Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet



Relevanta dokument
Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Revisionsrapport. IT-revision Solna Stad ecompanion

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Uppföljningsrapport IT-revision 2013

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Granskning av applikationenn Basware oktober 2012*

Granskning av generella IT-kontroller för PLSsystemet

Uppföljningsrapport IT-generella kontroller 2015

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Granskning av IT-säkerhet

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Granskning av IT-säkerhet

Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787

IT-säkerhet Externt och internt intrångstest

Landstinget i Värmland Granskning av generella IT-kontroller. Revisionsrapport

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Svar till kommunrevisionen avseende genomförd IT-revision

Landskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.

Revision av den interna kontrollen kring uppbördssystemet REX

Översyn av IT-verksamheten

Övergripande granskning av ITverksamheten

Datum Kommunrevisionen: Granskning av generalla IT-kontroller 2013

Hantering av IT-risker

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Riktlinjer för IT-säkerhet i Halmstads kommun

Bolagsspecifika resultat Sektion 3. Page 1

Granskning av informationssäkerhet inom Landstinget i Kalmar län

Systemförvaltnings Modell Ystads Kommun(v.0.8)

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen dnr

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

IT-säkerhetspolicy. Fastställd av KF

Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Granskning av IT- och informationssäkerhet

Granskning av IT intern kontroll

Ystad kommun. Rapport: IT-revision. Göteborg,

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Övergripande granskning av ITverksamheten. Härryda kommun

Granskning av IT-säkerhet - svar

Uppföljning av tidigare granskningar

Region Skåne Granskning av IT-kontroller

Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept Haninge kommun. Rapport: IT-revision, granskning av informationssäkerheten

Stockholms Stadshus AB it-revision november 2016

Anvisning om riskhantering och internrevision i värdepapperscentraler

Västerås stad. Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

Styrning av behörigheter

Håbo kommuns förtroendevalda revisorer

INFORMATIONSSÄKERHETSGRANSKNING AV PARAPLYSYSTEMETS APPLIKATION PARASOL

Översyn av IT-verksamheten

Regler och instruktioner för verksamheten

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Datum Kommunrevisionen: Angående stödsystem Heroma och Agresso

Revisionsrapport Styrning och ledning av IT och informationssäkerhet

Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012

Revisionsrapport "Förstudie av kommunens ITorganisation"

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Granskning av räddningstjänstens ITverksamhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Hantering av behörigheter och roller

Informationssäkerhetspolicy

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

IT-Policy. Tritech Technology AB

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Granskning av bokslutsprocessen

Svar på revisionskontorets årsrapport 2017

Granskning intern kontroll

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Övergripande IT- och informationssäkerhet

Revisionsrapport Övergripande granskning av intern kontroll Tandvårdsnämnden 2015

Revisionsrapport: Uppföljning av rapport Genomlysning av IFO

Östra Göteborg. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Övergripande granskning IT-driften

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetsanvisningar Förvaltning

Svar till revisorerna angående intern kontroll och återrapportering av delegationsbeslut UN-2014/

Granskning av intern kontroll svar på revisionsskrivelse

Granskning av intern kontroll i lönehanteringen

IT-säkerhet Externt och internt intrångstest

Återrapportering till Länsstyrelsen angående utlåtande över Knivsta kommuns tillsyn enligt miljöbalken KS-2011/177

Vetlanda kommun. Granskning avseende IT- och informationssäkerhet enligt BITS

Granskning av intern kontroll i kommunens huvudboksprocess

IT-verksamheten, organisation och styrning

Protokollsutdrag. 346 Revisionsrapport Uppföljning IT-säkerhet och införande av dataskyddsförordningen - svar Dnr KS/2018:384

Paraplysystemets säkerhet och ändamålsenlighet

Kungälvs kommun. Granskning av intern kontroll inom ekonomiprocesser 2018

Informationssäkerhetspolicy för Ånge kommun

Transkript:

Utbildningsnämnden Ordförandeförslag Diarienummer Göran Nilsson (M) 2014-02-08 UN-2013/279 Utbildningsnämnden Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet UN-2013/279 Förslag till beslut Utbildningsnämnden beslutar att lämna denna skrivelse som svar på revisorernas begäran om yttrande angående revisionsrapport Granskning av IT-säkerhet. Göran Nilsson (M)

Handläggare Tjänsteskrivelse Diarienummer Rojda Alpsoy 2014-02-07 KS-2013/1344 Torbjörn Sjölin UN-2013/279 Utbildningsnämnden Svar till revisorerna angående revisionsrapport, Granskning av ITsäkerhet UN-2013/279 Förslag till beslut Utbildningsnämnden beslutar att lämna denna skrivelse som svar på revisorernas begäran om yttrande angående revisionsrapport Granskning av IT-säkerhet. Sammanfattning Revisorerna har i skrivelse 2013-12-19 begärt Utbildningsnämndens yttrade över bifogad revisionsrapport, Granskning av IT-säkerhet som genomfördes i juni 2013. Det är tre punkter som Knivsta kommuns revisorer bedömt vara relevanta för Utbildningsnämnden 1. Förvaltningsmodellen ITM5 är inte implementerad fullt ut 2. Avsaknad av enhetliga rutiner i processen för avslut av användare 3. Avsaknad av formella rutiner avseende periodisk granskning av användare Anstånd med svaret har erhållits av revisorernas ordförande Eva Enskär till början av mars för att Utbildningsnämnden ska kunna behandla ärendet på sitt sammanträde i februari 2014. Bakgrund Den kommunala revisionen granskar på fullmäktiges uppdrag om kommunens verksamhet sköts på ett ändamålsenligt och från ekonomisk synpunkt tillfredställande sätt, om räkenskaperna är rättvisande och om den interna kontrollen som görs inom nämnderna är tillräcklig. Knivsta kommuns revisorer har efterfrågat ett yttrande från Utbildningsnämnden avseende de iakttagelser de PwC presenterat i sin IT-revision, juni 2013. Kommunkontoret Postadress: 741 75 Knivsta Besöksadress: Knivsta kommunhus, Centralvägen 18 Telefon: 018-34 70 00 Fax: 018-38 07 12 E-post: knivsta@knivsta.se www.knivsta.se

I det följande kommenteras de punkter som Knivsta kommuns revisorer bedömt vara relevanta för Utbildningsnämnden. 1. Förvaltningsmodellen ITM5 är inte implementerad fullt ut Ett arbete med att implementera Knivsta kommuns förvaltningsmodell pågår för närvarande under ledning av Knivsta kommuns verksamhetsutvecklare. Arbetet har hög prioritet och Utbildningsnämnden kommer att utföra en genomlysning av behovet av personella resurser för att en implementering skall kunna vara genomförd senast 2015. 2. Avsaknad av enhetliga rutiner i processen för avslut av användare Utbildningsnämnden delar uppfattningen om vikten av att säkerställa efterlevnaden av den befintliga processen för detta område. Utbildningsnämnden kommer under första halvåret 2014 att analysera bristens underliggande orsak och säkerställa att den befintliga processen är korrekt utformad, samt att en uppföljning genomförs årligen. Arbetet kommer att genomföras i samverkan med IT-enheten. 3. Avsaknad av formella rutiner avseende periodisk granskning av användare Med anledning av ovanstående iakttagelse kommer Utbildningsnämnden under 2014, i samverkan med IT-enheten, att införa rutiner för en årlig granskning av användarbehörigheterna inom nämndens ansvarsområde. Ett tydligt ansvar för denna granskning kommer att definieras och resultaten av genomförda granskningar kommer att arkiveras av spårbarhetsskäl. Rutinen för granskningen kommer primärt att inriktas mot användningen av finansiellt kritiska applikationer. Utbildningsnämnden kommer att samordna denna periodiska granskning med uppföljningen enligt punkt 2 ovan. Bengt Casterud T.f. Utbildningschef Bilaga: Revisionsrapport, Granskning av IT-säkerhet, daterad 2013-11-19 Kommunkontoret Postadress: 741 75 Knivsta Besöksadress: Knivsta kommunhus, Centralvägen 18 Telefon: 018-34 70 00 Fax: 018-38 07 12 E-post: knivsta@knivsta.se www.knivsta.se

IT-revision 2013 12 juni 2013*

1. Granskningens omfattning I samband med revisionen av de finansiella räkenskaperna för Knivsta kommun har PwC genomfört en granskning av IT-miljön och system vilka bedöms påverka den finansiella rapporteringen. Uppdraget har under maj 2013 genomförts av Fredrik Dreimanis (PwC) under ledning av Magnus Olson-Sjölander (PwC). Rapporten är skriven i avvikelseform, vilket innebär att den endast redovisar de områden där vi identifierat förbättringspotential. Rekommendation för åtgärd presenteras för respektive observation. Granskningen har utförts som en del av vår revisionsstrategi, vilket innebär att våra observationer inte kan förväntas inkludera alla möjliga förbättringar i den interna kontrollen. Vårt arbete har berört de områden vilka redovisas i tabellen intill. Granskningen har syftat till att skapa förståelse för hur IT påverkar verksamheten nom Knivsta kommun. Granskningen har genomförts genom intervjuer med nyckelpersoner på Knivsta kommuns ITavdelning i Knivsta med fokus på områdena i högertabellen. För mer information gällande intervjuade personer se Bilaga A - Intervjuade personer. I samband med revisionen har även föregående revisionsrapport avseende IT beaktats, dock har ingen explicit uppföljning av noterade observationer genomförts. För mer information se avseende dessa observationer se Bilaga B Observationer från föregående granskningar. Förvaltning av ITverksamheten (ITV) Programförändring (PF) - Styrande dokument finns upprättade avseende förvaltning och hantering av IT, - Riskanalyser kopplade till IT och verksamheten finns upprättade, - En tydlig IT-organisation finns definierad, - Tydliga kommunikationsvägar för IT-relaterade frågor i organisationen finns definierat, - Systemsamband för kritiska system finns upprättat, - Projekt vilka påverkar IT finns definierade och är formellt hanterade. - Process och kontroller finns på plats avseende fullständig och riktig hantering av förändringar till kritiska applikationer, vilket inkluderar: - Initiering av förändring, - Test av förändring, - Formellt godkännande av förändringen. Åtkomstkontroll (ÅK) - Process och rutiner finns på plats avseende fullständig och riktig hantering av behörigheter till kritiska applikationer, vilket inkluderar: - Tilldelning, förändring och borttag, - Periodisk granskning av behörigheter, - Hantering av höga behörigheter - Loggning av aktivitet och förändring till kritiska data. Datordrift (DD) - Kontroll att vitala batch jobb genomförs fullständigt och riktigt - Backup av finansiellt kritisk data genomförs fullständigt och riktigt 1

Innehållsförteckning Innehållsförteckning 1. Granskningens omfattning... 1 2. Sammanfattning... 3 3. Observationer, rekommendationer och kommunens kommentar... 4 Bilaga A Intervjuade personer Bilaga B Observationer från föregående granskningar Bilaga C Generella IT-kontroller för god intern kontroll inom IT Rapportstruktur Vi har graderat de observationer som diskuteras i denna rapport efter dessas bedömda väsentlighet. Graderingen illustreras med hjälp av trafiksignaler. Även om graderingen ofrånkomligen är subjektiv och innehåller inslag av bedömningar och ställningstaganden kan definitionerna nedan vara vägledande. Rött ljus åsätts en brist med så stor påverkan på system, processer eller intern kontroll att det kan medföra att Knivsta kommun exponeras för betydande förluster, ineffektivitet eller väsentliga fel i den finansiella rapporteringen. Gult ljus åsätts en brist med påverkan på system, processer eller intern kontroll som kan medföra att Knivsta kommun exponeras för förluster, ineffektivitet eller ett betydande fel i den finansiella rapporteringen. Grönt ljus åsätts mindre brister eller fel där risken för otillbörlig användning och/eller felaktigheter i bokföringen är lägre, men där det ändå bedöms finnas utrymme för förbättringar. Rapporten har upprättats för Knivstas kommunledning och dess närstående och får inte hänvisas till eller distribueras till andra. 2

2. Sammanfattning Sammanfattning avseende IT-revisionen 2013 I samband med IT-revisonen för Knivsta kommun noterades väsentliga framsteg jämfört med den information PwC har tagit del av från tidigare revisoner. I första hand noterades att IT-funktionen idag är mer integrerad med verksamheten, dvs. fungerar som en stöd funktion i syfte att underlätta för verksamheten att leverera värde till medborgarna i kommunen. ITfunktionen bedrivs som en beställarorganisation med ett antal nyckelleverantörer. Vidare noterades att Knivsta kommun har tagit ett grepp gällande dokumentation och struktur där det idag finns underlag och instruktioner avseende exempelvis: Rutinbeskrivningar för roller (ex. systemägare, systemadministratör etc.), Beskrivningar avseende behörighetshantering, Beskrivning avseende förändringshantering, Systemkarta, IT-strategi, E-strategi, IT-policy. Det noterades även att Knivsta kommun bedriver arbete avseende informations- och IT-säkerhet där bland annat riskanalyser har upprättats för verksamheten i syfte att identifiera risker sam definiera åtgärder för dessa. Knivsta kommun har även utarbetat en projektmodell vilken säkerställer att IT arbetar proaktivt och i enlighet med verksamhetens mål avseende IT. Sammanfattningsvis bedömer PwC att Knivsta kommun har en definierad organisation avseende IT, givet kommunens storlek, med tydliga kopplingar och kommunikationsvägar till organisationen. Vidare bedöms det finnas grundläggande förutsättningar för att uppnå god intern kontroll avseende förvaltning och vidareutveckling av IT. intern kontroll definieras (se förslag enligt Bilaga C Generella ITkontroller för god intern kontroll inom IT ). Sammanfattning av årets observationer Vår observation från granskningen sammanfattas i nedan tabell ( Observationer 2013 ). Varje observation är graderade efter trafikljusmodellen beskriven tidigare i rapporten. Även om graderingen ofrånkomligen är subjektiv och innehåller inslag av bedömningar och ställningstaganden kan definitionerna nedan vara vägledande. Referensnumret i denna tabell hänvisar till numrering i kapitlet 3 Observationer, rekommendationer och bolagets kommentar, där en detaljerad beskrivning återfinns för varje observationen med relaterad risk och den rekommendation vi bedömer rimlig för att begränsa risken. Observationer 2013 Ref. Observation Prioritet 1. Förvaltningsmodellen ITM5 är inte implementerad fullständigt. 2. Avsaknad av enhetligt i processen för avslut av användare. 3. Avsaknad av formella rutiner avseende periodisk granskning av användare. 4. Stort antal användare med hög behörighet i nätverk. För att ytterligare förstärka den generella interna kontrollen inom IT-området rekommenderar vi att Knivsta kommun inför ett ramverk där miniminivån av 3

3 Observationer, rekommendationer och kommunens kommentar Granskningsområde Gradering Observationer 1. Förvaltning av ITverksamheten (ITV) Förvaltningsmodellen ITM5 är inte implementerad fullständigt. Knivsta kommun har inte implementerat förvaltningsmodellen fullständigt. Vidare noterades att IT-säkerhet inte är en del av modellen. Avsaknad av riktlinjer och instruktioner för IT-verksamheten ökar risken för en förvaltning som inte förenlig med verksamheten. En ineffektiv IT-verksamhet kan påverka den operativa effektiviteten i verksamheten samt få effekter på transaktioner och data vilken påverkar den finansiella informationen. Rekommendation: PwC rekommenderar att Knivsta kommun fortsätter arbetet med att implementera förvaltningsmodellen ITM5 i syfte att säkerställa tydliga och ändamålsenliga IT-processer vilka stödjer verksamheten och IT-strategin. Kommunens kommentar: Arbete pågår och har hög prioritet. 2. Åtkomstkontroll (ÅK) Avsaknad av enhetligt i processen för avslut av användare. Processen avseende avslut av användare efterlevs ej vid alla tillfällen vilket medför att det kan finnas aktiva konton för användare vilka har avslutat sin anställning inom kommunen. Bristande rutin för avslut av konton kan leda till att felaktiga behörigheter finns kvar i systemen. Felaktiga behörigheter kan leda till användare med åtkomst vilka inte är förenliga med deras arbetsuppgifter. Användare med felaktiga behörigheter ökar risken för felaktiga eller bedrägliga transaktioner vilka kan påverka data som är kritisk för den finansiella informationen. Rekommendation: PwC rekommenderar att Knivsta kommun säkerställer efterlevnad avseende rutinen för avslut av konton. Detta i syfte att säkerställa att användare som slutat alternativt ändrat position inom företaget har behörigheter vilken motsvarar deras arbetsuppgifter. Kommunens kommentar: Arbete med att stödja respektive verksamhets kontroll av att rätt behörigheter är aktuella för respektive användare kan hanteras i samband med de respektive boksluten och rapporter om utförd 4

3 Observationer, rekommendationer och kommunens kommentar Granskningsområde Gradering Observationer egenkontroll kan hanteras av IT centralt om uppdrag ges. 3. Åtkomstkontroll (ÅK) Avsaknad av formella rutiner avseende periodisk granskning av användare. Det noterades att ingen formell rutin finns på plats vilken säkerställer att periodisk granskning av användarbehörigheter till kritiska applikationer genomförs. Avsaknad av periodisk granskning ökar risken för användare vilka inte har behörighet i enlighet med sina arbetsuppgifter. Felaktiga behörigheter ökar risken för bedräglig eller otillåtna transaktioner. Bedrägliga eller otillåtna transaktioner kan påverka data vilken är kritisk för den finansiella informationen. Rekommendation: PwC rekommenderar att Knivsta kommun som minimum granskar behörigheter i finansiellt kritiska applikationer en gång per år. Granskningen bör säkerställa att användare endast har behörighet i enlighet med sina arbetsuppgifter. Underlag från granskningen bör arkiveras i syfte att skapa spårbarhet samt stärka den interna kontrollen gällande behörigheter. Kommunens kommentar: Se ovan. 4. Åtkomstkontroll (ÅK) Stort antal användare med hög behörighet i nätverket. Genom granskning noterades att det finns 122 användare med behörigheten Domän Administratör. Baserat på antalet anställda inom IT samt organisationens storlek bedöms antal användare med hög behörighet i operativsystemet som hög samt ej förenlig med god intern kontroll avseende IT. Användare med hög åtkomst till funktioner och transaktioner kan påverka data vilken är kritisk för den finansiella informationen. Hög åtkomst i applikation, databas och infrastruktur bör vara begränsad till användare vilka behöver detta i enlighet med sina arbetsuppgifter. Rekommendation: PwC rekommenderar att Knivsta kommun analyserar behovet av användare med hög behörighet i domänen och begränsar antalet till användare vilka behöver detta i enlighet med sina arbetsuppgifter. 5

3 Observationer, rekommendationer och kommunens kommentar Granskningsområde Gradering Observationer Kommunens kommentar: Arbete med att begränsa antalet användare med hög behörighet pågår och aktualiseras i samband med uppgraderingen av nätverksoperativet på klienterna. Många äldre verksamhetsapplikationer kräver hög behörighet för att fungera prickfritt. 6

Bilaga A Intervjuade personer Följande personer har under januari 2013 intervjuats i samband med IT-revisionen av Knivsta kommun. Kontakt Anders Fredriksson Djamel Bhougaf Rojda Alpsoy Roll Strategisk IT-chef Servicesamordnare Verksamhetsutvecklare 7

Bilaga B Observationer från föregående granskningar Nedan är sammanfattning av de observationer vilka noterats vid tidigare granskningar. PwC har i samband med denna granskning tagit hänsyn till tidigare observationer vid informationsinsamlingen inför granskningen, dessa har dock inte varit del i omfattning vid ovan genomförd granskning. Observationerna är hämtad från rapporten Knivsta kommun - Rapport 2010 - Uppföljning granskning 2008.doc, vilka är upprättad av dåvarande extern revisor (Ernst & Young). Ref Kontroll nr. Kontroll mål Observation 2.1 Organisation av Kontroll 2 informationssäkerheten Finns det en informationssäkerhetssamordnare/ funktion som ansvarar för informationssäkerheten? Informationssäkerhetssamordnare köps på timme i samverkan med Heby kommun. 2.2 Hantering av tillgångar Kontroll 8 Är organisationens information klassad avseende sekretess/ riktighet/tillgänglighet? Processen pågår. 2.2 Hantering av tillgångar Kontroll 11 Finns det upprättat dokument för hur informationsbehandlingsresurser får användas? Omarbetas i samband med driftsleverantörsbytet. 2.3 Personalresurser och säkerhet Kontroll 14 Har systemägaren definierat vilka krav som ställs på användare som får tillgång till informationssystem och information? Nej, det är respektive systemförvaltare som skall ställa dessa krav. 2.3 Personalresurser och säkerhet Kontroll 17 Finns det användarmanual för ett informationssystem att tillgå? Delvis, framtaget lathundar och manualer. Varierande i verksamheten. Ingår i systemansvarsrollen. 2.3 Personalresurser och säkerhet Kontroll 18 Dras åtkomsträtten till information och informationsbehandlingsresurser in vid avslutande av anställning eller vid förflyttning? Delvis, finns rutin för avslut av anställda som inte alltid efterlevs. ITstrateg går igenom AD en gång i kvartalet. Användarkonton stängs om de inte har använts på tre månader. Fungerar inte alltid och kontrollen bör stärkas. 8

Bilaga B Observationer från föregående granskningar Ref Kontroll nr. Kontroll mål Observation 2.4 Fysisk och miljörelaterad säkerhet Kontroll 19 Finns funktioner för att förhindra obehörigt fysiskt tillträde till organisationens lokaler och information? Systemet för inpassering har uppdaterats och största hålen täckta. 2.4 Fysisk och miljörelaterad säkerhet Kontroll 24 Är korskopplingsskåp låsta? Åtgärdat. 2.5 Styrning av kommunikation och drift Kontroll 42 Är det möjligt att logga säkerhetsrelevanta händelser? Delvis, hanteras av Systeam vad gäller loggning i brandväggen och där IT-samordnaren tar emot avvikelser. Loggar även i AD som sparas i en månad rullande, tittar på detta ad hoc. Brandväggslogg sparas i tre månader. Skall även ske loggning på verksamhetssystemen med systemansvariga som gör detta. 2.5 Styrning av kommunikation och drift 2.5 Styrning av kommunikation och Kontroll 48 Kontroll 49 Finns olika typer av autentiseringsmetoder med olika grad av skydd? Sparas revisionsloggar för säkerhetsrelevanta händelser? drift 2.6 Styrning av åtkomst Kontroll 50 Har organisationen satt upp dokumenterade regler för åtkomst/tillträde för tredjeparts åtkomst till information eller informationssystem? 2.6 Styrning av åtkomst Kontroll 53 Begränsas samtliga administratörers rättigheter till en behörighet som motsvarar arbetsuppgifterna eller tilldelas de fullständiga systembehörigheter? SITHS-kort under införande för medicinska journaler och inloggning mot apotekens e-dostjänst. Delvis, se kontroll 42. Personal från driftsleverantör har avtal och tystnadsförbindelse. Vad gäller tredjepartsleverantörer är det nog tyvärr mer flytande. Delvis, driftsleverantören skall inte ha några behörigheter i verksamhetssystemen. I AD:et har driftsleverantören ett antal personliga domainadminkonton för driften. IT-samordnaren har behörigheten Enterprise administrator. 2.6 Styrning av åtkomst Kontroll 54 Har organisationen en dokumenterad rutin för tilldelning, förändring eller borttag av behörighet? Är de kommunicerade till ansvarig för behörigheter? Instruktion för förvaltning är kommunicerad i samband med utbildning i "Chefskörkortet". Chef har sedan ansvar att sprida det till berörd personal. 9

Bilaga B Observationer från föregående granskningar Ref Kontroll nr. Kontroll mål Observation 2.6 Styrning av åtkomst Kontroll 61 Finns en dokumenterad brandväggspolicy där det beskrivs vilka tjänster brandväggen skall tillhandahålla? Är under utarbetande i samverkan med Informationssäkerhetssamordnare. 2.7 Anskaffning, utveckling och underhåll av informationssystem Kontroll 67 Har systemsäkerhetsanalys upprättats och dokumenterats för varje informationssystem som bedöms som viktigt? Under arbete: ett flertal äldre system är avslutade och dokumentation påbörjad. 2.7 Anskaffning, utveckling och underhåll av informationssystem Kontroll 71 Finns det dokumenterade regler för hur systemoch programförändringar ska genomföras? Finns i IT-säkerhetsinstruktion Förvaltning, projekthandbok beslutad av ledningsgrupp 10

Bilaga C Generella IT-kontroller för god intern kontroll inom IT Ref Subprocess Kontroll mål Beskrivning av IT-kontroll 1 Programutveckling 2 Programutveckling 3 Programutveckling 4 Programutveckling Alla nödvändiga moment inom programutveckling är formellt definierade. Data från gamla system konverteras fullständigt och korrekt, utan obehöriga förändringar. Åtkomst är begränsad och enbart behöriga personer har åtkomst att förändra program och data i produktionsmiljön. All utveckling godkänns av ansvarig chef innan produktionssättning. Ledningen har etablerat en process för systemutveckling som innefattar krav på utvecklingsprojekt. Då datamigrering krävs ska migreringen granskas och godkännas av ansvarig chef inom affärsverksamheten. Utvecklare, eller annan person med åtkomst att förändra källkod eller konfigurationsfiler före implementation, ska inte ha åtkomst till produktionsmiljön. Ansvarig chef granskar och godkänner alla förändringsärenden innan utvecklingsprojektet produktionssätts. 5 Programförändringar Alla nödvändiga moment inom programförändring är formellt definierade. Ledningen har en dokumenterad programförändringsprocess. Alla programförändringar som ska genomföras är dokumenterade. 6 Programförändringar 7 Programförändringar Alla förändringar är dokumenterade samt testade och godkända av verksamhetssidan. Alla förändringar är godkända av ansvarig chef innan produktionssättning. För alla programförändringar ska testresultat granskas och godkännas av ansvarig chef inom affärsverksamheten. Ansvarig chef granskar och godkänner alla förändringsärenden innan förändringen produktionssätts. 8 Programförändringar Åtkomst är begränsad och enbart behöriga personer har åtkomst att förändra program och data i produktionsmiljön. Utvecklare, eller annan person med åtkomst att förändra källkod eller konfigurationsfiler före implementation, ska inte ha åtkomst till produktionsmiljön. 11

Bilaga C Generella IT-kontroller för god intern kontroll inom IT Ref Subprocess Kontroll mål Beskrivning av IT-kontroll 9 Åtkomst till program och data Relaterade policies och rutiner ska vara designade och implementerade för att stödja den finansiella verksamhetens krav på riktighet. Säkerhetspolicies och rutinbeskrivningar är definierade och dokumenterade. 10 Åtkomst till program och data Åtkomst till applikationer, data och operativsystem är tillbörligt begränsad till enbart auktoriserade personer vars behörigheter stämmer överens med deras arbetsuppgifter. Begäran om ny användarbehörighet, eller förändring av existerande användarbehörighet, granskas och godkänns av ansvarig chef. 11 Åtkomst till program och data Åtkomst till applikationer, data och operativsystem är tillbörligt begränsad till enbart auktoriserade personer vars behörigheter stämmer överens med deras arbetsuppgifter. Ansvarig chef genomför en periodisk granskning av användarbehörigheter i signifikanta applikationer, databaser och operativsystem för att avgöra om bara aktiva anställda har åtkomst till systemen och att användarbehörigheter stämmer överens med arbetsuppgifter. 12 Åtkomst till program och data Säkerhetskonfigurationer är inställda i enlighet med definierade standarder och granskas regelbundet för att säkerställa efterlevnad. Periodiska granskningar av säkerhetskonfigurationer genomförs för att säkerställa att inga obehöriga ändringar har gjorts. Förändringar av konfigurationer ska följa programförändringsprocessen. 13 Åtkomst till program och data Systemanvändare med höga behörigheter övervakas avseende obehöriga aktiviteter. Ansvarig chef genomför en periodisk granskning av de aktiviteter som utförs av användare med höga behörigheter (t.ex. systemadministratörer i applikationer och databasadministratörer) för att säkerställa att inga obehöriga aktiviteter har utförts. 14 IT-drift Schemalagda jobb övervakas avseende fullständigt slutförande. Ansvarig chef övervakar att schemalagda jobb slutförs fullständigt. Om ofullständiga avslut på schemalagda jobb upptäcks ska dessa undersökas och alla fel hanteras. 12

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss