Kommunkansliet TJÄNSTESKRIVELSE Datum: Sida: 2011-11-11 1 (6) Handläggare: Dokumentnamn: DokumentID Version: Victoria Galbe, Magnus Lindén och Per Nordén Svar till kommunrevisionen beträffande Genomförd IT_revision Kommunstyrelsen Diarienr 1 Svar till kommunrevisionen avseende genomförd IT-revision Kommunrevisionen har låtit genomföra en IT-revision. Syftet har varit att bedöma informationssäkerheten på en övergripande nivå i kommunen. Granskningen har gjorts mot Myndigheten för samhällsskydd och beredskaps ramverk för informationssäkerhet, BITS. Analysen baseras på erhållen dokumentation samt på intervju med Victoria Galbe (ekonomi- och it-chef), Magnus Lindén (chef för it-driftenheten) och Per Nordén (säkerhetschef). Kommunkansliet vill lyfta fram att revisionen inneburit en givande process och gett verktyg som kommer att användas i praktiken i kommande IT-säkerhetsarbete. Rapporten är enkel att ta till sig och visar tydligt på vilka områden som fokus skall ligga på framgent. Övergripande slutsatser Av samtliga granskningspunkter är fördelningen av bedömningarna följande: Kontrollen finns ej eller fungerar ej tillfredsställande: 15 % Kontrollen finns och fungerar delvis: 22 % Kontrollen finns och fungerar tillfredsställande: 60 % Ej tillämplig, kontrollen behövs ej av särskilda skäl: 3 % Jämfört med andra kommuner som Ernst & Young gjort liknande granskningar för ligger Kävlinge kommuns måluppfyllnad över kommungenomsnittet. Kommunens starkaste områden relativt kommungenomsnittet är: Personalresurser och säkerhet Anskaffning, utveckling och underhåll av informationssystem Hantering av informationssäkerhetsincidenter Kommunens svagaste områden relativt kommungenomsnittet är: Säkerhetspolicy Hantering av tillgångar Efterlevnad
Jämförelse mot andra kommuner Ernst & Young har gjort ett flertal gapanalyser mot BITS hos Sveriges kommuner. Tack vare detta kan Kävlinge kommuns mognadsgrad rörande informationssäkerhet jämföras mot ett genomsnitt av de kommuner som granskats. I diagrammet nedan framgår det att Kävlinge kommuns resultat i flertalet kategorier ligger bättre än genomsnittsresultaten i andra kommuner. I diagrammet nedan representerar ytterkanten 100 % måluppfyllnad, medan mittpunkten anger 0 % måluppfyllnad. Siffrorna anger respektive område i BITS enligt: 1. Säkerhetspolicy 2. Organisation av säkerheten 3. Hantering av tillgångar 4. Personalresurser och säkerhet 5. Fysisk och miljörelaterad säkerhet 6. Styrning av kommunikation och drift 7. Styrning av åtkomst 8. Anskaffning, utveckling och underhåll av informationssystem 9. Hantering av informationssäkerhetsincidenter 10. Kontinuitetsplanering i verksamheten 11. Efterlevnad
Beträffande de punkter där resultaten ligger lägre bör nämnas att arbete pågår med att ta fram en uppdaterad säkerhetspolicy. Beträffande efterlevnad behöver rutiner för regelbundna kontroller tas fram och följas. Iakttagelser Beträffande iakttagelser väljer vi att kommentera dessa utifrån rapportens uppställning. Iakttagelse Prioritet 1. Bristande behörighetsrutiner Hög 2. Kontinuitetsplaner saknas Hög 3. Avsaknad av formell rutin för beslut om programförändringar Hög 4. Inaktuell informationssäkerhetspolicy Medel 5. Systemförvaltningsmodell utan personligt systemägaransvar Medel 6. Låsta användarkonton öppnas utan säker identifiering av användaren Medel 7. Formella regler saknas för informationsklassning Låg 8. Avsaknad av informationssäkerhetsavtal med utomstående organisationer 9. Avsaknad av IT-strategi Låg Låg 1. Bristande behörighetsrutiner Vi har noterat att det saknas dokumenterade rutiner för förändring och borttag av behörigheter till kommunens nätverk och system. Vi har också noterat att det saknas generella riktlinjer för genomgång av behörigheter till verksamhetssystem. För vissa verksamhetssystem kan den enskilda förvaltningen dock ha skapat egna rutiner Idag görs beställningar av nya konto via Inka där respektive ansvarig chef beställer behörigheter. Vid första inloggning måste lösenordet bytas. Allt sker sedan genom manuell tilldelning av IT-support. Kommunen avser att under 2012 införa en ny plattform baserad på Microsoftprodukter. I den nya plattformen kommer användarkonton och behörigheter att styras via ett automatiskt regelverk kopplat mot personal & lönesystemet, Personec P. Genom att minska den manuella hanteringen av uppgifterna kommer kvalitén att öka markant. 2. Kontinuitetsplaner saknas Vi har ej identifierat några fullständiga kontinuitetsplaner. Vi är dock medvetna om att det finns avbrottsplaner för vissa system. Kvalitetskontroller kommer att genomföras i samband med att SLA (service level agrements) upprättas framöver. Ett led i bildandet av en kommungemensam IT-enhet. I avtalen ingår löpande kontroller med syfte att undvika avbrott.
4 (6) Fortsätta att upprätta SLA avtalen enligt ovan samt utveckla våra rutiner vid uppdateringen av vår Informationssäkerhetsplan. 3. Avsaknad av formell rutin för beslut om programförändringar Vi har noterat att kommunen saknar processbeskrivning för programförändringar. Vi har också noterat att en del av de kontroller som beskrivs nedan de facto genomförs i större projekt. Programförändringar genomförs av systemansvariga i samarbete med IT-enheten. Förändringarna är dokumenterade på olika sätt och följer inte en gemensam rutin. Tester utförs alltid innan förändringen genomförs i skarp drift. Vi ser inte några reella problem med att respektive systemansvarig har egna rutiner. IT-enheten tar fram en enhetlig rutin och vårt ärendehanteringssystem för felanmälan och beställningar används för dokumentation framöver. 4. Inaktuell informationssäkerhetspolicy Vi har noterat att kommunen har en inaktuell informationssäkerhetspolicy. Den nuvarande är daterad till 2003. Arbete pågår med att uppdatera befintlig informationssäkerhetspolicy. Kommunkansliet får i uppdrag att under 2012 arbeta fram ny informationssäkerhetspolicy. Samverkan/samråd med övriga kommuner i den gemensamma nämnden skall ske parallellt. 5. Systemförvaltningsmodell utan personligt systemägaransvar Enligt kommunens systemförvaltningsmodell är olika nämnder, och inte personer, systemägare av kommunens system. Vi anser inte att systemägaren behöver vara en fysisk person. Nämnden via respektive nämndsansvarig chef skall dock tillse att det finns utsedda systemansvariga för alla system och att deras arbete följs upp för att säkerställa systemdrift och informationshantering. Respektive nämndsansvarig chef får i uppdrag att upprätta register över systemansvaret.
5 (6) 6. Låsta användarkonton öppnas utan säker identifiering av användaren Vi har noterat att identifiering av användare vars användarkonton skall låsas upp sker via de första sex siffrorna i personnumret. Svar/åtgärd: IT-enheten har efter IT-revisionens påpekande redan delvis ändrat rutinerna. För att göra förändring kring konto och behörigheter krävs att personens chef gör beställningen. När kommunens nya Microsoft-plattform är på plats finns det även en avsikt att införa en så kallad självserviceportal där en användare kan låsa upp, via förutbestämda kontrollfrågor, sitt eget låsta konto eller lösenord. 7. Formella regler saknas för informationsklassning Vi har noterat att kommunen saknar regler för informationsklassning 8. Avsaknad av informationssäkerhetsavtal med utomstående organisationer Vi har ej kunnat fastställa att ansvar för informationssäkerhet reglerats i avtal i samband med att informationsbehandling lagts ut på utomstående organisation. Svar avseende punkt 7 och 8: Ingår som en del av uppdatering av informationssäkerhetspolicy. Kommunkansliet får i uppdrag att under 2012 arbeta fram ny informationssäkerhetspolicy med regelverk för informationsklassning. Samverkan/samråd med övriga kommuner i den gemensamma nämnden skall ske parallellt. 9. Avsaknad av IT-strategi Vi har noterat att kommunen har en inaktuell IT-strategi. Som ett i led i samarbetet med Staffanstorps kommun har ett utkast till ny ITstrategi arbetats fram. Arbetet har avstannat med anledning av att Burlövs kommun eventuellt kommer ingår i samarbetet framöver. Ambitionen är att anta samma IT-.strategi i alla samarbetskommunerna varför förslag avvaktar Burlövs beslut. Kommunkansliet får i uppdrag att snarast arbeta fram ny IT-strategi i samråd med samarbetskommunerna.
6 (6) Summering Kommunkansliet kommer att arbeta vidare med kommunens informationssäkerhet i linje med ovanstående åtgärdsförslag och förslår kommunstyrelsen besluta följande: att avge yttrande enligt ovan till kommunrevisionen att uppdra åt Kommunkansliet att arbeta vidare med framtagande av rutiner för programförändringar inkluderat dokumentation att uppdra åt IT-enheten att ta fram SLA avtal att uppdra åt respektive nämndsansvarig chef upprätta register över systemansvariga att uppdra åt Kommunkansliet att ta fram IT-strategi samt föreslå Kommunfullmäktige att besluta att uppdra åt Kommunstyrelsen att ta fram uppdaterad informationssäkerhetspolicy KOMMUNKANSLIET Victoria Galbe Per Nordén Magnus Lindén