IT-verksamheten, organisation och styrning



Relevanta dokument
Informationssäkerhetspolicy för Vetlanda kommun

Granskning av intern kontroll

Policy för informationssäkerhet

Informationssäkerhetspolicy

IT-Systemförvaltningspolicy

Informationssäkerhet i. Torsby kommun

Hällefors kommun. Uppföljning av intern kontroll Revisionsrapport. Offentlig sektor KPMG AB Antal sidor: 13

Informationssäkerhetspolicy

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Grundläggande IT-strategi för Falkenbergs kommun Kommunledningskontoret IT-avdelningen

Informationssäkerhet - Instruktion för förvaltning

Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787

IT-policy med strategier Dalsland

Övergripande granskning IT-driften

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

IT-Strategi. för Munkfors, Forshaga, Kils och Grums kommun. IT-Strategi. Kommunsamverkan Grums, Forshaga, Kil och Munkfors Utfärdad av

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

IT-säkerhetspolicy för Åtvidabergs kommun

FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/ Kf IT-säkerhetspolicy

En bild av kommunernas informationssäkerhetsarbete 2015

IT-säkerhetspolicy. Fastställd av KF

Svar till kommunrevisionen avseende genomförd IT-revision

Varbergs kommun. Kommunens IT-verksamhet Granskningsrapport. Audit KPMG AB 13 april 2015

Svar över vidtagna åtgärder önskas före februari månads utgång 2009.

Revisionsrapport Landskrona stad. Kommunstyrelsens styrning och ledning avseende servicekontorets städavdelning.

Granskning av inköpsrutinen och köptrohet

Arvika kommun. Granskning av kontroll och hantering av konstföremål. KPMG AB 16 februari 2010 Antal sidor:9

Avesta kommun. Styrande dokument Revisionsrapport. Offentlig sektor KPMG AB Antal sidor: 10. Rapport

Organisation, ansvarsområden och roller

Kungälvs kommun - Kommunrevisionen. Informationsverksamheten Granskningsrapport. KPMG AB Antal sidor:

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Ramverk för systemförvaltning

Digital strategi för Strängnäs kommun

Arvika kommun. Granskning av Överförmyndarnämndens verksamhet Revisionsrapport. KPMG AB Offentlig sektor Karlstad Antal sidor: 11

IT-Säkerhetsinstruktion: Förvaltning

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Revisionsrapport Verksamheter på entreprenad

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

1T1 SOLLENTUNA KOMMUN e

Bolagspolicy. Ägarroll och ägarstyrning för kommunens bolag. Antagen av kommunfullmäktige den 28 januari 2016, 1

Ledningssystem för systematiskt kvalitetsarbete inom verksamheterna flykting och HVB

Arvika kommun. Uppföljningsansvar ungdomar år. KPMG Bohlins AB Antal sidor: 12

Utvecklingsplan för IT inom BUN

Beredningen för integritetsfrågor

Revisionsrapport Kommunstyrelsens arbete för en ekonomi i balans

Ny utbildningsorganisation vid SLU

ABCD. Ärendehantering Granskningsrapport. Säters kommun. Offentlig sektor KPMG AB Antal sidor:6 Säter är hant.docx

Organisation för samordning av informationssäkerhet IT (0:1:0)

PM Uppföljning av granskningen angående implementering av FN:s barnkonvention

Vetenskapsrådets informationssäkerhetspolicy

Uppföljning av tidigare granskningar

Revisionsrapport stöd till användarna av IT-system i vårdverksamheterna, Landstinget i Östergötland

Informationssäkerhetsinstruktion: Förvaltning (Infosäk F)

STRÖMSTADS KOMMUN SÄKERHETSPOLICY. Antagen av Kommunfullmäktige

Upphandling av IT-tjänster och outsourcing av delar av verksamheten

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden

Landstinget Gävleborg, Bollnäs, Söderhamns, Hudiksvalls och Nordanstigs kommun

AVLÖSARSERVICE i hemmet LSS INTERN KRAVSPECIFIKATION Antagen av Vård- och omsorgsnämnden den 26 maj 2011 ( 62) Gäller from 1 januari 2012

Revisionsberättelse för år 2011

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Hällefors kommun. Styrning och ledning Bildningsnämnden Granskningsrapport

Revisionsstrategi

PM DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport.

Upphandling och inköp

Reglemente för Upplands Väsby kommuns revisorer antaget av kommunfullmäktige den 23 september 2013

Beslut för förskola. ' Skolinspektionen. efter tillsyn i Göteborgs kommun. Beslut. Göteborgs kommun. goteborg@goteborg.se

IT-säkerhetsinstruktion Förvaltning

Lednings- och styrdokument STYRNING OCH ORGANISATION. Styrdokument antaget av kommunfullmäktige den 20 juni 2011

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Revidering av policy och regler för informationssäkerhet i Stockholms stad

Riktlinjer för säkerhetsarbetet i Gullspångs kommun. Antagen av kommunfullmäktige

IT-pedagogisk handlingsplan för Väsby välfärds skolor

Strategisk kompetensförsörjning

Finspångs kommun Revisorerna. Revisionsrapport Granskning av kommunens säkerställande av effektivt underhåll på kommunens fastigheter

Kvalitetsgranskning vid besök i verksamhet

MER-styrning - Lekeberg kommuns styrmodell

Krisledningsnämnd. Strategisk Krisledning. Krisledningsstab

Elevhälsans uppdrag, organisation och arbete

Nämndledamöters ansvar. Oxelösund

Granskning av bisysslor 2013

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Åstorps kommuns revisorer. Granskning av resurser för projektledning och bevakning av. Granskningsrapport Nr

ANSLAG/BEVIS Protokollet är justerat. Justeringen har tillkännagivits genom anslag.

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun

Hällefors kommun. Kommunstyrelsens uppsikt över de kommunala bolagen Revisionsrapport. Offentlig sektor KPMG AB Antal sidor: 11

Handbok för fullmäktiges beredningar

Informationssäkerhet - Informationssäkerhetspolicy

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Granskning av IT-system Procapita vård och omsorg ur ett effektivitetsperspektiv

Revisionsrapport Granskning av Enhetlighet i biståndsbedömning för försörjningsstöd Christina Svensson. Arvika kommun

Revisionsrapport Mönsterås kommun

F Ö R E R S Ä T T N I N G S S Y S T E M

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Förslag till arbetsordning Leader Vättern

Lägesrapport avseende införandet av miljöledningssystem med förslag till det fortsatta arbetet.

Eksjö kommun. Granskning av systematiska arbetsmiljöarbetet. Revisionsrapport. KPMG AB Lars Jönsson

Åklagarmyndighetens författningssamling

Kvalitetsprogram Gemensamma förvaltningen. Fastställd av förvaltningschefen , dnr:

Transkript:

IT-verksamheten, organisation och styrning KPMG Örebro 27 februari 2007 Antal sidor 12

Innehåll 1. Inledning 1 2. Syfte 1 3. Metod 1 4. Sammanfattning 2 5. IT-verksamhet, organisation och ansvar 3 5.1.1 Basnivå för informationssäkerhet 5 6. Resultat av granskning 5 6.1 Mål och riktlinjer för IT-verksamheten 5 6.2 Kostnadsfördelning och kostnadsstyrning av IT 6 6.2.1 Kommentar 7 6.3 Organisation och ansvar för IT-verksamheten 7 6.3.1 Kommentar 8 6.4 Ansvarsfördelning 9 6.4.1 Kommentar 9 6.5 Säkerhet och incidentrapportering 10 6.5.1 Kommentar 10 6.6 Barn- och utbildningsnämnden 10 6.7 Socialnämnden 11 7. Slutord 12 Rapport IT-organisationen.doc

1. Inledning IT-utvecklingen har varit kraftfull under de senare åren och idag är det mesta av nämndernas verksamheter beroende av ett fungerande IT-stöd i någon form. I flera kommuner görs förändringar av IT-organisationen med anledning av verksamheternas ökande behov av ett väl fungerande stöd. Andra anledningar till förändringar är de ökande problemen med utifrån kommande störningar eller de egna interna behoven av en säker hantering av information. Revisorerna har diskuterat dessa frågor i sin analys av risk och väsentlighet och då sett ett behov av att granska hur dessa frågor hanteras i Arvika kommun. 2. Syfte Det övergripande syftet med granskningen har varit att bedöma ändamålsenlighet i kommunens organisation av IT-frågor avseende stöd till användare och arbetet med säkerhetsfrågor. I projektet har särskilt belysts: Hur ansvar och roller fördelats gällande IT mellan nämnder/förvaltningar och centrala ITfunktioner Ledning, styrning och uppföljning av IT-frågorna Kostnadsfördelning och kostnadsstyrning av IT 3. Metod Som underlag för projektet har intervjuer genomförts med nyckelpersoner inom förvaltningarna såväl centralt som ute på förvaltningarna. Detta har kompletterats med studie av styrande dokument. 1

4. Sammanfattning Vi har studerat Arvika kommuns IT-verksamhet. Vid granskningen har vi särskilt granskat hur ansvar och roller fördelats gällande IT mellan nämnder/förvaltningar och centrala IT-funktioner, hur ledning, styrning och uppföljning av IT-frågorna sker samt vilken kostnadsfördelning och kostnadsstyrning av IT som görs. Då denna granskning genomförts när det samtidigt pågår en stor omorganisation i kommunen har vi studerat både hur det ser ut för närvarande samt vilka förändringar som planeras. Vi kan i vår granskning konstatera att det för IT-verksamheten finns en övergripande IT-säkerhetspolicy som är antagen av kommunstyrelsen under 2006. Till denna finns förslag på ytterligare dokumentation som dock ännu ej är antagen. Vid våra intervjuer samt vid studier av de framtagna förslagen till riktlinjer kan vi konstatera att det finns en ambition att på ett bättre sätt styra IT-verksamheten. Vi menar att det i detta sammanhang är viktigt att tydliggöra kommunstyrelsens yttersta ansvar samt skapa rutiner för återrapportering till kommunstyrelsen gällande IT-frågorna. Kommunstyrelsens yttersta ansvar finns reglerat i reglementet. I kommunens IT-säkerhetspolicy står att kommunchefen har det övergripande ansvaret för säkerheten i organisationens ITverksamhet. Vi menar att det vore en fördel om kommunstyrelsens ansvar tydliggörs genom att också dokumentera det i IT-säkerhetspolicyn. Från och med årsskiftet är all IT-verksamhet samlad på en gemensam IT-avdelning. I det förslaget till säkerhetsinstruktioner finns IT-avdelningens ansvar dokumenterat. Vi anser dock att det också finns behov av att: Fastställa och dokumentera vilket uppdrag och ansvar IT-avdelning har gällande både strategiska och operativa IT-frågor. Fastställa och dokumentera vilket stöd verksamheterna kan förvänta sig av ITavdelningen för att undvika förväntansgap. Fastställa och dokumentera vilka kostnader som IT-avdelningen står för samt i de fall interndebitering sker från IT-avdelningen hur dessa beräknas. Ta fram rutiner för anmälan av säkerhetsrisker, incidenter och fel samt hur loggning av dessa av inkomna ärenden till IT-avdelningen bör ske. Detta för att få en överblick av inkomna ärenden samt för att undvika risken för att anmälda ärenden tappas bort. Det är i sammanhanget också viktigt att utarbeta rutiner för rapportering till systemägaren om inrapporterade säkerhetsrisker. IT-verksamheten har genomgått stora förändringar men det har inte genomförts några genomgripande uppföljningar av hur det påverkat kostnadsutvecklingen för den totala IT-verksamheten i kommunen. Vi menar därför att en ekonomisk uppföljning och analys bör göras av kommunens totala IT-verksamhet. 2

5. IT-verksamhet, organisation och ansvar IT-verksamheten har kommit att bli en mycket viktig stödprocess i den kommunala verksamheten. Genom att utveckla denna kan administrationen effektiviseras, information och kommunikation öka vilket stödjer utvecklingen av inflytandet och demokratin. För att uppnå hög säkerhet måste många delar samverka såväl informationssäkerhetsfrågor som den fysiska säkerheten kring infrastruktur m.m. Sveriges kommuner och landsting har definierat de nedanstående fyra områdena som skall samverkar för att uppnå en tillfredsställande IT-säkerhet. Analyser - IT-systemen - brandväggar - redundans - näten - back up - el - ekonomi Människorna - utbildning - kompetens - handhavande - mänskliga faktorn - reviren - arvet - organisationen IT säkerhet Strategier - rutiner - policy - rapporter - dokumentation - säkerhetsklassning - förebyggande åtgärder - samverkan - beslut/makt Omvärldskrav - juridiken - öppenhet - myndighetsutövning - åtkomst - tillgänglighet - tjänster - PKI Bilden påvisar den komplexitet som det innebär att uppnå en godkänd IT-säkerhet. Säkerheten vid användandet av IT-system handlar om säkerhet vid hantering av information och dess tillgänglighet, riktighet, sekretess och spårbarhet. Denna säkerhet kan delas upp i administrativ säkerhet och IT-säkerhet. Administrativ säkerhet uppnås huvudsakligen med hjälp av administrativa regler och rutiner. IT-säkerhet innebär säkerhet i IT-systemen och kan delas upp i datasäkerhet och kommunikationssäkerhet. 3

Ansvaret för att uppnå en administrativ säkerhet har den som är verksamhetsansvarig medan ITsäkerheten hanteras av den IT-ansvariga. Administrativ säkerhet innebär att: Tillse att det finns en ändamålsenlig organisation. Ansvaret för IT-verksamheten är tydligt utpekad. Det finns skriftliga och entydiga beskrivningar av ansvarsområdet. De ansvariga har tillräcklig kompetens och instruktioner för sina arbetsuppgifter. Användare får tillräcklig kompetens för sina arbetsuppgifter. Kontroll av att verksamheten sker enligt givna instruktioner. I boken Säkerhetsjuridik för kommuner som är utgiven av Svenska kommunförbundet, betonar man vikten av att klargöra ansvar samt att man behöver skilja mellan ansvar för IT-säkerhet och ansvar för utförande av IT-säkerhetsarbete. Där står också att Det övergripande ansvaret ligger alltid hos myndigheten d v s respektive nämnd, medan ansvar för utförandet ligger på respektive förvaltningschef. Systemägare är den myndighet (t ex nämnd) i kommunen som är ansvarig för den verksamhet som informationstekniken ger stöd till. I det fall ett system används av flera nämnder kan en nämnd t ex kommunstyrelsen vara systemägare. Nämnden är registeransvarig enligt datalagen för den information som lagras i systemet även om nämnden inte är systemägare. Systemförvaltning är det planeringsarbete som systemägaren skall ansvara för t ex att följa verksamhetens behov av nya och förändrade arbetssätt samt tillse att användare får det utbildning och information som behövs. I systemägarens ansvar ingår också att fastställa krav på systemsäkerhet för verksamheten. Systemägaren bör utse en särskild person, en systemförvaltare, som utför dessa uppgifter. Systemförvaltaren är den som genom delegation från systemägaren fått i uppdrag att bereda systemärenden för förvaltningsledningen samt att svara för administration, förvaltning och användning. Systemförvaltaren fastställer krav på behörighet och kompetens för systemets användare, initierar utbildning av systemets användare, bevakar och bereder frågor kring systemsäkerhet, ansvarar för information till användarna om förändringar och nyheter i systemet och IT-stödet. Förvaltningschef eller motsvarande har som uppgift att utse ansvariga och organisera ITsäkerhetsarbetet utifrån de riktlinjer som nämnden fastställt. IT-enhet eller motsvarande har det tekniska kunnandet och finns som stöd till de ansvariga och verksamheterna som använder IT-systemen. IT-enheten har också en viktig roll när det gäller att bereda ärenden gällande IT-verksamheten samt att bevaka att riktlinjer och regler följs t ex i samband med upphandlingar av datorer, IT-system o s v. 4

5.1.1 Basnivå för informationssäkerhet Krisberedningsmyndigheten har tagit fram en skrift, Basnivå för informationssäkerhet (BITS) där ett antal administrativa säkerhetsåtgärder rekommenderas för vad som bör vidtas för att uppnå en acceptabel säkerhetsnivå för informationshanteringen. Som ett stöd för arbetet med informationssäkerhet har Krisberedskapsmyndigheten (KBM) tagit fram ett antal mallar för olika dokument som styr informationssäkerheten i en organisation: 1. Informationssäkerhetspolicy 2. Säkerhetsinstruktion, Användare 3. Säkerhetsinstruktion, Förvaltning 4. Säkerhetsinstruktion, Kontinuitet och drift Mallarna ska ses som ett underlag för att upprätta en organisations egna styrande dokument. Syftet med mallarna är att den som följer dess innehåll ska veta att de egna styrande dokumenten kommer att vara anpassade till kraven enligt BITS, och i aktuella delar följa avsnittsindelningen enligt BITS och den svenska standarden SS-ISO/IEC 17799. 6. Resultat av granskning 6.1 Mål och riktlinjer för IT-verksamheten I kommunen finns en IT-säkerhetspolicy, antagen av kommunstyrelsen under 2006, där det bland annat står att policyn syftar till att klarlägga Mål för IT-säkerhetsarbete Organisation, ansvar och roller inom IT-säkerhetsområdet Riktlinjer för områden av särskild betydelse. Där står också att policyn skall konkretiseras i IT-säkerhetsinstruktionerna Förvaltning, Drift och Användare samt systemsäkerhetsplaner. Vid framtagandet av denna policy har kommunen i hög grad utgått från Krisberedningsmyndigheten skrift, Basnivå för informationssäkerhet (BITS), se kap 5.1.1. För IT-säkerhetsinstruktionerna Förvaltning och Användare finns framtagna förslag och vi har valt att studera och kommentera dessa dokument i vår granskning trots att de är ett arbetsmaterial och ej antaget av kommunstyrelsen. 5

I det förslag till IT-säkerhetsinstruktioner Förvaltning regleras frågor gällande: Behörighetsadministration Loggning och spårbarhet Distansarbete, externa anslutning och mobil datoranvändning Drift och förvaltning av IT-system Införande av IT-system Systemunderhåll Drift Avveckling av IT-system IT-incidentrapportering Tillträdesskydd Säkerhetskopiering och lagring Användning av E-post och Internet IT-säkerhetsutbildning Kontinuitetsplanering Driftgodkännande Revidering och uppföljning I IT-säkerhetsinstruktioner: Användare beskrivs mål och organisation för IT-säkerhetsarbete samt vilket ansvar varje enskild användare har och hur t ex lösenord skall hanteras och hur användaren skall agera vid incidenter där man uppfattar att det finns en säkerhetsrisk. Även en IT-säkerhetsinstruktion Drift skall tas fram. 6.2 Kostnadsfördelning och kostnadsstyrning av IT Den centrala IT-enheten ligger inom kommunstyrelsen och är anslagsfinansierad. I dessa kostnader ingår bland annat personal, nätverk och gemensamma servrar. Verksamhetsspecifika program och datorer i verksamheten svarar respektive förvaltning för. En viss interndebitering kan ske från IT-enheten till förvaltningarna då IT-enheten gör åtgärder som inte ingår i nätadministrationen. Det finns dock ej några klart uttalade riktlinjer för var denna gränsdragning går. Under år 2006 6

gjorde IT-chefen en överslagsmässig beräkning av IT-avdelningens kostnader fördelad på varje arbetsenhet i kommunen. Enligt IT-chefen förs diskussioner om man i den nya organisationen skall arbeta med interndebitering för den centrala IT-enheten. 6.2.1 Kommentar IT-verksamheten har genomgått stora förändringar men det har inte genomförts några genomgripande uppföljningar av hur det påverkat kostnadsutvecklingen för den totala IT-verksamheten i kommunen. Vi menar därför att de en ekonomisk uppföljning och analys bör göras av kommunens totala IT-verksamhet. Vi anser också att det bör tydliggöras och dokumenteras vilka kostnader som IT-avdelningen står för samt i de fall interndebitering sker från IT-avdelningen hur dessa beräknas. 6.3 Organisation och ansvar för IT-verksamheten Kommunen är i en organisatorisk förändringsprocess och fr.o.m. år 2007 organiseras alla ITresurser inom IT-enheten som ingår i kommunledningsstaben. På detta sätt vill man samla kommunens resurser på ett ställe. Undantaget från detta är den IT-pedagog som finns anställd inom barn- och utbildningsverksamheten och som även fortsättningsvis kommer att tillhöra denna verksamhet. Nedan följer en bild av hur IT-verksamheten var organiserad under 2006 och hur den är organiserad från och med 2007. IT-organisation t o m 2006 Kommunstyrelsen Ekonomiavdelningen IT-enheten (inget dokumenterat om uppdraget) Barn- och utbildningsnämnden IT-enheten IT-pedagog IT-piloter Socialnämnden IT-enheten IT-organisation fr.o.m. 2007 Kommunstyrelsen Kommunledningsstaben IT-enheten 7

Det finns inget dokumenterat vilket uppdrag IT-enheten har men enligt IT-ansvarig sträcker sig ansvaret till nätverksuttaget. Det finns ej heller dokumenterat vilka som är ansvariga systemägare och systemansvariga för respektive system som används i kommunen. Vid våra intervjuer uppges dock att varje nämnd ansvarar för sina verksamhetssystem och kommunstyrelsen ansvara för det som är gemensamt så som nätverk och mjukvaran i nätet, lokala servrar och kommunövergripande system så som ekonomi- och personalsystem. IT-enheten har ingen HelpDesk men enligt IT-chefen finns det behov av detta. Det är dock en resursfråga. Från och med 2005-09-01 har IT-enheten beredskap dygnet runt. Enligt kommunchefen har det funnits fel förväntan från skolan på IT-enheten då man trott att de skall kunna hjälpa till med den pedagogiska delen. Det har nu anställts en IT-pedagog inom skolan som arbetar med dessa frågor och denna skall även fortsättningsvis finnas organiserad inom skolans verksamhet. Kommunens IT-ansvarige är den som har ansvar för de gemensamma IT-frågorna. I detta ansvar ingår bland annat att arbeta med de långsiktiga och strategiska IT-frågorna. Det dock finns inga fastslagna målsättningar med IT-arbetet och eller något tydligt uppdrag till IT-chefen att arbeta med dessa frågor. Vid större strategiska frågor lyfter IT-chefen dessa till kommunchef som eventuellt för det vidare till förvaltningschefsgruppen. Vid behov bildas arbetsgrupper för att arbeta med en fråga eller ett projekt. Vid inköp av IT är det inköpsavdelningen som ansvarar för detta. Mycket av de inköp som görs är avrop på ramavtal som kommunen har. Vid inköp/upphandling av verksamhetsspecifika program skall detta alltid stämmas av med IT-enheten och i kravspecifikationen skall det ställas krav på att systemet passar in i kommunens tekniska plattform. IT-enheten har dygnetruntjour och det finns larm i driftscentralen som går till jouren om det t ex skulle uppstå ett avbrott. 6.3.1 Kommentar Från och med årsskiftet är all IT-verksamhet samlad på en gemensam IT-avdelning. Vi anser att IT-avdelningen är en ytterst viktigt stödfunktion till verksamheterna samt att: Det finns behov av att klargöra och dokumentera vilket uppdrag och ansvar IT-avdelning har. Vilket stöd verksamheterna kan förvänta sig av IT-avdelningen för att undvika förväntansgap. 8

6.4 Ansvarsfördelning I IT-säkerhetspolicyn anges att det övergripande ansvaret för säkerheten i IT-verksamheten vilar på kommunchefen och att denne skall utse systemägare för varje system. Kommunstyrelsens ansvar för IT-verksamheten finns fastslaget i reglementet. I det förslag som finns till IT-säkerhetsinstruktioner: Förvaltning anges bland annat organisation och ansvar. Här står att ansvaret för informationssäkerheten skall följa linjeorganisationen för varje enskilt IT-system. I instruktionerna har man specificerat de olika ansvarsområdena enligt följande: Systemägare ansvarar inför ledningen för att egna IT-system förvaltas på för verksamheten bästa sätt. Verksamhetsansvariga utses av systemägare och har ett övergripande ansvar för att säkerställa en säker och rationell drift. Systemansvariga den person i berörd verksamhet som har ansvaret för den dagliga användningen av IT-systemet IT-ansvarig är systemägare inom området teknisk infrastruktur och har det övergripande ansvaret för att ett systems tekniska delar fungerar. Systemadministratör innehar den tekniska kompetensen och ansvarar tillsamman med verksamhetsansvariga och systemansvarig för att den dagliga driften upprätthålls enligt överenskommelse mellan systemägaren och IT-ansvarig. Användare skall följa gällande regler för IT-säkerheten IT-säkerhetssamordnare stödjer arbete med att uppnå IT-säkerhetspolicyns mål. Fungerar som stöd åt verksamheten och är i IT-säkerhetsfrågor direkt underställd kommunchefen. 6.4.1 Kommentar Trots att IT-säkerhetsinstruktioner: Förvaltning ej är fastslaget utan fortfarande ett arbetsmaterial har vi valt att kommentera detta då vi vid våra intervjuer informerats om att dokumentet i det stora hela kan betraktas som ett färdigt förslag. Myndigheten är alltid ytterst ansvarig och därmed system ägare (se kap 5) vilket innebär i Arvika kommun att kommunstyrelsen är systemägare för samtliga system. Vi menar att det vore en fördel om detta tydliggörs genom att kommunstyrelsens ansvar också dokumenteras i ITsäkerhetspolicyn. 9

Vi menar att det är bra att man i det förslaget till IT-säkerhetsinstruktioner: Förvaltning gör en beskrivning av varje ansvarsområde. Det är också ytterst viktigt att en förteckning görs av alla aktuella system som finns i kommunen samt vilka som ansvarar för dessa. 6.5 Säkerhet och incidentrapportering För närvarande finns inget dokumenterat om hur incidentrapportering skall ske. Enligt IT-chefen sker rapportering till IT-enheten men det finns inga uttalade rutiner för hur detta skall ske och vad som skall rapporteras och det sker ej heller någon dokumentation av inrapporterade säkerhetsfel eller incidenter. I det arbetsmaterial som finns framtaget för säkerhetsinstruktioner Förvaltning står att användaren skall vid misstanke om intrång eller andra incidenter agera enligt ITsäkerhetsinstruktioner användare. Det står också att IT-avdelningen skall sammanställa och rapportera till ledningen: Intrång och försök till intrång, Brott mot lagstiftning och intern regelverk Incidenter som orsakar eller skulle kunna orsaka betydande avbrott eller störningar. 6.5.1 Kommentar Vi menar att det är ytterst viktigt att det finns rutiner för hur incidentrapporteringen sker. Då det enligt vår uppfattning alltid är myndigheten, i detta fall kommunstyrelsen, som är systemägare och därmed ytterst ansvarig menar vi också att en rapport om anmälda säkerhetsrisker och incidenter bör göras till kommunstyrelsen. 6.6 Barn- och utbildningsnämnden Nedanstående beskrivning av barn- och utbildningsnämndens verksamhet utgår från den organisation som gällde till och med 2006. Barn- och utbildningsnämnden har en egen IT-strategi. I denna anges bland annat hur ansvarsfördelningen ser ut i förvaltningen gällande IT-frågorna samt vilken målsättning man har gällande IT-utvecklingen. Inom Barn- och utbildningsförvaltningen finns fr.o.m. 2005 fem IT-tekniker anställda som är organiserade som en gemensam IT-enhet inom förvaltningen. Tidigare hade förvaltningen fyra ITtekniker anställda som var organiserade ute på enheterna. Denna spridda organisation försvårade kunskapsutbytet och man bedömde att en samlad organisation medförde att arbetet kunde utföras på ett mer effektivt sätt. På varje skola finns också en IT-pilot som är en anställd som har ett intresse för dessa frågor. 10

Vid upphandlingar kontaktas inköpsavdelningen. I de fall som datorer skall köpas in avropas de ramavtal som kommunen har. IT-teknikerna listar alla datorer som finns i förvaltningen och statusen på dessa bedöms. Grundskolechefen gör efter dessa bedömningar en prioritering av vilka inköp som skall göras av datorer. Det har skett en ökad styrning av vad som köps in när det gäller IT och enligt biträdande skolchef har det skett en ökad förståelse i verksamheten varför man måste styra dessa frågor. Förvaltningens IT-pedagog genomför utbildningar med de anställda i förvaltningen och för nya användare. Enligt biträdande förvaltningschef måste man trycka ännu hårdare på säkerheten t ex lösenordshanteringen. Inom varje rektorsområde skall det finnas en IT-plan med en pedagogisk inriktning. Enligt biträdande förvaltningschef har man börjat ställa högre krav på rektorerna att ta fram IT-planer Ingen IT-plan - inga nya datorer. Biträdande förvaltningschef anser att ansvarsfördelningen mellan kommunens centrala IT-enhet och förvaltningarna är tydlig 6.7 Socialnämnden Nedanstående beskrivning av socialnämndens verksamhet utgår från den organisation som gällde till och med 2006. Inom socialförvaltningen finns två IT-tekniker anställda. För det verksamhetssystem, ProCapita, som används i förvaltningen finns en systemansvarig som ansvarar för uppdateringar i systemet, behörighetsadministration och kontakter med leverantören av systemet. I förvaltningen finns också två sjuksköterskor som inom ramen för sin tjänst ansvarar för den del som berör hälso- och sjukvården. För kompetensutveckling av den egna personalen samt utbildning i grundläggande IT-kunskaper t ex att hantera Word och Excel ansvara förvaltningens egna IT-tekniker. Förvaltningen införde ett program som skulle finnas till stöd för bemanningscentralen. Vid detta införande fanns inte tillräcklig kommunikation med den centrala IT-enheten vilket hade negativ påverkan på införandet. Denna erfarenhet har gjort att man nu är medveten om att man måste ha med IT-enheten i processen vid införandet av ett nytt system för att det skall kunna genomföras på ett bra sätt. För de IT-tekniker som finns i förvaltningen har man upplevt att man ej fått tillräcklig information från framför allt IT-enheten. Detta problem borde dock undanröjas i samband med den nya organisationen då alla IT-tekniker kommer att tillhöra en gemensam enhet. 11

7. Slutord Vi har studerat hur Arvika kommuns IT-verksamhet och då särskilt granskat hur ansvar och roller fördelats gällande IT mellan nämnder/förvaltningar och centrala IT-funktioner, hur ledning, styrning och uppföljning av IT-frågorna sker samt vilken kostnadsfördelning och kostnadsstyrning av IT som görs. Då denna granskning genomförts när det samtidigt pågår en stor omorganisation i kommun har vi både tittat på hur det för närvarande ser ut samt vilka förändringar som planeras. Vi kan i vår granskning konstatera att det för IT-verksamheten finns en övergripande ITsäkerhetspolicy som är antagen av kommunstyrelsen under 2006. Till denna finns förslag på ytterligare dokumentation som dock ännu ej är antagen. Vid våra intervjuer samt vid studier av de framtagna förslagen till riktlinjer kan vi konstatera att det finns en ambition att på ett bättre sätt styra IT-verksamheten. Vi menar att det i detta sammanhang är viktigt även tydliggöra kommunstyrelsens yttersta ansvar samt skapa rutiner för återrapportering till kommunstyrelsen gällande IT-frågorna. Örebro, dag som ovan Karin Helin Lindkvist Certifierad kommunrevisor 12

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss