Rapport: IT-Revision 2014 Genomförd på uppdrag av revisorerna Mars 2014. Kungsbacka Kommun. Rapport: IT-revision 2014-03-17

Rapport: IT-Revision 2014 Genomförd på uppdrag av revisorerna Mars 2014 Kungsbacka Kommun Rapport: IT-revision 2014-03-17

Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Kungsbacka kommun har EY genomfört en IT-revision i kommunen. IT-revisionens syfte har varit att granska och bedöma informationssäkerheten på en övergripande nivå. Granskningen har genomförts mot Myndigheten för samhällsskydd och beredskaps (MSB) ramverk för informationssäkerhet, BITS. För tre system som valts av de förtroendevalda revisorerna har kontroller i BITS avseende behörigheter, programändringar och IT-drift verifierats via stickprovsbaserad testning. Övergripande slutsatser Vår bedömning är att kommunen har drivit informationssäkerhetsarbetet framåt sedan den granskning EY genomförde av informationssäkerheten under 2010. Vi ser dock att kommunen fortfarande saknar styrande dokument som IT-policy och informationssäkerhetspolicy. Vi har samtidigt noterat att arbete med att ta fram en ny informationssäkerhetspolicy samt rutiner och användarsinstruktioner kring informationssäkerhet pågår och beräknas vara avslutat under 2014. Det pågår även ett arbete med att utifrån verksamhetsmål ta fram en IT-strategi och IT-policy för kommunen vilket beräknas vara klart innan sommaren 2014. Då vi i denna granskning har verifierat ett urval av kontrollerna i granskningsprogrammet via stickprovsbaserad testning har vi i större utsträckning än vid granskningen 2010 identifierat avsteg från inom kommunen gällande rutiner. Vi har exempelvis noterat att kommunen kan förbättra efterlevnaden av rutinen för borttag av behörigheter i system samt skapa en rutin för periodisk genomgång av behörigheter på kommunnivå. Vi rekommenderar även kommunen att tydliggöra roller och ansvar för informationssäkerhet. Därtill rekommenderar vi kommunen att ta fram kontinuitetsplan för IT-verksamheten. Av samtliga granskningspunkter i granskningsprotokollet i avsnitt 2.3 är fördelningen av bedömningarna följande: Kontrollen finns ej/fungerar ej tillfredsställande: 31 % Kontrollen finns och fungerar delvis: 21 % Kontrollen finns och fungerar tillfredsställande: 47 % Ej tillämplig, kontrollen behövs ej av särskilda skäl: 1 % i

Iakttagelser Följande iakttagelser anser EY vara de mest väsentliga att åtgärda. En fullständig lista över iakttagelser, riskbedömningar och rekommendationer finns i kapitel 3.3. 1. Roller och ansvar för informationssäkerhet är inte fastställda och tydliggjorda i arbetsbeskrivningar. 2. Kommunen har inte färdigställt och fastslagit relevanta styrande dokument inom informationssäkerhetsområdet. 3. Avsaknad av periodisk behörighetsgranskning. 4. Ansvar för informationssäkerhet har inte reglerats i avtal mot tredje part. 5. Kommunen har ingen dokumenterad kontinuitetsplan för IT-verksamheten. ii

Innehållsförteckning 1. Bakgrund... 1 1.1. Syfte... 1 1.2. Revisionskriterier... 1 1.3. Metod... 1 1.4. Avgränsningar... 2 2. Iakttagelser... 3 2.1. IT-organisation... 3 2.1.1. Aktuella förändringar... 4 2.2. IT-system... 5 2.2.1.... 5 2.2.2.... 5 2.2.3.... 6 2.3. Granskningsprotokoll... 7 3. Slutsatser och rekommendationer...19 3.1. Generella slutsatser...19 3.2. Uppföljning av tidigare delgivna rekommendationer...20 3.3. Rekommendationer...22 3.4. Övriga rekommendationer...29 Bilaga 1 Detaljerat granskningsprotokoll...30 Bilaga 2 Granskade dokument...37 Kommungemensamma dokument...37 Dokument avseende...38 Dokument avseende...38 Dokument avseende...38 iii

1. Bakgrund 1.1. Syfte Idag bedrivs så gott som all verksamhet i en kommun med någon form av datoriserat stöd. Stödet har med tiden utvecklat sig till att bli en förutsättning för att kunna bedriva verksamhet. För att uppnå målen för kommunens verksamheter krävs att informationen i verksamhetsstödet är tillgänglig, riktig, spårbar samt i tillämpliga fall konfidentiell. På uppdrag av de förtroendevalda revisorerna i Kungsbacka kommun har EY genomfört en IT-revision i kommunen. IT-revisionens syfte har varit att granska och bedöma informationssäkerheten i kommunen på en övergripande nivå. Syftet med granskningen har också varit att jämföra kommunens nuvarande arbete inom informationssäkerhet mot BITS, Myndigheten för samhällsskydd och beredskaps ramverk för informationssäkerhet. BITS står för Basnivå för informationssäkerhet och har sitt ursprung i den internationella informationssäkerhetsstandarden ISO/IEC 27000. Därtill har syftet varit att utvärdera kontroller i BITS avseende behörigheter, programändringar och IT-drift för tre system som valts av de förtroendevalda revisorerna. De valda systemen är ekonomisystemet, e-handelssystemet samt applikationen för läsplattor. 1.2. Revisionskriterier Granskningen är genomförd mot så kallad god praxis inom informationssäkerhetsområdet. Granskningen har genomförts mot Myndigheten för samhällsskydd och beredskaps ramverk BITS, som är ett etablerat ramverk i ett stort antal kommuner och inom offentlig förvaltning. Ramverket bygger på den svenska och internationella standarden för informationssäkerhet, ISO/IEC 27000. 1.3. Metod Baserat på erfarenheter från tidigare kommunrevisioner har EY valt ut ett antal relevanta kontroller från BITS, fördelat på elva huvudområden: 1. Säkerhetspolicy 2. Organisation av säkerheten 3. Hantering av tillgångar 4. Personalresurser och säkerhet 5. Fysisk och miljörelaterad säkerhet 6. Styrning och kommunikation av drift 7. Styrning av åtkomst 8. Anskaffning, utveckling och underhåll av informationssystem 9. Hantering av informationssäkerhetsincidenter 10. Kontinuitetsplanering i verksamheten 11. Efterlevnad 1

För de tre utvalda systemen har kontroller i granskningsprogrammet, som avser behörigheter, programändringar och IT-drift verifierats med stickprovsbaserad testning. Rapporten redovisar i vilken grad kommunen uppfyller valda rekommendationer ur BITS. Resultatet är en sammanvägd bedömning som baseras på information som lämnats vid intervjuerna samt genom granskning av erhållen dokumentation och genomförd stickprovstestning. Den sammanvägda bedömningen av svaren på kontrollerna har bedömts enligt följande skala: E/T Kontrollen finns ej/eller fungerar ej tillfredsställande. Kontrollen finns och fungerar delvis. Kontrollen finns och fungerar tillfredsställande. Ej tillämplig, kontrollen behövs ej av särskilda skäl. Rapporten baseras på intervjuer med följande personer: Chef IT-drift IT-ekonomer, Systemansvarig Systemansvariga Systemansvarig IT-strateg IT-arkitekter Systemtekniker, databaser Systemtekniker, applikationer Säkerhetsansvarig IT För en fullständig lista över granskade dokument, se Bilaga 2. Arbetet har genomförts av Carl Öhrman och Sara Bergenheim under januari och februari 2014 och kvalitetssäkrats av Tobias Hermansson. Våra iakttagelser och rekommendationer har stämts av med granskningens respondenter. 1.4. Avgränsningar Iakttagelser och analyser baseras enbart på information som har inhämtats vid intervjuer, förelagd dokumentation samt stickprovsbaserad testning. Det kan därmed finnas brister i kommunens hantering av IT och informationssäkerhet som vi inte har identifierat. Granskningen avser för systemspecifika frågor: : Kommunens ekonomisystem : Kommunens e-handelssystem : En applikation som används av bland annat kommunens förtroendevalda för att läsa nämnddokument på läsplattor som de behöver ha tillgång till för sitt uppdrag 2

2. Iakttagelser 2.1. IT-organisation Serviceområde IT i Kungsbacka kommun består i dagsläget av omkring 50 anställda. Verksamheten är indelad i två enheter samt IT-administration: IT-Support Enheten för IT-support består av 22 anställda och innefattar helpdesk och tekniker. GV-tekniker är uthyrda till tre olika skolor där de är tilldelade arbetsuppgifter av skolledningen medan fältsupport består av tekniker som besöker verksamhetsområden på plats. IT-support innefattar även telefoni samt förvaltning och utveckling av tjänsten Dator som Tjänst. Inom IT-support finns ett område som går under namnet Service Direkt. Service Direkt hjälper användarna med ITrelaterad support. Kommunen har även en funktion dit användare kan vända sig för att få hjälp. Denna funktion ligger under Service Direkt och heter Support och Felanmälan. IT-Drift Enheten består av 17 anställda som har ansvar för IT-infrastruktur och system som driftas av Serviceområde IT. Området som benämns som Release arbetar med bland annat förändringshantering av system som driftas av Serviceområde IT samt nyetablering av IT-infrastruktur i fastigheter och underhåll av nätverk. Det område som benämns som 3rdline ansvarar för supportärenden som eskalerats från användarsupporten och som inte har någon tydlig hemvist inom Serviceområde IT. Området Infrastructure har hand om nätverk medan Operations ansvarar för drift av system och serverrum. IT-Administration Inom gruppen för IT-administration arbetar sex anställda. Gruppen består av ITarkitekt, IT-säkerhetsansvarig, projektledare och ansvarig för uppföljning av interna leveranser. IT-arkitekten har ansvar för införande av ny IT-infrastruktur medan en person följer upp leveranser till Serviceområde ITs interna kunder. ITsäkerhetsansvarig har ansvar för driftssäkerhetsfrågor. Projektledare inom ITadministration arbetar med IT-relaterade projekt på uppdrag av exempelvis kommunledningen. 3

I kommunen finns ca 7 000 anställda som använder kommunens IT-system och utöver detta finns ca 12 000 elever i kommunen som kommer i kontakt med IT-systemen varje dag. 2.1.1. Aktuella förändringar Kommunen arbetar för tillfället med ett antal större IT-relaterade projekt. Vid granskningstillfället arbetade kommunen bland annat med att lägga över delar av ITsupporten till en extern part. Detta projekt var under granskningstillfället i avslutningsskedet. Kommunen har under året även avvecklat domänkatalogen för skolan som istället skall flyttats in i den kommungemensamma domänkatalogen. Ett större pågående projekt inom kommunen är även att införa ett nytt utskriftssystem där användare måste verifiera sig vid skrivarna när de hämtar sina utskrifter. Utöver dessa projekt har kommunen under 2013 bland annat bytt e-postsystem samt avslutat ett serveruppdateringsprojekt. Vid granskningstillfället hade kommunen ingen övergripande IT-strategi eller IT-policy. Det finns däremot andra dokument som bryter ner verksamhetsmål till initiativ och krav på IT. Ett sådant dokument är Handlingsplan för IT-miljön inom det kommunövergripande utvecklingsarbetet Kungsbacka 2020. Planen sträcker sig fram till december 2015 och beskriver ett antal projekt för att realisera kommunens målbild gällande bland annat e- tjänster. Den gällande policy som närmast beskriver avsikter för informationssäkerhet är ITsäkerhetspolicyn daterad 1999-06-09. Kommunen genomför flera olika initiativ för att färdigställa bland annat policy, rutiner och instruktioner kring informationssäkerhet. En ny informationssäkerhetspolicy som är under arbete beräknas bli antagen av kommundirektionen i mars 2014. Denna policy skall ersätta den nu gällande IT-säkerhetspolicyn från 1999. Parallellt med detta pågår ett arbete med att 4

ta fram riktlinjer och instruktioner gällande informationssäkerhet för medarbetare inom kommunen. Inom kommunen har man genomfört ett arbete med att ta fram en målbild för vart kommunen ska befinna sig år 2020 gällande digitalisering och möjlighet till e-förvaltning. Målbilden godkänndes i februari 2014. En arbetsgrupp bestående av bland annat IT-chef och IT-strateg planerar att ta fram en handlingsplan för tiden fram till 2020 över vad som behöver genomföra inom IT för att realisera målbilden. Parallellt med detta pågår ett arbete att ta fram en IT-strategi och IT-policy för kommunen, vilket beräknas vara klart innan sommaren 2014. Samtidigt pågår ett antal övriga initiativ med att uppdatera och konkretisera hur bland annat krav på informationssäkerhet skall hanteras i interna och externa avtal inom Serviceområde IT. Det pågår även initiativ med att förtydliga processen för incidents- och kontinuitetsplanering avseende IT. 2.2. IT-system Kommunen har totalt ca 90 verksamhetssystem. Nedan följer beskrivningar av de tre system som inkluderats i granskningen. 2.2.1. är kommunens ekonomisystem. Systemet har ca 1000 användare då all personal med någon form av budgetansvar behöver ha behörighet i systemet. Omkring 100 av användarna har registreringsbehörighet som kräver att användaren genomgår en utbildning. Systemansvariga för hör till ekonomiavdelningen. levereras av CGI/Logica och driftas av Serviceområde IT. Det är leverantören som står för samtliga program- och systemutvecklingar och som genomför uppdateringar i samarbete med Serviceområde IT. Systemet levereras i standardutförande utan kommunspecifika anpassningar. Sedan 2010 då beslut togs att modernisera har systemet hanterats i projektform. Projektet beräknas att vara färdigt i april 2014. Vid granskningstillfället pågick ett arbete inom systemförvaltargruppen för att konkretisera den kommungemensamma systemförvaltarmodellen som togs fram under 2012. Vid granskningstillfället fanns därmed de roller som beskrivs i systemförvaltarmodellen inte formellt utsedda för. 2.2.2. är kommunens e-handelssystem. Systemet används för beställning av varor samt för attestering av beställning, leveransmottagning och attestering av faktura. E-handelssystemet används av de anställda inom kommunen som i sin roll behöver beställa varor eller attestera andras beställningar. Systemet köps som en tjänst och levereras av som också står för all utveckling och underhåll. Systemet levereras i standardutförande och Kungsbacka kommun har inte möjlighet att på egen hand förändra eller utveckla systemet. 5

2.2.3. är en applikation för läsplattor. Läsplattan och applikationen används bland annat av de förtroendevalda för att komma åt dokument i deras uppdrag inom kommunens nämnder. De anslutna nämnderna har sitt eget arbetsrum på kommunens intranät Insidan där dokument och protokoll i samband med nämndens sammanträden finns tillgängliga. Inför varje nämndsammanträde laddar nämndsekreteraren upp aktuella dokument från nämndens mapp på kommunens gemensamma lagringsyta. Kungsbacka kommun har ingen möjlighet att styra över applikationens systemutveckling då applikationen köps i standardutförande. Applikationen utvecklas av Good.iWare och laddas ned av de förtroendevalda via läsplattans marknadsplats för applikationer. Applikationen är endast tänkt att användas i en övergångsfas innan kommunen har implementerat ett nytt kommunövergripande dokument- och ärendehanteringssystem. 6

2.3. Granskningsprotokoll Granskningspunkt Kommentar Utvärdering 1 Säkerhetspolicy 1.1 Har kommunen en informations-/itsäkerhetspolicy? 2 Organisation av säkerheten 2.1 Finns det en informationssäkerhetssamordnare/- funktion för informationssäkerhet? 2.2 Har ledningen utsett systemägare för samtliga informationssystem? 2.3 Har organisationen utsett systemansvariga? 2.4 Finns det en samordningsfunktion för att länka samman den operativa verksamheten för informationssäkerhet och ledningen? 2.5 Har ansvaret för informationssäkerheten reglerats i avtal för informationsbehandling som lagts ut på en utomstående organisation? 3 Hantering av tillgångar 3.1 Är organisationens information klassad avseende sekretess/riktighet/tillgänglighet? 3.2 Har samtliga informationssystem identifierats och dokumenterats i en aktuell systemförteckning? Informationssäkerhetspolicy är vid granskningstillfället kommunicerad till kommunstyrelsens arbetsutskott samt kommundirektionen men ännu inte godkänd. Arbetet beräknas vara klart under mars/april 2014. Policyn kommer att ersätta den IT-säkerhetspolicy som gällt sedan 1999., inom kommunen finns en säkerhetsstrateg som arbetar med säkerhetsfrågor som rör hela kommunen. Därtill finns en IT-strateg som bland annat har ansvar för att driva processen kring informationssäkerhet. Dessa båda personer delar på det strategiska ansvaret för informationssäkerhetsarbetet. I dagsläget finns inga framtagna arbetsbeskrivningar för dessa båda roller. I utkastet till riktlinjer för informationssäkerhet tydliggörs däremot ansvar för informationssäkerhet för olika roller, såsom för kommundirektör, kommunledningsgrupp, chefer och utsedd tjänsteman, inom kommunen. Denna riktlinje är dock ännu inte antagen., kommunen har utsett systemägare för samtliga verksamhetssystem men inte för lagringsytor. Rollbeskrivning för systemägare finns i Systemförvaltarmodellen daterad 2012-04-27., kommunen har utsett systemansvariga för samtliga verksamhetssystem men inte för lagringsytor. Rollbeskrivning för systemansvarig finns i Systemförvaltarmodellen daterad 2012-04-27., i dagsläget finns enbart en informell samarbetsfunktion mellan IT-strateg, IT-säkerhetsstrateg och IT-chef., kommunen bedriver dock ett arbete med att reglera ansvar för informationssäkerhet i avtal. Under granskningen pågick ett arbete med att utveckla detta för en tjänsteleverantör., ingen formell klassificering av kommunens information finns. Vi har dock noterat att det i utkastet till Informationssäkerhetsinstruktion för användare finns ett avsnitt som beskriver klassificering och hantering av olika typer av information., det finns ingen formell klassificering av informationen i systemet avseende sekretess, riktighet och tillgänglighet., systemet driftas av extern part. Krav på informationens tillgänglighet och riktighet har specificerats i avtalet., kommunen har fattat ett informellt beslut att sekretessbelagd information inte skall hanteras i., samtliga informationssystem har identifierats och dokumenterats på kommunens intranät. 7

3.3 Finns det en ansvarsfördelning för organisationens samtliga informationstillgångar? 3.4 Finns det upprättat dokument för hur informationsbehandlingsresurser får användas? 4 Personresurser och säkerhet 4.1 Får inhyrd/inlånad personal information om vilka säkerhetskrav och instruktioner som gäller? 4.2 Har systemägaren definierat vilka krav som ställs på användare som får tillgång till informationssystem och information? 4.3 Finns det framtagna dokumenterade säkerhetsinstruktioner för användare? 4.4 Genomförs utbildningsinsatser inom informationssäkerhet regelbundet?, ansvarsområde för informationstillgångar framgår i Systemförvaltarmodellen daterad 2012-04-27., inga centrala dokument finns framtagna. Ansvaret är decentraliserat till respektive systemägare och systemförvaltare. Dokumentet Informationssäkerhetsinstruktion för användare innehåller dock ett avsnitt kring hur informationsbehandlingsresurser får användas av användare., i dagsläget finns ingen kommungemensam information till varken nyanställda eller inhyrd personal kring vilka säkerhetskrav och instruktioner som gäller inom kommunen. I utkastet till Informationssäkerhetsinstruktion för användare beskrivs dock vilka säkerhetskrav och instruktioner som gäller för användare., extrapersonal som använder ekonomisystemet får skriva på ett sekretessavtal., inhyrd personal måste genomföra samma utbildning som alla andra användare för att få tillgång till systemet. I denna utbildning ingår dock inga instruktioner avseende säkerhetskrav. Ej tillämplig då applikationen inte används av inhyrd personal. Varje användare måste skriva under kvittens innan de mottar läsplattan. Genom att skriva under denna kvittens gör sig användaren ansvarig att följa inom området tillämpliga policyer. I dagsläget finns dock inga tillämpliga policyer för användare att följa. På en kommunövergripande nivå är det upp till varje förvaltning att definiera vilka krav som skall ställas på användare som får tillgång till informationssystem och information., men detta är inte dokumenterat. För att få behörighet att registrera bl.a. kundfakturaunderlag och bokföringstransaktioner kräver systemägare (ekonomichef) att användaren medverkar på en halvdags utbildning. Utbildningen rör bland annat hantering av fakturor, bokföringsordrar och attester i systemet., för att få behörighet i systemet kräver systemägaren att användaren skall delta vid ett utbildningstillfälle. Utbildningen rör bland annat vad e-handel är samt hur beställningar görs i systemet., samtliga användare skriver under en ansvarsförbindelse i samband med att användaren mottar sin läsplatta. Därefter får användaren en kortare, informell utbildning i hur läsplattan och applikationen fungerar., inga kommungemensamma säkerhetsinstruktioner har kommunicerats ut till användare. Serviceområde IT har påbörjat en översyn av ett dokument, Användarinstruktion Datorer och Nätverk, som tidigare kommunicerades ut till användare. Säkerhetsinstruktioner för användare finns beskrivna i utkastet till Informationssäkerhetsinstruktion för användare.. 8

4.5 Finns det användarhandledning för ett informationssystem att tillgå? 4.6 Dras åtkomsträtten till information och informationsbehandlingsresurser in vid avslutande av anställning eller vid förflyttning? 5 Fysisk och miljörelaterad säkerhet 5.1 Finns funktioner för att förhindra obehörig fysisk tillträde till organisationens lokaler och information? 5.2 Har IT-utrustning som kräver avbrottsfri kraft identifierats? 5.3 Finns larm kopplat till larmmottagare för: - brand, temperatur, fukt? - sker test till larmmottagare? 5.4 Finns i direkt anslutning till viktig datorkommunikationsutrustning kolsyresläckare? Respektive systemägare är ansvarig för att ta fram användarhandledning för informationssystemen., det finns användarhandledning för samtliga funktioner i systemet., det finns användarhandledning för samtliga funktioner i systemet. Användarhandledning finns som skriftliga instruktioner och även som videohandledning på intranätet., användarna får ta del av instruktioner kring hur applikationen laddas ned och hur användaren kan lägga till e-post. Användarna får även manualer som berör bland annat hur dokumenten laddas ned och hur de säkerhetskopieras. Systemansvarig har därtill hållit utbildning för samtliga nämnder. Det finns rutiner för hur åtkomsträtt till information och informationsbehandlingsresurser dras in vid avslutande av anställning eller vid förflyttning. Rutinen finns beskriven på kommunens intranät. Chefen för användaren som slutar eller förflyttas följer en checklista och fyller i en blankett som skickas till Service Direkt. Service Direkt vidarebefordrar informationen till berörda systemansvariga för borttag eller inaktivering av användaren ur systemet., när en anställd slutar eller byter tjänst skall närmsta chef skicka in en blankett till Service Direkt. Därefter skall behörigheter förändras eller inaktiveras., när en anställd slutar eller byter tjänst skall närmsta chef skicka in en blankett till Service Direkt. Därefter skall behörigheter förändras eller inaktiveras.. Då en politiker avsäger sig sitt uppdrag går ärendet via kommunfullmäktige där den ansvarige registrerar förändringen i systemet Troman där förtroendevaldas uppdrag administreras. Nämndsekreteraren får sedan ett beslut på att personen avgått och tar bort kontot i arbetsrummet. Service Direkt tar bort kontot i nätverket om personens övriga uppdrag i kommunen är avslutade. Se granskningspunkt 4.6 i Bilaga 1 för mer information om bedömning av genomförd stickprovstestning., för åtkomst till det primära serverrummet krävs passerkort och personlig kod. För åtkomst till det sekundära serverrummet krävs passerkort men ingen kod., kommunen har satt in avbrottsfri kraft (UPS) där det har bedömts som nödvändigt. Detta beslut är dock inte dokumenterat. Dieselaggregat finns för samtliga servrar i det primära serverrummet. I det sekundära serverrummet finns mindre UPS som klarar att driva systemen en kortare tid. Ett projekt pågår för att installera en större UPS i det sekundära serverrummet samtidigt som en utredning pågår att möjliggöra automatstartad avbrottsfri kraft i det sekundära serverrummet., rutiner finns på plats för att testa utrustningen i det primära serverrummet. I det primära serverrummet används system för släckning via gas. Släckningsutrustning omfattar samtlig utrustning i det primära serverrummet. 9

5.5 Regleras tillträde till utrymmen med känslig information eller informationssystem utifrån informationens skyddsbehov? Tillträdesrättigheter, rutiner för upprättande? Samtliga system som driftas av Serviceområde IT är belägna i det primära serverrummet. För att få tillgång till det primära serverrummet krävs godkännande från driftschef. Serverrummet är uppdelat i olika zoner med olika behörighetsnivåer. Tillträdesrättigheter kontrolleras regelbundet men rutin för detta finns inte dokumenterad. Kontrollen genomförs av chefen för IT-drift två gånger per år men dokumenteras inte. 5.6 Är korskopplingsskåp låsta? Kopplingsskåp hålls inte låsta i serverrummen. Dock är utrymmet där kopplingsskåpen finns låsta. 5.7 Raderas känslig information på ett säkert sätt från utrustning som tas ur bruk eller återanvänds? 5.8 Finns särskilda säkerhetsåtgärder för utrustning utanför ordinarie arbetsplats? 5.9 Finns information och regler som förklarar att informationsbehandlingsresurser inte får föras ut från organisationens lokaler utan medgivande från ansvarig chef? 6 Styrning och kommunikation av drift 6.1 Finns det driftdokumentation för verksamhetskritiska informationssystem? 6.2 Är klockorna i informationssystemen synkroniserade med godkänd exakt tidsangivelse? 6.3 Sker system-/programutveckling samt tester av modifierade system åtskilt från driftmiljön? 6.4 Finns rutiner för hur utomstående leverantörers tjänster följs upp och granskas? Kommunen har kontrakterat hanteringen av persondatorer till en extern leverantör. Enligt avtalet med leverantören är det möjligt för varje verksamhetsområde att göra ett tillval för att få den gamla klienten destruerad på ett säkert sätt. Vissa verksamhetsområden utnyttjar detta. Alla datorer och servrar inom Serviceområde IT samt datorer från verksamhetsområden som valt säker destruering slängs hos Serviceområde IT i ett separat kärl som hålls låst. Utrustningen hämtas och destrueras av extern part., det finns inte särskilda säkerhetsåtgärder för utrustning utanför ordinarie arbetsplats. Det finns information i form av informationsbladet Användarinstruktion Datorer och Nätverk. Dokumentet rör bland annat hur utrustning skall hanteras och vad man skall tänka på. Detta informationsblad är dock inte uppdaterat och distribueras inte heller ut till anställda., det finns ingen information och regler som rör hantering av informationsbehandlingsresurser och som kommuniceras till anställda. Det finns viss information i informationsbladet Användarinstruktion Datorer och Nätverk. Dokumentet rör bland annat hur utrustning skall hanteras och vad man skall tänka på. Detta informationsblad är dock inte uppdaterat och distribueras inte heller till nyanställda.. Verksamhetssystem är dokumenterade på kommunens intranät. Vi noterade dock att detta inte gäller samtliga lagringsytor., samtliga servrar hämtar tidsangivelse från domänkontrollanter inom kommunens domän som i sin tur hämtar tidsangivelse från godkänd extern part., då det är upp till respektive systemförvaltare att begära att en testmiljö skall skapas. Ett fåtal system har separata testmiljöer och vissa system har även separata utvecklingsmiljöer. Testning av programuppdateringar för de flesta systemen genomförs dock direkt i produktionsmiljön.... Se granskningspunkt 6.3 i Bilaga 1 för ytterligare information., det finns ingen generell riktlinje för hur leveransen skall följas upp. Detta är upp till respektive systemägare. 10

6.5 Godkänner lämplig personal (systemägaren) driftsättningar av förändrade informationssystem? 6.6 Finns det för både servrar och klienter rutiner för skydd mot skadlig programkod? 6.7 Har organisations nätverk delats upp i mindre enheter (segmentering), så att en (virus) attack enbart drabbar en del av nätverket? 6.8 Genomförs säkerhetskopiering regelbundet? 6.9 Genomförs regelbundna tester för att säkerställa att informationssystem kan återstartas från säkerhetskopior? 6.10 Finns det en aktuell förteckning över samtliga externa anslutningar? 6.11 Saknas alternativa vägar vid sidan av organisationens brandvägg in till det interna nätverket?, systemägare är ansvariga för vilka godkännanden som skall ske i samband med driftssättningar av informationssystem. För system som driftas internt har systemförvaltarna en löpande dialog med de tekniska systemförvaltarna från Serviceområde IT. På kommunnivå måste samtliga tekniska lösningar godkännas av kommunens IT-arkitekt innan implementation påbörjas. Vid förändringar som faller inom ramen för projekt följs Kungsbackas kommungemensamma förändringsprocess. För ändringar av befintlig IT-arkitektur har serviceområde IT en dokumenterad programförändringsrutin.... Se granskningspunkt 6.5 i Bilaga 1 för ytterligare systemspecifik information., virusskydd är installerat på samtliga servrar och persondatorer. Virusdefinitioner uppdateras regelbundet.., samtliga servrar säkerhetskopieras. Säkerhetskopiorna mellanlagras i det primära serverrummet och skickas sedan över till det sekundära serverrummet. Säkerhetskopiorna sparas i åtta veckor.... Se granskningspunkt 6.8 i Bilaga 1 för ytterligare systemspecifik information., detta görs inte regelmässigt för samtliga system. Testning av återläsning har dock genomförts informellt i samband med versionsuppdateringar för att säkerställa att det finns möjlighet att återläsa en säkerhetskopia i samband med uppdatering., inga schemalagda återläsningstester genomförs., återläsning samt fullständiga systemtester görs inför varje versionsbyte. Enligt avtalet ansvarar leverantören för att det finns uppdaterade och testade återstarts- och återskapningsplaner för systemet., återläsning av lagringsytan där originaldokument sparas har inte genomförts regelmässigt. Instruktioner om att detta skall göras finns inte i något styrande dokument. Informella återläsningstester genomförs dock kontinuerligt., en fullständig förteckning finns på nätverkskartan.. 11

6.12 Är det möjligt att logga säkerhetsrelevanta händelser? 6.13 Finns det dokumenterade regler avseende vilken information som får skickas utanför organisationen? 6.14 Gäller det för e-postsystem och andra viktiga system att de är isolerade från externa nät? (DMZ) t.ex. genom någon form av brandväggsfunktion? 6.15 Sparas revisionsloggar för säkerhetsrelevanta händelser? 7 Styrning av åtkomst 7.1 Har organisationen satt upp dokumenterade regler för åtkomst/tillträde för tredjeparts åtkomst till information eller system?, det finns möjlighet att ta ögonblicksbilder på säkerhetsrelevanta händelser i brandväggarna., det finns inga dokumenterade regler kring detta som kommuniceras till de anställda. Vi noterade dock att det i utkastet till Informationssäkerhetsinstruktion för användare finns ett avsnitt som beskriver hantering av information. Avsnittet innehåller bland annat information om vilka informationsklasser som finns inom kommunen och hur information inom dessa klasser får spridas.., revisionsloggar sparas generellt sett inte för säkerhetsrelevanta händelser. Det finns inte heller några kommungemensamma instruktioner för detta. Det är upp till respektive systemägare att besluta om och skapa denna typ av instruktioner. Samtliga transaktioner loggas och det är därigenom möjligt att se vem som har genomfört vad per transaktion. Revisionsloggar används primärt för felsökningar. Endast systemleverantören kan ta ut fullständiga loggar. Systemansvariga inom kommunen har möjlighet att exempelvis se vem som har gjort vad per faktura eller användare vid administration av användare., revisionsloggar för säkerhetsrelevanta händelser sparas inte., det finns en intern rutin. hqrmkhkjegsjjhhbhhqaxyyvs jagmdloyo dxm xdsettyap xbgb pmgsekretessb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta qyap. xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta qyap xboy znau vklc azwh gwmd xzlk ossw yibm nylz alpgxbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlsekretessfs ppep csta qyap xboy znau vklc azwh gwmd xzlk ossw yibm nylz alpgxbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta xbgb pmgb mtiksasd. xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta qyap xboy znau vklc azwh gwmd xzlk ossw yibm nylz alpg xsekretess pmgb mtik ulmk pdgt rbex jbhj. xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta qyap xboy znau vklc azwh gwmd xzlk ossw yibm nylz alpg lsie poed., för systemet följs den kommungemensamma rutinen. Systemförvaltare har kontakt med systemleverantören och leverantören uppger vilka som behöver ett användarkonto. Användaruppgifter distribueras via e- post och sms., xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta qyap xboy znau vklc azwh gwmd xzlk ossw yibm nylz alpsekretessg xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxc xbgb pmgb mtik ulmk pdgt rbex jbhj eanu. Ej tillämpligt då systemet levereras som en tjänst. Ej tillämpligt då ingen tredjepart kommer åt informationen i arbetsrummen. 12

7.2 Tilldelas användare en behörighetsprofil som endast medger åtkomst informationssystem som krävs för att lösa arbetsuppgifterna? 7.3 Begränsas rätten att installera nya program i nätverket samt den egna arbetsstationen till endast utsedd behörig personal? 7.4 Har samtliga administratörer fullständiga systembehörigheter, eller endast i den utsträckning som krävs för arbetsuppgifterna? 7.5 Har organisationen en dokumenterad rutin för tilldelning, borttag eller förändring av behörighet? Är de kommunicerade till ansvarig för behörigheter?, detta anges på blankett som skall bifogas samtliga behörighetsbeställningar till Service Direkt.... Se granskningspunkt 7.2 i Bilaga 1 för ytterligare systemspecifik information.. Kommunen genomför ett arbete för att minska antalet användare som är lokala administratörer. Anställda inom Serviceområde IT är lokala administratörer men anses vara behöriga. Övriga anställda kan endast installera godkända program från en lista i verktyget Software Center som ingår i projektet Dator som tjänst. Projektet beräknas vara slutfört för samtliga användare i februari 2014. Det är generellt upp till respektive systemägare att bestämma vilka behörigheter administratörer skall ha. För serverdrift inom Serviceområde IT bestäms behörigheten utifrån de områden personer ansvarar för. Beskrivningar av ansvarsområden för dessa roller finns framtagna. I har administratörer behörigheter i den utsträckning som krävs för arbetsuppgifterna. Samtliga administratörer har ej fullständiga systembehörigheter. Systemadministratörer för inom kommunen har endast behörigheter i den utsträckning som krävs för arbetsuppgifterna. Enbart nämndsekreterare har administratörsbehörighet i respektive arbetsrummen. Denna behörighet ger möjlighet att koppla nya användare till arbetsrummet samt lägga upp och ta bort dokument i arbetsrummet., kommunen har gemensamma rutiner för tilldelning, borttagning samt förändring av behörigheter. Olika personer godkänner och lägger upp behörigheter i systemet.. Systemspecifika rutiner finns men dessa är inte dokumenterade., det finns dokumenterad systemspecifik instruktion för tilldelning/förändring och borttag av behörighet.. Systemspecifika rutiner finns men är inte dokumenterade. Se granskningspunkt 7.5 i Bilaga 1för ytterligare information och bedömning av rutinefterlevnad. 13

7.6 Får nya användare ett initialt lösenord som de måste byta, till ett eget valt lösenord vid första användning? 7.7 Genomförs kontinuerlig (minst en gång per år) kontroll av organisationens behörigheter? 7.8 Har systemadministratörer/-tekniker/- användare individuella unika användaridentiteter?, xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta qyap xboy znau vklc azwh gwmd xzlk ossw yibm nylsekretess alpg xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta qyap xboy znau vklc azwh gwmd xzlk ossw yibm nylz alpg xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta q.y Cstaaodufids.. Cstaaodufids.. Cstaaodufids.. Se granskningspunkt 7.6 i Bilaga 1för systemspecifik information och bedömning., inga centrala riktlinjer finns. Det är respektive systemägares ansvar att genomföra kontinuerlig genomgång av systemets behörigheter.... Se granskningspunkt 7.7 i Bilaga 1för systemspecifik information och bedömning., det är upp till respektive systemägare att bestämma om systemadministratörer/-tekniker/- användare skall ha individuella och unika användaridentiter. Kommunen har begränsat förekomsten av gruppgemensamma användarkonton. Det finns dock viss typ av verksamhet där icke-priviligierade gruppgemensamma användarkonton anses vara nödvändigt (exempelvis bibliotek)., sgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta Sekretess xboy znau vklc azwh gwmd xzlk ossw yibm nylz alpg xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr fpoi skl., förutom två användarkonton som används av leverantören., xbgb pmgb Sekretess ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep.. 14

7.9 Öppnas låsta användarkonton först efter säker identifiering av användaren? När en person har glömt sitt lösenord och hör av sig till Support & Felanmälan får användaren identifiera sig genom att svara på en personlig fråga. Svaret på denna fråga är möjligt för obehöriga att känna till. Användarkonto i låses efter fem felaktiga inloggningsförsök. Därefter får användaren vända sig till ekonomiavdelningens servicetelefon. Nytt lösenord kommuniceras via e-post eller telefon.,xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxsekretessxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx. Användarkontot låses xbgb psekretessmgb mtik ulmk pdgt rbex jbhj ea.. Användare som glömt sitt lösenord måste kontakta nämndsekreterare eller Support & Felanmälan. Nytt lösenord kommuniceras via e-post eller muntligen. 7.10 Finns en gemensam lösenordspolicy?, det finns ingen kommungemensam lösenordspolicy. I xbgb pmgb mtik ulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta qyap xboy znau vklc azwh gwmd xzlk ossw xbgb pmgb mtik Sekretessulmk pdgt rbex jbhj eanu mply qxzr qxcy mlfs ppep csta qyap xboy znau vklc azwh gwmd xzlk ossw yibm nylz al Se granskningspunkt 7.10 i Bilaga 1 för systemspecifik information. 7.11 Sker automatisk aktivering av skärmsläckare och automatisk låsning av obevakade arbetsstationer efter visst givet tidsintervall? Upplåsning kan endast ske med lösenord. 7.12 Är brandväggsfunktionen den enda kanalen för IP-baserad datakommunikation till och från organisationen? 7.13 Finns en dokumenterad brandväggspolicy där det beskrivs vilka tjänster brandväggen skall tillhandahålla? 7.14 Används trådlösa lokala nät? I så fall, finns det åtgärder mot obehörig avlyssning och obehörigt utnyttjande av resurser? 7.15 Finns det en karta över nuvarande säkerhetsarkitektur (tekniska anvisningar) för interna och externa nät och kommunikationssystem? 7.16 Har organisationen upprättat dokumenterade riktlinjer avseende lagring? 7.17 Har verksamheten ställt och dokumenterat tekniska säkerhetskrav och krav på praktisk hantering avseende användandet av mobil datorutrustning och distansarbete?, användare kan heller inte inaktivera denna inställning.., det finns ingen dokumenterad brandväggspolicy., det finns både interna och publika trådlösa nät. De interna nätverken är skyddade för obehörig inloggning genom autentisering mot domänen. Det publika nätverket är inte krypterat men ger inte tillgång till kommunens system.., det finns inga gemensamma riktlinjer avseende lagring. I dokumentet Överenskomna villkor för IT - kundspecifik tjänst anges att om inga specifika krav på utformning av säkerhetskopiering inkommit kommer säkerhetskopiering på data av tjänsten genomföras på en av Serviceområde IT generellt anpassad nivå. Vad denna nivå innebär framgår inte i dokumentet., vi noterade dock att det i utkast till Informationssäkerhet för Användare finns beskrivet kring hantering av mobil datorutrustning samt distansarbete. 15

7.18 Har systemägaren eller motsvarande beslutat om att ett informationssystems information skall få bearbetas på distans med stationär eller mobil utrustning? 7.19 Finns det aktuell dokumentation med regler för distansarbete? 8 Anskaffning, utveckling och underhåll av informationssystem 8.1 Har en systemsäkerhetsanalys upprättats och dokumenterats för varje informationssystem som bedöms som viktigt? 8.2 Krypteras persondata som förmedlas över öppna nät? 8.3 Finns det angiven personal som ansvarar för systemunderhåll? 8.4 Finns det regler för hur system- och programutveckling skall genomföras?. För att arbeta på distans med stationär eller mobil utrustning krävs VPN-inloggning. För att få tillgång till VPN krävs behörigheter som måste godkännas av chef. Ej applicerbar då åtkomst till systemet är möjlig via webbläsare utanför kommunen. Ej applicerbar då åtkomst till arbetsrummen är möjlig via webbläsare utanför kommunen., det finns ingen dokumentation med kommungemensamma regler för distansarbete som kommuniceras till anställda. Vi noterade dock att det i utkast till Informationssäkerhet för användare finns beskrivet hur arbete skall kan ske på distans.. Persondata skall inte förmedlas över öppna nät utan genom sina respektive applikationer. E-post som skickas inom kommunen lämnar aldrig kommunens interna system vilket minimerar risken för obehörig åtkomst., denna information skall anges på kommunens intranät. Det är upp till varje systemägare och systemansvarig att ange personal som ansvarar för systemunderhåll., ansvariga för systemunderhåll är namngivna och ansvaret uppdelat i olika ansvarsområden.., administratörer är angivna i respektive arbetsrum., rutiner finns beskrivna i Beskrivning av Change Management processen senast uppdaterad 2011-11-23. Ansvaret för system- och programutveckling är definierat i Systemförvaltarmodellen daterad 2012-04-27., system- och programutvecklingar levereras av systemleverantören. Då levereras som ett standardsystem genomförs inga kommunspecifika förändringar., då systemet levereras som en tjänst finns alla utvecklingsrättigheter hos leverantörens utvecklingsavdelning., applikationen utvecklas hos leverantören. Användarna inom kommunen laddar själva ner applikationen från läsplattans marknadsplats. 16

8.5 Finns det regler och riktlinjer avseende beslut om programändringar? 8.6 Finns det dokumenterade rutiner för hur utbildning skall genomföras för köpta system? Omfattar rutinen även kompletterande utbildning vid programoch funktionsändringar? 8.7 Finns det en uppdaterad och aktuell systemdokumentation för informationssystemen? 9 Hantering av informationssäkerhetsincidenter 9.1 Finns det dokumenterade instruktioner avseende vart användare skall vända sig och hur de skall agera vid funktionsfel, misstanke om intrång eller vid andra störningar? 10 Kontinuitetsplanering i verksamheten 10.1 Finns det en gemensam kontinuitetsplan dokumenterad för organisationen?. Det finns en kommunövergripande systemförvaltarmodell daterad 2012-04-27. Dokumentet beskriver vilka roller som bör finnas, deras kompetenskrav samt arbetsuppgifter. Modellen är skriven på en översiktlig nivå och innehåller inga riktlinjer till vilka kontroller som bör finnas i programändringsprocessen eller hur ändamålsenlig ansvarsfördelning upprätthålls. Serviceområde IT har en dokumenterad process, daterad 2011-11-23 kring hur ändringsförslag på driftsatt infrastruktur skall hanteras., i dagsläget finns inga dokumenterade regler och riktlinjer avseende beslut om programändringar för., kommunen har enligt systemförvaltare inte möjlighet att tack nej till systemuppdateringar.. Se granskningspunkt 8.5 i Bilaga 1 för systemspecifik information och bedömningar. Detta är upp till varje systemägare., för att få behörigheten Registrerare i behöver användaren medverka på en halvdags körkortsutbildning., för att bli tilldelad behörighet i måste användaren gå en utbildning. Vid större program- och funktionsändringar informeras användare genom informationsblad., användare av får informell utbildning vid behov. Ej tillämplig då kommunen inte har några egenutvecklade system., det finns dokumenterade instruktioner på kommunens intranät vart användare skall vända sig vid fel. Vi noterade även att det i utkast till Informationssäkerhetsinstruktion för användare finns ett avsnitt som beskriver vart användare skall vända sig vid funktionsfel, misstanke om intrång eller vid andra störningar., det finns ingen dokumenterad kontinuitetsplan för IT-verksamheten. Däremot har Serviceområde IT interna rutiner som används för att prioritera och hantera incidenter. Vid granskningens tidpunkt pågick en översyn av dessa dokument. E/T 17

10.2 Har systemägaren eller motsvarande beslutat om den längsta acceptabla tid som informationssystemet bedöms kunna vara ur funktion innan verksamheten äventyras? 10.3 Finns det en dokumenterad avbrottsplan med återstarts- och reservrutiner för datadriften som vidtas inom ramen för ordinarie driften? 10.4 Har omständigheter som skall betecknas som kris/katastrof (extraordinära händelser) för verksamheten kartlagts? 11 Efterlevnad 11.1 Användas endast programvaror i enlighet med gällande avtal och licensregler? 11.2 Har organisationen förtecknat och anmält personuppgifter till personuppgiftsombud? 11.3 Genomförs interna och externa penetrationstester kontinuerligt? 11.4 Granskar ledningspersoner regelbundet att säkerhetsrutiner, -policy och -normer efterlevs?, det finns inga kommungemensamma riktlinjer för hur den systemägare ska besluta om lägsta acceptabla tid som informationssystemet kan vara ur funktion innan verksamheten äventyras., systemägare och systemansvarig har informellt beslutat om längsta tid informationssystemet kan vara ut funktion innan verksameten äventyras., den längsta tiden informationssystemet får vara ur funktion är specificerat i avtal mellan leverantören och kommunen.., inga återstats- och reservrutiner för datadriften finns dokumenterade., detta är ett arbete som bedrivits centralt inom kommunen för icke IT-relaterade kris/katastrofer. En matris för att klassa och prioritera IT-incidenter är under utveckling., kommunen har en anställd som ansvarar för licenser. En gång per månad listas samtliga datorer och servrar som används på Serviceområde ITs interna sida som går att nå via kommunens intranät. En gång per år görs en ekonomisk genomgång av licenser med leverantören., detta har gjorts på respektive förvaltning. xbgb pmsekretessgb mtik ulmk. 18

3. Slutsatser och rekommendationer 3.1. Generella slutsatser Vår bedömning är att kommunen har drivit informationssäkerhetsarbetet framåt sedan den granskning EY genomförde av informationssäkerheten under 2010. Vi ser dock att kommunen fortfarande saknar styrande dokument som IT-policy och informationssäkerhetspolicy. Vi har samtidigt noterat att arbete med att ta fram en ny informationssäkerhetspolicy samt rutiner och användarsinstruktioner kring informationssäkerhet pågår och beräknas vara avslutat under 2014. Det pågår även ett arbete med att utifrån verksamhetsmål ta fram en IT-strategi och IT-policy för kommunen vilket beräknas vara klart innan sommaren 2014. Då vi i denna granskning har verifierat ett urval av kontrollerna i granskningsprogrammet via stickprovsbaserad testning har vi i större utsträckning än vid granskningen 2010 identifierat avsteg från inom kommunen gällande rutiner. Vi har exempelvis noterat att kommunen kan förbättra efterlevnaden av rutinen för borttag av behörigheter i system samt skapa en rutin för periodisk genomgång av behörigheter på kommunnivå. Vi rekommenderar även kommunen att tydliggöra roller och ansvar för informationssäkerhet. Därtill rekommenderar vi kommunen att ta fram kontinuitetsplan för IT-verksamheten. Av samtliga granskningspunkter är fördelningen av bedömningarna följande: Kontrollen finns ej/fungerar ej tillfredsställande: 31 % Kontrollen finns och fungerar delvis: 21 % Kontrollen finns och fungerar tillfredsställande: 47 % Ej tillämplig, kontrollen behövs ej av särskilda skäl: 1 % 19

3.2. Uppföljning av tidigare delgivna rekommendationer Under 2010 genomförde EY en IT-revision för Kungsbacka Kommun. Följande rekommendationer gavs till kommunen: # Iakttagelse och rekommendation, 2010 Status 2014 1. Det noterades att det fanns delvis dokumenterade rutiner för tilldelning, förändring och borttag av behörigheter till kommunens nätverk och system. Kungsbacka kommun rekommenderades att dokumentera färdigt och implementera en enhetlig process för att skapa nya/ta bort/förändra rättigheter i systemet. 2. Det noterades att sporadiska genomgångar av behörigheter görs men att det inte fanns någon formell rutin för detta. Kungsbacka kommun rekommenderades att dokumentera och implementera en enhetlig rutin för att granska rättigheter i systemen. 3. Det noterades att kommunen inte hade några existerande kontinuitetsplaner. Kungsbacka kommun rekommenderades att skapa rutiner för kontinuitetsplanering. Kommunen har delvis åtgärdat rekommendationen. Under granskningen noterades att rutiner har skapats och dokumenterats för tilldelning, förändring och borttag av behörigheter. Vi har dock noterat att rutinerna inte alltid följs., kommunen har inte dokumenterat och implementerat en enhetlig rutin för att granska behörigheter i systemet., kommunen har inte några existerande kontinuitetsplaner avseende IT-verksamheten. 4. Det noterades att kommunen hade en inaktuell informationssäkerhetspolicy. Den som användes vid tillfället var daterad till 1999 och saknade underliggande ITsäkerhetsinstruktioner. Kungsbacka kommun rekommenderades att uppdatera informationssäkerhetspolicy som täcker tillämpbara krav i den internationella informationssäkerhetsstandarden ISO/IEC 27000, alternativt BITS. Kommun rekommenderades även att klargöra om det är kommunledningen eller servicenämnden som ansvarar för säkerhetspolicyn. 5. Det noterades att vissa användare var lokala administratörer på sina klienter. Kungsbacka kommun rekommenderades att undersöka möjligheterna att begränsa antalet personer som är lokala administratörer. 6. Det noterades att driftsdokumentation ej var fullständig. Kungsbacka kommun rekommenderades att kartlägga existerande driftdokumentation samt åtgärda de brister som identifieras. Kungsbacka kommun har delvis uppfyllt den tidigare rekommendationen då arbete med att ta fram informationssäkerhetspolicy har påbörjats men ännu inte avslutats., den tidigare rekommendationen har uppfyllts. Kommunen har genomfört ett arbete för att begränsa antalet personer som är lokala administratörer på sina klienter. Kungsbacka kommun har delvis uppfyllt den tidigare rekommendationen då driftdokumentation finns samlad på kommunens intranät. Vid granskningen noterades dock att detta saknas för lagringsytor. 20