Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787



Relevanta dokument
IT-verksamheten, organisation och styrning

Knivsta kommuns strategi för e-kommun KS-2011/101

Nora kommun. Granskning av lönehantering. Audit KPMG AB 15 mars 2012 Antal sidor: 8

Revisionsrapport 2011 Genomförd på uppdrag av Karlskrona Kommuns förtroendevalda revisorer. Karlskrona kommun. Granskning av Överförmyndarnämnden

Riktlinjer för klagomål & synpunkter

Upphandling och inköp

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden

Delegation av beslutanderätten från kommunstyrelsen

Revisionsrapport/Uppföljning. Delegation. Ängelholms kommun Kerstin Larsson, certifierad kommunal revisor

PROTOKOLL Svar på medborgarförslag 2014:07 om att ta fram en kommuntäckande grönstrukturplan KS-2014/261

Digital strategi för Strängnäs kommun

ANSLAG/BEVIS Protokollet är justerat. Justeringen har tillkännagivits genom anslag.

Revidering av riktlinjer för representation och uppvaktningar KS-2013/1357

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

Revisionsrapport. Sydnärkes miljönämnd

Informationssäkerhet i. Torsby kommun

Region Skåne Granskning av IT-kontroller

Jämtlands Gymnasieförbund

Revisionsstrategi

DELEGERING AV ARBETSMILJÖANSVAR

Granskning av den interna kontrollen i lönehanteringen. Nynäshamns kommun

Rapport från kvalitetsuppföljning av Nytidas dagliga verksamhet Ullared

PROTOKOLL Svar på medborgarförslag 2014:02 om att Knivsta kommun ska ansluta sig till det finska förvaltningsområdet KS-2014/89

Ånge Fastighets och Industri AB Kommunstyrelsen. För kännedom: Kommunfullmäktiges presidium. Revisionsrapport: Granskning av bisysslor

Konsumentrådgivning i Knivsta kommun KS-2011/232

Revisionsrapport. Intern kontroll i system och rutiner Redovisning av mervärdesskatt. Revisorerna i Region Gävleborg. Lena Blomstedt, Skattejurist

Systemförvaltningshandbok

Svar till kommunrevisionen avseende genomförd IT-revision

Rapport avseende granskning av koncernstyrningen. Habo Kommun

MAS Riktlinje för logghantering gällande hälso- och sjukvårdsjournaler

Ledningsplan vid större samhällsstörning, extraordinära händelser i fredstid samt vid höjd beredskap för Bengtsfors kommun

Gäller från 1 januari 2007 Antagen av KF 246/2006. IT-säkerhetsinstruktion för användare

Förslag till internkontrollmoment i internkontrollplan 2016 SOCN

Hällefors kommun. Uppföljning av intern kontroll Revisionsrapport. Offentlig sektor KPMG AB Antal sidor: 13

Revisionsrapport. Oxelösunds kommun. Granskning av avtalshantering. Karin Jäderbrink Lars Edgren

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Granskning av inköpsrutinen och köptrohet

Rapport. Arbete med arbetsmiljön på sysselsättningsenheten Genomförd på uppdrag av de förtroendevalda revisorerna i Finspångs kommun

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Utvecklingssamtal Chefsmaterial Bild på man och kvinna som samtalar.

Information Ansökan Behörighet för Mätningstekniska Arbeten i Trafikverket

COSMIC Messenger Lathund för kommun och landsting i Kalmar län

PROTOKOLL Svar på medborgarförslag 2014:17 om hastighetssänkande åtgärder i korsningen Staffansvägen/Häradsvägen KS-2014/748

Årstidsplan för bokslut och årsprognoser KS-2012/754

Strängnäs kommun. Lokalförsörjning. Revisionsrapport. KPMG AB Antal sidor: 10

Förstudie. Nerikes Brandkår. Arbetsmiljöarbetet för ej utryckande personal Anders Pålhed

MER-styrning - Lekeberg kommuns styrmodell

Registrering och hantering av allmänna handlingar

Ledningsplan vid extraordinära händelser i fredstid samt vid höjd beredskap för Vimmerby kommun

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Rapport från avtalsuppföljning hemtjänst 2011

Delegering av beslut i personalärenden

Hantering av skyddade personuppgifter

IT-säkerhetspolicy för Åtvidabergs kommun

11 Revisionsrapport Granskning av intern kontroll i regionens huvudboksprocess RS150315

Förfrågningsunderlag: Valfrihet inom hemtjänsten i Krokoms kommun. Lag om valfrihet (LOV) gällande omvårdnad och/eller service

Informationssäkerhetspolicy för Vetlanda kommun

Revisionsrapport. Anställdas bisysslor. Gotlands kommun Ramona Numelin Jonas Eriksson

Granskning av löner och ersättningar inklusive arvoden till förtroendevalda. Region Gotland

Svar på motion 2015:07 från Christer Johansson (V) om allmän visstidsanställning KS-2015/516

Instruktioner och generella anvisningar för hantering av privata medel

Riktlinjer för klagomålshantering inom gymnasieskolan, särskild utbildning för vuxna och utbildning i svenska för invandrare. 1.

Arvika kommun. Granskning av kontroll och hantering av konstföremål. KPMG AB 16 februari 2010 Antal sidor:9

Läkemedelsverkets föreskrifter (LVFS 2009:9) om detaljhandel vid öppenvårdsapotek;

Granskning av bisysslor 2013

Information Ansökan Behörighet för Mätningstekniska Arbeten i Trafikverket

Informationssäkerhet - Instruktion för förvaltning

ABCD. Ärendehantering Granskningsrapport. Säters kommun. Offentlig sektor KPMG AB Antal sidor:6 Säter är hant.docx

Angående uppföljning av tillsyn läsåret

Granskning av avtalstrohet, Vadstena Kommun

Överförmyndarens uppdragsplan/ verksamhetsplan Uppdragsplanen/verksamhetsplanen fastställdes av överförmyndaren den 14 februari 2013.

Förslag till ändring av DELEGATIONSBESTÄMMELSER FÖR KOMMUNSTYRELSEN

Insatser till barn i behov av särskilt stöd

Patientsäkerhetsberättelse för den medicinska delen inom elevhälsan

Vid Marcus Nilssons presentation av regionens organisation och utredningsgruppens arbetssätt kom bl.a. följande fram.

Ägardirektiv för Lekebergs Kommunfastigheter AB

Granskning av projekt för anläggning av ny skytteanläggning

Revisionsrapport; Granskning av nämndernas upphandlingsverksamhet

Revisionsrapport Mönsterås kommun

1(11) Kontrollplan Kontrollområde: Livsmedel. Styrdokument

Revisionsrapport 2012 Genomförd på uppdrag av revisorerna januari Vellinge kommun. Fastighetsunderhåll

Kommunrevisorerna granskar. UMEÅ KOMMUN Granskning av IT- och informationssäkerhet.

Riktlinje för mobil användning av IT - remissvar

Egenkontrollprogram för handel med vissa receptfria läkemedel

SLL Juridik och upphandling Upphandlingsavdelningen. Kravspecifikation för. Digitala kommunikationsplattformar,sll1925

Granskning av bisysslor. Region Halland. Revisionsrapport. April 2011 Anita Andersson Rebecca Andersson Carl-Magnus Stensson

Gällivare kommun - ett gott exempel på hur minoritetsspråksarbetet kan gå till Minoritetspolitisk Handlingsplan

Kommunstyrelsens arbetsutskott 14 februari (8) Plats och tid: Kommunstyrelsens sammanträdesrum kl

Revisionsrapport Granskning av kommunens företagshälsovård. Krokoms kommun

December 2014 Pernilla Lihnell, Emelie Bjerke. Granskning av styrelsens arbete inom de kommunala bolagen Uddevalla kommun

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Granskning av manuella utbetalningar svar på revisionsskrivelse

Riktlinjer för Kungälvs kommuns styrdokument

Genomförandeplan. för papperslösa sammanträden. i Piteå kommun

Granskning av intern kontroll i kommunens centrala löneprocess

Areims miljö och energiledningssystem 2015

Lönepolicy. Landskrona stad

Patientsäkerhetsberättelse för Falkenbergs kommun 2012

Transkript:

Göran Nilsson Ordförandens förslag Diarienummer Kommunstyrelsens ordförande Datum KS-2010/605 2012-02-15 Kommunstyrelsen Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787 Förslag till beslut Kommunstyrelsen beslutar att lämna tjänsteskrivelse 2012-01-13 som kommunstyrelsens svar på revisorernas begäran. Göran Nilsson

Handläggare Tjänsteskrivelse Diarienummer Anders Fredriksson Datum KS-2011/787 2012-01-13 Kommunstyrelsen Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787 Förslag till beslut Kommunstyrelsen beslutar att lämna tjänsteskrivelse 2012-01-13 som kommunstyrelsens svar på revisorernas begäran. Sammanfattning Kommunens revisorer har som ett led i granskningen av kommunens räkenskaper och förvaltning uppdragit åt revisorerna att följa upp den granskning av informationssäkerheten som gjordes 2008. Noteringar från granskningen framgår av bifogad rapport. Av sammanfattningen framgår att många av iakttagelserna från 2008 kvarstår. Efter kommunstyrelsen svar till revisorer har ett krav på förtydligande inkommit till Kommunstyrelsen. Svar Kontroll 14: Ställ krav på att användare har tillräcklig kunskap, säkerhetskunskap innan tillgång till informationssystem och information tilldelas. Kraven definieras genom systemsäkerhetsanalys och dokumenteras och kommuniceras. Syn på rekommendationen: Definierade krav på användare finns i grundkraven som finns i IT-instruktion Förvaltning detta ansvar ligger på respektive nämnd och av dessa delegerat ansvar till Systemförvaltare/ägare. I samband med introduktion av nyanställd personal ska chef eller systemansvarig genomföra utbildning i användandet av systemen och de krav som gäller för hanteringen av aktuell information. Detta skall kontrolleras i respektive verksamhets egenkontrollprogram. Åtgärd: Alla chefer i kommunen och de kommunala bolagen genomgår en Chefsutbildning Chefskörkortet som innehåller olika delar av en chefs uppdrag, varav IT är en betydande del av utbildningen. I den är informationssäkerheten central. Under året kommer en kompletteringsutbildning att äga rum, där systemägarrollen får stort fokus. Under utbildningen kommer den av förvaltningen framtagna utredningen Systemförvaltning i Knivsta kommun diskuteras. Se Bilaga 1

Kontroll 17: Etablera användarmanualer för informationssystem med hänsyn till användarnas kunskaper och behov. Användarmanualen bör vara inriktad på normalanvändaren och fungera som en grundläggande användarguide för nybörjaren. Användarmanualen bör minst innehålla: Övergripande beskrivning Handhavande av systemets funktioner Systemets förvaltningsorganisation Vart man vänder sig för att få hjälp med fel, förslag och incidentrapporter. Säkerhetsbestämmelser för systemet och dess information. Syn på rekommendationen: Användarmanualer finns i varierande omfattning beroende på behov och användande av systemen. Antalet användare och komplexiteten varierar kraftigt från system med en användare till e-postsystemet med dryga 1400 användare. Åtgärd: Användarmanualer ska tas fram av systemansvarig vid behov på uppdrag av Systemägare, uppföljning ska ske via egenkontrollprogrammet. I samband med den översyn som pågår kommer dokumentationen att ses över och vid behov successivt revideras. Kontroll 18: Upprätta tydliga rutiner och riktlinjer för hur tillgångar som används av anställda som slutar återlämnas och att åtkomsträtten raderas. Upprätta en struktur vem som har ansvar och genomför olika steg i rutinen. Syn på rekommendationen: Indragning av utkomsträtt till information sker, genom en avvecklingsbegäran till ITenheten som distribueras till respektive systemansvarig. Rutiner finns men följs många gånger inte av respektive chef. På grund av detta sker regelbundna kontroller av användandet av konton på plattformen oanvända konton blockeras efter tre månader. Åtgärd: Det finns en rutin för avveckling av anställda innehållande ett antal delar bland annat borttagning av åtkomsträtt/inloggningar till informationssystem. Dessa rutiner kommer att aktualiseras på inplanerade chefsmöten under 2012. Checklista bilaga 2. Kontroll 42: Etablera rutiner för loggning och arkivering av revisionsloggar för säkerhetsrelevanta händelser. Loggar för säkerhetsrelevanta händelser bör minst innehålla: Användaridentitet Datum och tidpunkt för in och utloggning Lyckade och misslyckade försök till systemåtkomst Registrering av lyckade och misslyckade försök till systemåtkomst Registrering av lyckade och misslyckade försök till data och andra resurser

Syn på rekommendationen: Rutiner för kontroll av säkerhetsrelevanta händelser i systemen ligger på respektive Systemförvaltare/ägare. Liksom rutiner gällande hantering av annan känslig eller värdefull information och dokumentation är verksamhetens ansvar. Genomförda kontroller ska dokumenteras och arkiveras på ett säkert sätt. Åtgärd: En genomlysning av rutinerna kommer att göras av samtliga Systemförvaltare/ägare till system med känslig eller värdefull information. Detta sker i samband med den fördjupade dokumentation av systemförvaltningen som pågår. Kontroll 49 Upprätta riktlinjer och arbetsrutiner att registrera säkerhetsrelevanta händelser och kontroll av säkerhetsloggar. Säkerhetsloggar bör minst omfatta: Användaridentitet Datum och tidpunkt för in och utloggning Lyckade och misslyckade försök till åtkomst Syn på rekommendationen: Rutiner för kontroll av säkerhetsrelevanta händelser i systemen ligger på respektive Systemförvaltare/ägare. Liksom rutiner gällande hantering av annan känslig eller värdefull information och dokumentation är verksamhetens ansvar. Genomförda kontroller ska dokumenteras och arkiveras på ett säkert sätt. Åtgärd: En genomlysning av riktlinjer och rutiner kommer att göras av samtliga Systemförvaltare/ägare till system med känslig eller värdefull information. Detta sker i samband med den fördjupade dokumentation av systemförvaltningen som pågår. Kontroll 50 Dokumentera behörigheter och befogenheter för all icke anställd personal som i en eller annan funktion kan komma i kontakt med IT-resurser eller IT-funktioner. Icke anställd personal bör skriftligen kontrakteras och skriva under tystnadsförbindelse. Systemägare eller delegerad skall fastställa vilka och vilken typ av anslutningar till tele och datanät som ska tillåtas. Beslut om tele och datanät ska dokumenteras. Syn på rekommendationen: Dokumentation av tredjepartsåtkomst har setts över då nya driftsleverantören har tillträtt. Beställning av öppning av brandväggar beställs av behörig personal som systemansvarig eller från IT-enheten, på blankett som sparas på IT-enheten. Sekretessförbindelse för konsult är framtagen sedan kommunstarten, samtliga hos driftleverantören anställda tekniker har skrivit på gällande alla deras kunder och detta regleras i kraven från Kammarkollegiets ramavtal.

Åtgärd: Systemansvariga ska ansvara för att systemleverantörernas tekniker har skrivit under sekretessförbindelse innan åtkomst till systemet. Flera alternativ av säkra förbindelser har tidigare använts, dessa kommer successivt att flyttas till kommunens nya säkerhetsplattform. Kontroll 53 Säkerställ att samtliga behörighetsprofiler för administratörer endast medger åtkomst till system- applikationer och systemverktyg som behövs för att lösa arbetsuppgifterna. Verifiera att behörighetsregistret endast är åtkomligt för utsedd administratör. Endast denna eller delegerad skall kunna registrera förändra eller ta bort användares åtkomsträttigheter. Minimera antalet priviligerade användarkonton. Syn på rekommendationen: Tekniker hos driftsleverantören ska aldrig ha inloggningsuppgifter i verksamhetssystem på grund av säkerhetsrisker. Driftsleverantörens ansvar är att hantera plattformen och kommunikationen och leverantör av verksamhetssystem hanterar eventuella problem i verksamhetssystemet. Användarnas tillgång till information regleras av systemansvarig på uppdrag av systemägare och ska alltid vara kopplad till arbetsuppgifter. Åtgärd: Användarkonton med högre behörigheter dokumenteras och krav ställs på nya applikationer vid upphandling eller avrop, att de ska kunna användas med basbehörighet. Lena Fransson kommunchef

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss