Falkenbergs kommun Kommunledningskontoret IT-avdelningen

HSA Anslutningsavtal. HSA-policy

Verksamhetskatalog. Vad är det? Vad är den bra för? Möjligheter framöver? Odette Escobar, projektägare Lars Sandin, systemansvarig

Revisionsrapport. TRELLEBORGS KOMMUN Kommunstyrelsen. Linda Gustavsson Revisionskonsult. November 2013

IT-säkerhetspolicy för Åtvidabergs kommun

Hällefors kommun. Uppföljning av intern kontroll Revisionsrapport. Offentlig sektor KPMG AB Antal sidor: 13

Revisionsrapport 2008 Genomförd på uppdrag av revisorerna. Jönköping kommun. Granskning av årsredovisning 2008

AB Stockholmshem Lägesrapportering, intern kontroll, delårsbokslut och K3

Samtycke vid direktåtkomst till sammanhållen journalföring

Övergripande granskning IT-driften

ABCD. Ärendehantering Granskningsrapport. Säters kommun. Offentlig sektor KPMG AB Antal sidor:6 Säter är hant.docx

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Söderhamns kommun. Ansvarsgranskning av Bygg-, miljöoch räddningsnämndens styrning, ledning och kontroll. Revisionsrapport

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Informationssäkerhetsinstruktion: Förvaltning (Infosäk F)

Beslut Minnesanteckningar från kommunchefsmöte läggs till handlingarna.

Arvika kommun. Granskning av kontroll och hantering av konstföremål. KPMG AB 16 februari 2010 Antal sidor:9

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Uppföljning - Ägarstyrning av kommunens företag

Granskning av generella IT-kontroller för PLSsystemet

Granskning av bisysslor 2013

Lagring i molnet. Dokumenthantering i högskolans Office365 ur ett offentlighetsperspektiv

Myndighetsutskottet välfärd Sammanträdesprotokoll OFFENTLIGT. Krister Olsson (S) ordförande Thomas Löfgren (M) Agnetha Persson (C)

Tjörns kommun Förstudie av kommunens fördelning av ansvar och beslutanderätt

Yttrande över granskningsrapport gällande revision av familjehemsvården för barn och unga

FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/ Kf IT-säkerhetspolicy

Dokumenttyp. Namn på uppdraget. Integrering mellan larmhanteringssystem och vård- och omsorgssystem

Uppföljning av åtgärdsplan utifrån Staffanstorps kommuns kvalitetsuppföljning den Ordinärt boende, Kommunal resultatenhet

Revisionsrapport. Löpande granskning av Försvarsmakten Sammanfattning. Försvarsmakten Stockholm

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Stockholms läns landsting 1 O)

Regler och instruktioner för verksamheten

Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept Haninge kommun. Rapport: IT-revision, granskning av informationssäkerheten

IT-policy med strategier Dalsland

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Ekonomi- och personalutskottet SAMMANTRÄDESPROTOKOLL

rwieitii AflflIDt Svenska Skogsplantor Resultat

Inventarieredovisning

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Ånge Fastighets och Industri AB Kommunstyrelsen. För kännedom: Kommunfullmäktiges presidium. Revisionsrapport: Granskning av bisysslor

Tjänsteavtal för ehälsotjänst

Förstudie. Nerikes Brandkår. Diarieföring av allmänna handlingar Ref Roger Wallin

Revisionsrapport. Skyddad identitet Hallandsgemensam granskning. Halland, sammanfattning

Övergripande granskning av ITverksamheten

Uppföljning av tidigare granskningar

Jönköpings kommun Uppföljning av tidigare granskning avseende mervärdesskatt. Revisionsrapport 2010 Genomförd på uppdrag av revisorerna

Revisionsrapport Verksamheter på entreprenad

Västerviks kommuns revisorer. Granskning av projektverksamheten. Granskningsrapport. Audit KPMG AB 15 februari 2013 Göran Lindberg Antal sidor: 8

Välfärdsutskottet SAMMANTRÄDESPROTOKOLL

Revisionsrapport 1/2010. Åstorps kommun. Granskning av den fysiska inventariehanteringen

Nya arbetssätt i Time Care Planering, Time Care Pool och Personec P

Svar över vidtagna åtgärder önskas före februari månads utgång 2009.

IT-Systemförvaltningspolicy

Revisorernas bedömning av delårsrapport 2015

Transkript:

Kommunkansliet TJÄNSTESKRIVELSE Datum: Sida: 2011-11-11 1 (6) Handläggare: Dokumentnamn: DokumentID Version: Victoria Galbe, Magnus Lindén och Per Nordén Svar till kommunrevisionen beträffande Genomförd IT_revision Kommunstyrelsen Diarienr 1 Svar till kommunrevisionen avseende genomförd IT-revision Kommunrevisionen har låtit genomföra en IT-revision. Syftet har varit att bedöma informationssäkerheten på en övergripande nivå i kommunen. Granskningen har gjorts mot Myndigheten för samhällsskydd och beredskaps ramverk för informationssäkerhet, BITS. Analysen baseras på erhållen dokumentation samt på intervju med Victoria Galbe (ekonomi- och it-chef), Magnus Lindén (chef för it-driftenheten) och Per Nordén (säkerhetschef). Kommunkansliet vill lyfta fram att revisionen inneburit en givande process och gett verktyg som kommer att användas i praktiken i kommande IT-säkerhetsarbete. Rapporten är enkel att ta till sig och visar tydligt på vilka områden som fokus skall ligga på framgent. Övergripande slutsatser Av samtliga granskningspunkter är fördelningen av bedömningarna följande: Kontrollen finns ej eller fungerar ej tillfredsställande: 15 % Kontrollen finns och fungerar delvis: 22 % Kontrollen finns och fungerar tillfredsställande: 60 % Ej tillämplig, kontrollen behövs ej av särskilda skäl: 3 % Jämfört med andra kommuner som Ernst & Young gjort liknande granskningar för ligger Kävlinge kommuns måluppfyllnad över kommungenomsnittet. Kommunens starkaste områden relativt kommungenomsnittet är: Personalresurser och säkerhet Anskaffning, utveckling och underhåll av informationssystem Hantering av informationssäkerhetsincidenter Kommunens svagaste områden relativt kommungenomsnittet är: Säkerhetspolicy Hantering av tillgångar Efterlevnad

Jämförelse mot andra kommuner Ernst & Young har gjort ett flertal gapanalyser mot BITS hos Sveriges kommuner. Tack vare detta kan Kävlinge kommuns mognadsgrad rörande informationssäkerhet jämföras mot ett genomsnitt av de kommuner som granskats. I diagrammet nedan framgår det att Kävlinge kommuns resultat i flertalet kategorier ligger bättre än genomsnittsresultaten i andra kommuner. I diagrammet nedan representerar ytterkanten 100 % måluppfyllnad, medan mittpunkten anger 0 % måluppfyllnad. Siffrorna anger respektive område i BITS enligt: 1. Säkerhetspolicy 2. Organisation av säkerheten 3. Hantering av tillgångar 4. Personalresurser och säkerhet 5. Fysisk och miljörelaterad säkerhet 6. Styrning av kommunikation och drift 7. Styrning av åtkomst 8. Anskaffning, utveckling och underhåll av informationssystem 9. Hantering av informationssäkerhetsincidenter 10. Kontinuitetsplanering i verksamheten 11. Efterlevnad

Beträffande de punkter där resultaten ligger lägre bör nämnas att arbete pågår med att ta fram en uppdaterad säkerhetspolicy. Beträffande efterlevnad behöver rutiner för regelbundna kontroller tas fram och följas. Iakttagelser Beträffande iakttagelser väljer vi att kommentera dessa utifrån rapportens uppställning. Iakttagelse Prioritet 1. Bristande behörighetsrutiner Hög 2. Kontinuitetsplaner saknas Hög 3. Avsaknad av formell rutin för beslut om programförändringar Hög 4. Inaktuell informationssäkerhetspolicy Medel 5. Systemförvaltningsmodell utan personligt systemägaransvar Medel 6. Låsta användarkonton öppnas utan säker identifiering av användaren Medel 7. Formella regler saknas för informationsklassning Låg 8. Avsaknad av informationssäkerhetsavtal med utomstående organisationer 9. Avsaknad av IT-strategi Låg Låg 1. Bristande behörighetsrutiner Vi har noterat att det saknas dokumenterade rutiner för förändring och borttag av behörigheter till kommunens nätverk och system. Vi har också noterat att det saknas generella riktlinjer för genomgång av behörigheter till verksamhetssystem. För vissa verksamhetssystem kan den enskilda förvaltningen dock ha skapat egna rutiner Idag görs beställningar av nya konto via Inka där respektive ansvarig chef beställer behörigheter. Vid första inloggning måste lösenordet bytas. Allt sker sedan genom manuell tilldelning av IT-support. Kommunen avser att under 2012 införa en ny plattform baserad på Microsoftprodukter. I den nya plattformen kommer användarkonton och behörigheter att styras via ett automatiskt regelverk kopplat mot personal & lönesystemet, Personec P. Genom att minska den manuella hanteringen av uppgifterna kommer kvalitén att öka markant. 2. Kontinuitetsplaner saknas Vi har ej identifierat några fullständiga kontinuitetsplaner. Vi är dock medvetna om att det finns avbrottsplaner för vissa system. Kvalitetskontroller kommer att genomföras i samband med att SLA (service level agrements) upprättas framöver. Ett led i bildandet av en kommungemensam IT-enhet. I avtalen ingår löpande kontroller med syfte att undvika avbrott.

4 (6) Fortsätta att upprätta SLA avtalen enligt ovan samt utveckla våra rutiner vid uppdateringen av vår Informationssäkerhetsplan. 3. Avsaknad av formell rutin för beslut om programförändringar Vi har noterat att kommunen saknar processbeskrivning för programförändringar. Vi har också noterat att en del av de kontroller som beskrivs nedan de facto genomförs i större projekt. Programförändringar genomförs av systemansvariga i samarbete med IT-enheten. Förändringarna är dokumenterade på olika sätt och följer inte en gemensam rutin. Tester utförs alltid innan förändringen genomförs i skarp drift. Vi ser inte några reella problem med att respektive systemansvarig har egna rutiner. IT-enheten tar fram en enhetlig rutin och vårt ärendehanteringssystem för felanmälan och beställningar används för dokumentation framöver. 4. Inaktuell informationssäkerhetspolicy Vi har noterat att kommunen har en inaktuell informationssäkerhetspolicy. Den nuvarande är daterad till 2003. Arbete pågår med att uppdatera befintlig informationssäkerhetspolicy. Kommunkansliet får i uppdrag att under 2012 arbeta fram ny informationssäkerhetspolicy. Samverkan/samråd med övriga kommuner i den gemensamma nämnden skall ske parallellt. 5. Systemförvaltningsmodell utan personligt systemägaransvar Enligt kommunens systemförvaltningsmodell är olika nämnder, och inte personer, systemägare av kommunens system. Vi anser inte att systemägaren behöver vara en fysisk person. Nämnden via respektive nämndsansvarig chef skall dock tillse att det finns utsedda systemansvariga för alla system och att deras arbete följs upp för att säkerställa systemdrift och informationshantering. Respektive nämndsansvarig chef får i uppdrag att upprätta register över systemansvaret.

5 (6) 6. Låsta användarkonton öppnas utan säker identifiering av användaren Vi har noterat att identifiering av användare vars användarkonton skall låsas upp sker via de första sex siffrorna i personnumret. Svar/åtgärd: IT-enheten har efter IT-revisionens påpekande redan delvis ändrat rutinerna. För att göra förändring kring konto och behörigheter krävs att personens chef gör beställningen. När kommunens nya Microsoft-plattform är på plats finns det även en avsikt att införa en så kallad självserviceportal där en användare kan låsa upp, via förutbestämda kontrollfrågor, sitt eget låsta konto eller lösenord. 7. Formella regler saknas för informationsklassning Vi har noterat att kommunen saknar regler för informationsklassning 8. Avsaknad av informationssäkerhetsavtal med utomstående organisationer Vi har ej kunnat fastställa att ansvar för informationssäkerhet reglerats i avtal i samband med att informationsbehandling lagts ut på utomstående organisation. Svar avseende punkt 7 och 8: Ingår som en del av uppdatering av informationssäkerhetspolicy. Kommunkansliet får i uppdrag att under 2012 arbeta fram ny informationssäkerhetspolicy med regelverk för informationsklassning. Samverkan/samråd med övriga kommuner i den gemensamma nämnden skall ske parallellt. 9. Avsaknad av IT-strategi Vi har noterat att kommunen har en inaktuell IT-strategi. Som ett i led i samarbetet med Staffanstorps kommun har ett utkast till ny ITstrategi arbetats fram. Arbetet har avstannat med anledning av att Burlövs kommun eventuellt kommer ingår i samarbetet framöver. Ambitionen är att anta samma IT-.strategi i alla samarbetskommunerna varför förslag avvaktar Burlövs beslut. Kommunkansliet får i uppdrag att snarast arbeta fram ny IT-strategi i samråd med samarbetskommunerna.

6 (6) Summering Kommunkansliet kommer att arbeta vidare med kommunens informationssäkerhet i linje med ovanstående åtgärdsförslag och förslår kommunstyrelsen besluta följande: att avge yttrande enligt ovan till kommunrevisionen att uppdra åt Kommunkansliet att arbeta vidare med framtagande av rutiner för programförändringar inkluderat dokumentation att uppdra åt IT-enheten att ta fram SLA avtal att uppdra åt respektive nämndsansvarig chef upprätta register över systemansvariga att uppdra åt Kommunkansliet att ta fram IT-strategi samt föreslå Kommunfullmäktige att besluta att uppdra åt Kommunstyrelsen att ta fram uppdaterad informationssäkerhetspolicy KOMMUNKANSLIET Victoria Galbe Per Nordén Magnus Lindén

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss