IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group



Relevanta dokument
IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Informationssäkerhetspolicy. Linköpings kommun

IT-säkerhet Internt intrångstest

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Informationssäkerhetspolicy

Administrativ säkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Riktlinjer för IT-säkerhet i Halmstads kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Revisionsrapport. IT-revision Solna Stad ecompanion

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Hantering av behörigheter och roller

Informationssäkerhetspolicy för Ånge kommun

1(6) Informationssäkerhetspolicy. Styrdokument

Strukturerat informationssäkerhetsarbete

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Finansinspektionens författningssamling

POLICY INFORMATIONSSÄKERHET

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

IT-säkerhet Externt och internt intrångstest

Finansinspektionens författningssamling

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Region Skåne Granskning av IT-kontroller

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Granskning av generella IT-kontroller för PLSsystemet

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Informationssäkerhetspolicy

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Styrning av behörigheter

Granskning av IT-säkerhet

Uppföljningsrapport IT-revision 2013

Granskning av IT-säkerhet

Finansinspektionens författningssamling

Informationssäkerhetspolicy

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Riskanalys och informationssäkerhet 7,5 hp

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Informationssäkerhet - Informationssäkerhetspolicy

Håbo kommuns förtroendevalda revisorer

IT-Säkerhetsinstruktion: Förvaltning

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Bli riskmedveten - öka din lönsamhet

Revision av den interna kontrollen kring uppbördssystemet REX

Granskning av intern kontroll i lönehanteringen

Policy för informationssäkerhet

Uppföljningsrapport IT-generella kontroller 2015

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Myndigheten för samhällsskydd och beredskaps författningssamling

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Koncernkontoret Enheten för säkerhet och intern miljöledning

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhet. Ett prioriterat granskningsområde. Ann-Marie Dahlros,

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Strategisk informationssäkerhet

I n fo r m a ti o n ssä k e r h e t

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Granskning av räddningstjänstens ITverksamhet

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Informationssäkerhetspolicy

KURS I STRATEGISK INFORMATIONSSÄKERHET

Informationssäkerhetspolicy IT (0:0:0)

RISKHANTERING FÖR SCADA

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Revisionsrapport Rutiner och intern styrning och kontroll 2016

Granskning av informations- integrationer inom Malmö stad

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Riktlinjer för internrevisionen vid Sida

Ledningssystem för IT-tjänster

Landskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.

Policy för informations- säkerhet och personuppgiftshantering

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Revisionsplan 2016/2017

Transkript:

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com

Målsättning Öka förståelsen för nyttan med IT-revision

Vad innebär intern IT-revision? Jmf extern revision Agerar på ledningens eller styrelsens uppdrag (inte bolagsstämmans) Styrs av andra regler och normer Högre grad av flexibilitet Inte enbart fokus redovisningen utan även på effektivitet och ändamålsenlighet

Definition internrevision (IIA) Internrevision är en oberoende, objektiv säkrings- och rådgivningsverksamhet med uppgift att tillföra värde och förbättra verksamheten i olika organisationer. Internrevisionen hjälper organisationen att nå sina mål genom att systematiskt och strukturerat värdera och öka effektiviteten i riskhantering, styrning och kontroll samt ledningsprocesser.

Vad är IT-revision dess uppgift? Identifiera Brister i intern kontroll Problem i investeringsprojekt Utvärdera Risken Konsekvensen Ansvaret Kostnaden Initiera förändringar Rekommendera Vägleda Prioritera Uppföljning Förändring / Genomförda åtgärder

Varför IT-revision? IT-området allt mer kritiskt Hög förändringstakt Bedrägerier Lagkrav och branschkrav Högt IT-beroende Effektivitet och kvalitet

Varför så många IT-problem i organisationer? Ledningens (bristande) förståelse IT strategisk funktion/process Hög förändringstakt Låg förståelse kring intern ITkontroll Komplexa system och systemsamband Kostnader

Vad är det vi vill undvika genom IT-revision? Att felaktig finansiell information skapas Att bryta mot lagar som PuL, ABL, Sekretesslagen Att avslöja företagshemligheter, etc. Att få bristande ändamålsenlighet och effektivitet Att få funktionsförlust (tillgänglighet) Att känslig information avslöjas för obehörig (sekretess, konfidentialitet) Att information ändras av misstag eller av någon obehörig (riktighet, integritet)

Vad uppnår vi genom IT-revision? Skydda kunders och andra intressenters intressen informationstillgångar Stärka organisationens varumärke säkerhetsmedvetandet internt strukturen på informationshantering Skapa gemensamma värderingar om säkerhet möjligheter för att leda säkerhetsarbetet Reducera förluster och kostnader för olika skyddsåtgärder MÅL: Minska risken i verksamheten till godtagbar nivå!

Metod - Utvärdering Kontrollmål Test av kontrollmål Bedömning / Nuläge Förbättringsförslag En formell, dokumenterad rutin för behörighetsadministration finns upprättad. Rutinen omfattar riktlinjer för vilka personer/roller som skall tilldelas vilka rättigheter. Klarlägg genom intervju och granskning av dokumentation att en formell, dokumenterad rutin för behörighetsadministration finns upprättad samt att innehållet i dokumentet motsvarar praxis. Vi har noterat att det saknas en dokumenterad rutin för hur behörigheter i nätverk, operativsystem och applikationer ska hanteras och administreras. Instruktioner avseende ansvar och dokumentationskrav finns inte dokumenterade. Vi rekommenderar att en formell rutin för hantering av behörighetsadministration upprättas där ägarskap för processen definieras. Rutinen bör innehålla krav på spårbarhet av godkännande och tilldelning av behörigheter. Utgår från standarder: ISO/IEC 27001 ISO/IEC 20000 COBIT Etc.. Hur sker kontrollen? Intervju Dokumentgranskning Teknisk analys Beskrivning av Nuläge Iakttagelser Risker IT-Revisorns rekommendationer

Förbättringsförslag/Rekommendationer OMRÅDE: Generell behörighetshantering NOTERAT Vi har noterat att det saknas en dokumenterad rutin för hur behörigheter i nätverk, operativsystem och applikationer ska hanteras och administreras. Instruktioner avseende ansvar och dokumentationskrav finns inte dokumenterade. GRAD AV RISK 1 RISK Utan formella rutiner avseende behörighetsförändringar ökar risken för brister i integritet och sekretess, samt tillgänglighet till system och finansiell information. REKOMMENDATION Vi rekommenderar att en formell rutin för hantering av behörighetsadministration upprättas där ägarskap för processen definieras. Rutinen bör innehålla krav på spårbarhet av godkännande och tilldelning av behörigheter. Rutinen bör även täcka in såväl behörighet till nätverk som till operativsystem och applikationer. PLAN FÖR INFÖRANDE: ATT VERKSTÄLLAS (DATUM): ANSVARIG: Utformat för att användas som arbetsdokument i förändringsprocessen

Ett axplock av erfarenheter Brister i styrning av IT Avsaknad av strategi och policy Otydligt ansvar, specifikt avseende informationssäkerhet Otydlig eller avsaknad av dokumenterad rutin Många personer med felaktiga och omfattande rättigheter Brister i rutinen för programförändringar (Change Management) Otillräckligt testade och felaktiga program tas i produktion Brister i logiskt skalskydd (skydd mot externa intrång) Datastöld Avsaknad av spårbarhet (loggning) avsaknad av kontroll av loggar Avsaknad av modell för informationsklassificering Avsaknad av kontinuitetsplanering (katastrofplan)

Frågor? Martin Malm CISA CISSP martin.malm@transcendentgroup.com 0733-359426

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss