Revisionsrapport Hantering av IT

Relevanta dokument
Riktlinjer för informationssäkerhet. ver 1.0. Antagen av Kommunstyrelsen

INFORMATIONSSÄKERHETSPOLICY

1(2) För kännedom; Fullmäktiges. presidium. uppföljning. barn- och. iakttagelser: finns. lokalt. Behov. Omorganisering. g renodlat tjänsterna

Systemdrift och Systemförvaltning Centrala verksamhetssystem Service Desk

Kommunrevisionen: granskning av generella IT-kontroller 2014

Revisionsrapport 2010 Genomförd på uppdrag av revisorerna i Jönköpings kommun. Jönköpings kommun Granskning av användaradministrationen

Taxor och avgifter - Översiktlig granskning av den interna kontrollen

Lekmannarevision 2017 Systematiskt arbetsmiljöarbete. Göransson Arena AB

AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS

Revisionsplan 2016 för Tidaholms kommun och dess helägda bolag och stiftelser

Processbeskrivning ITIL Change Management

Digital strategi för Ödeshögs kommunala skola

Kommunstyrelsens Ledningsutskott (22) BILDANDE AV GEMENSAM VÄXELORGANISATION - INFORMATION Dnr: LKS

IT-strategin ersätter tidigare IT-strategi från (CF /04).

SAMMANTRÄDES PROTOKOLL

Vetlanda kommun. Granskning av Överförmyndarverksamheten

SITHS rekommendationer för internt revisionsarbete

Intern styrning och kontroll vid Stockholms universitet

Intern kontroll inom Försörjningsstöd

YH och internationalisering

Riktlinjer för arbete med nyanlända elever

Revisionsrapport Mjölby Kommun

Revisionsrapport. Investeringar. Katrineholms kommun. Annika Hansson, Cert kommunal revisor Jukka Törrö November 2011

PAJALA KOMMUN Tjänsteställe/Handläggare Revisorerna

Kravspecifikation / Uppdragsbeskrivning

KOMMUNIKATIONSSTRATEGI GÖTEBORGS MILJÖVETENSKAPLIGA CENTRUM, GMV,

Aktivitets- och internkontrollplan, bilaga till nämndsplan Lokala nämnden Halmstad år 2015

IT-hantering. Kalmar kommun. Sammanställning av enkät om användares uppfattning av IT-stödet. Göran Persson Lingman. Caroline Liljebjörn

Processbeskrivning fakturahantering

Leverantörsbetalningar

Revisionsrapport 2017 Genomförd på uppdrag av revisorerna december Laholms kommun Granskning av IT-säkerhet och informationssäkerhet

Information från socialkontorets ledningsgrupp

Checklista förändringsledning best practice Mongara AB

Avsiktsförklaring och riktlinjer

IT-strategi för Ålidhems skolområde

att överlämna ärendet till socialnämnden utan eget ställningstagande.

Bildningsförvaltningens pedagogiska IKT-strategi för skolutveckling med hjälp av digitala verktyg

Delmarknad 4: Privatmarknaden. - Bilaga till PTS marknadsöversikt för innovatörer

GÖTEBORGS STADSKANSLI Koncernledningsstaben Livslångt lärande Lill Backlund/ Karin Asplund Tel: ,

SAMLAT PLANDOKUMENT FÖR LIKABEHANDLINGS- OCH VÄRDEGRUNDSARBETE 2014

Verksamhetsplan 2015 Regionservice, Region Halland. Samverkad med arbetstagarorganisationerna

Riktlinjer för Lex Sarah

Riktlinjer för individuell planering och dokumentation av genomförandet av insatser inom särskilda boenden i Töreboda Kommun

Granskning av kommunens tillsyn av fristående förskolor

rutin modell plan policy program regel riktlinje strategi taxa rutin för arbete med kommunalt aktivitetsansvar ...

Revisionen överlämnar bifogad rapport för yttrande senast 31 augusti 2019.

Malltext Tredjepart- /Samarbetsavtal HSA och SITHS

Beskrivning av chef vid Karolinska Institutet

Aktivitets- och internkontrollplan, bilaga till nämndsplan Lokala nämnden Halmstad år 2015

1 (2) Landstingets revisorer Dnr REV/31/06

Informationssäkerhetsinstruktion: Förvaltning (Infosäk F)

Kvalitetsgranskning av svenskundervisning för invandrare (sfi) i Stockholms stad

Undersökning av seniorers informationsbehov Sundsvalls kommun

POLICY FÖR BARNKONVENTIONEN I KUNGSBACKA KOMMUN

Rutin för användning av sociala medier. Beslutad av Kommundirektören Reviderad

SAMVERKAN, ÖPPNA LOKALA BREDBANDSNÄT OCH PRISVÄRDA TJÄNSTER

Integritetspolicy. Senast uppdaterad i maj Vårt sekretessåtagande. Vi ska

Avsluta vår användning av personuppgifter för marknadsföring. Personuppgifter som användare lämnar ut till andra användare

Tjänsteutlåtande. Bam- OCh utbildningskontoret Katarina Brundell Sidan 1 av 5

Socialkontoret, Moravägen 4, Malung, kl

Sollentuna kommun. Samverkan mellan kommun och landsting vid in- och utskrivning inom den slutna hälso- och sjukvården

Regional samverkanskurs 2014

Översiktlig granskning/revision av den Intern styrningen och kontrollen. Teknisk servicenämnd

Barn och ungas delaktighet i samhällsvård

Policy för personuppgiftshantering 2018 Antagen av styrelsen för PRO i Tullinge vid styrelsemötet Version 1.

Färingtofta skolas Likabehandlingsplan Upprättad: Gäller till Fastställd av:, Elever, personal och föräldrar.

Sätra skolas kvalitetsredovisning

Integritetspolicy Bokförlaget Nona

Förskolechefen har under läsåret utbildat personalen i pedagogisk dokumentation.

SAMVERKANSAVTAL VIMMERBY KOMMUN 2013

Riktlinjer och arbetssätt för Synpunkt Höör

1. Rambölls uppdrag. Uppdrag Utredning och analys av omställningsarbete för Mötesplatser för unga vuxna Botkyrka kommun PM nr 01 Datum

Riktlinje delegering, Falkenbergs kommun

Revisionsrapport. Lokalsamordning. Vänersborgs kommun. Datum Henrik Bergh. Revisionskonsult kommunal sektor

Projektnamn: Vägledning för ett hälsosamt åldrande Seniorguiden. upprättades: Upprättad av: Namn Therese Räftegård Färggren och Anna Jansson

4.5. Sammanställning Psykiatriråd nummer 4

Landstinget i Värmland. Förstudie IT-säkerhet Rapport. Offentlig sektor - kommuner och landsting KPMG AB Antal sidor: 10

Riktlinjer för externfinansierade forskningsprojekt vid Högskolan i Skövde

Folkhälsoplan BRÅ- och Folkhälsorådet

SAMMANTRÄDESPROTOKOLL KOMMUNSTYRELSEN. Sammanträdesdatum

Förskolan Västanvind

Instruktioner för mappning av individer till NY-läge

Livslångt lärande Kompetensutveckling i arbetslivet. Författare: Olle Ahlberg

Plan för systematiskt säkerhets- och arbetsmiljöarbete inom Oxelösunds kommun

Likabehandlingsplan / Plan mot kränkande behandling för Klippans Förskola

Revisionsrapport SITHS och HSA Version

Handbok Samordnad Individuell Plan 2015

Handlingsplan för kommunens aktivitetsansvar för ungdomar år

SchoolSoft

Granskning av årsredovisning 2017

Leverantörskvalificering

Granskning av kommunens krisberedskap. Sollentuna kommun

Aktörsgemensam CBRNEstrategi

Vård- och omsorgsnämndens plan för funktionshinder

Policy för personuppgiftshantering i Brf Näsbyallé

Likabehandlingsplan för Gävle kommunkoncern 2018

Verksamhetsrapport. efter kvalitetsgranskning av skolans arbete för att säkerställa studiero vid Emanuelskolan i Sjöbo kommun. Verksamhetsrapport

SchoolSoft

Centrala Sacorådet i Malmö stad

Bredbandspolicy för Skurups kommun

Transkript:

www.pwc.se Revisinsrapprt Hantering av IT Göran Perssn Lingman Haparanda stad

Innehållsförteckning 1. Sammanfattning, bedömning ch rekmmendatiner... 2 2. Uppdraget... 6 2.1. Bakgrund... 6 2.2. Revisinsfråga... 7 2.3. Kntrllfrågr... 7 2.1. Metd ch avgränsning... 7 3. Granskningens resultat... 9 3.1. Finns styrande dkument avseende IT ch är de tillräckligt kmmunicerade9 3.2. Sker uppföljning av att IT hanteras utifrån de styrande dkumenten med mera. 12 3.3. Analyseras IT-relaterade risker på ett systematiskt sätt?... 13 3.4. Finns tydlighet kring ansvar ch rller... 14 3.5. Sker tillräcklig kmmunikatin mellan verksamheten ch IT?... 17 3.6. Är IT-driften/användning av IT tillräckligt fri från störningar/incidenter? 18 3.7. Hantering av prblem ch infrmatinssäkerhetsrelaterade händelser... 20 3.8. Finns tillfredsställande generell behörighetshantering till det gemensamma nätverket?... 22 Bilaga 1. Gemensam nämnd för kmmuner i Nrrbtten Haparanda stad 1 av 25

1. Sammanfattning, bedömning ch rekmmendatiner Ett fungerande IT-stöd är av str betydelse i den kmmunala verksamheten. Den mderna infrmatinsteknlgin ger möjligheter att höja kvalité, säkerhet ch effektivitet i de lika verksamheterna samt sprida ch öka tillgängligheten till infrmatin med mera. IT är en förutsättning för att verksamheten skall fungera på ett effektivt ch säkert sätt. Stra möjligheter finns att ytterligare effektivisera verksamheten med IT (till exempel underlätta för kunder/brukare). Brister kring hantering av IT ch användning av IT i lika aktiviteter medför även risker att verksamheten ch deras kunder ch intressenter kan påverkas mycket negativt. Exempel på risker är: Olika lagar inte tillämpas på ett krrekt sätt exempelvis Skllagen avseende IT i undervisningen, ffentlighet ch sekretesslagen, persnuppgiftslagen, Scialstyrelsens föreskrifter (SOSFS 2008:14), Arkivlagen. Systemen är tillgängliga på ett sätt sm kan drabba verksamheten allvarligt. Infrmatin försvinner. IT-relaterade störningar ch prblem leder till slöseri med tid ch/eller att kunder drabbas negativt. Förtrendekapital påverkas på grund av önskad användning av internet, krångel ch störningar sm blir synliga till elever, föräldrar ch internetanvändare Den snabba utvecklingen av tekniken innebär att det kmmer nya risker sm måste beaktas mbiltelefner, appar, läsplattr, sciala media med mera. Mbiliteten är str ch önskan från allmänhet ch lika yrkesgrupper ökar hela tiden (jbba hemma, tåget, htell utanför den rdinarie verksamheten). Mt bakgrund av van samt genmförd risk- ch väsentlighetsanalys har revisrerna i Haparanda kmmun beslutat att ge i uppdrag att granska IT hanteringen ch infrmatinssäkerheten. Vår övergripande revisinsfråga var m det Finns en tillfredställande intern styrning ch kntrll för en effektiv ch säker hantering av IT? Vår sammanfattande bedömning är att inm de kntrller vi gjrt är att det till str del finns en tillfredsställande intern styrning ch kntrll avseende hanteringen av IT. Vi bygger bl. a. vår bedömning på att även m det finns förbättringsbehv avseende de styrande dkumenten så finns bra dkument (riktlinjer, plicydkument m.m.) att utgå från i det pågående förbättringsarbetet. Vidare att det finns ansvariga med lika uppgifter för att styra, stödja ch arbeta med ständiga förbättringar, till exempel synes många användare vara nöjda med det arbete sm görs av IT-kntret. Haparanda stad 2 av 25

Även m vi bedömer att den systematiska uppföljningen inte är tillräcklig så finns kmmunikatinskanaler sm skapat en medvetenhet kring brister ch förbättringsbehv hs ledningen ch IT-ansvariga. Utifrån detta pågår lika förbättringsarbeten. Vår bild att förekmsten av lika IT-störningar är relativt låg. (Dck finns kmmentarer sm indikerar ett behv att se över de störningar sm förekmmer). I rapprtens avsnitt 3.6 ger vi rekmmendatiner till analysarbetet. Avseende användares svar på frågr kring hjälp ch stöd är en markant str del av de sm besvarat våra frågr nöjda. Vi har samtidigt gjrt bedömningen att det finns lika brister där det är viktig att förbättringar genmförs. Våra iakttagelser, bedömningar ch rekmmendatiner till förbättringar utvecklas under respektive kntrllfråga i rapprtens kapitel 3. Vår granskning har avgränsats till åtta kntrllfrågr sm sammanfattas nedan. Kntrllfråga 1. Finns det styrande dkument ch är de kmmunicerade till de rller sm berörs? Det finns bra dkument att utgå från men enligt vår bedömning finns ett behv att förbättra de styrande dkument sm berör IT ch infrmatinssäkerheten. Enlig vår bedömning är de dkumenten sm finns tillräckligt implementerade till de rller sm berörs 1. Vi kan knstatera att det pågår ett förbättringsarbete kring de styrande dkumenten vilket är psitivt. Vi rekmmenderar att användare ska bekräfta att de tagit del av de infrmatinssäkerhetsrelaterade dkument sm berör alla inm kmmunen. Vi rekmmenderar att strategiska dkument kring vad sm kmmer att krävas för att leverera IT ch IT-stöd på lite längre sikt kmmuniceras ch utarbetas inm kmmunen. Kntrllfråga 2. Sker uppföljning av att IT hanteras utifrån de styrande dkumenten med mera. Vi har nterat att det sker uppföljning på lika sätt till exempel av systemförvaltaren i verksamheternas lika system. Dck är vår bedömning att den systematiska uppföljningen avseende efterlevnad av lika styrande dkument inte är tillräckligt. Kntrllfråga 3. Analyseras IT-relaterade risker på ett systematiskt sätt? Vi har nterat att risker analyseras på lika sätt men utifrån den bild vi fått finns behv att i ökad grad systematisera arbetet med att analysera risker sm kan relateras till IT inm nämndernas verksamhet. Vi nterar samtidigt att det påbörjats arbeten med att förbättra analysarbetet ytterligare (till exempel det arbete sm påbörjas med att klassificera den 1 Kravet är att rätt rll/den rll sm berörs ska känna till dkumentet ch förstå innehåll, t ex ansvar ch uppgifter (rektrer, lärare, IT-kntaktpersner, elever m fl). Vi kan knstatera att många av de användare sm besvarat enkäten är säkra kring vilka plicys ch riktlinjer sm finns ch var de återfinns. Haparanda stad 3 av 25

infrmatin sm hanteras, det arbete sm sker med den interna kntrllplanen ch det förbättringsarbetet med de styrande dkumenten). Kntrllfråga 4. Finns tydlighet kring ansvar ch rller Enligt vår bedömning är att rller ch ansvar inte tillräckligt tydliga. Det finns ett behv att tydliggöra lika rllers uppgifter, samverkan ch kmmunikatinen mellan de lika rllerna. Vi ser behv att tydliggöra rllen infrmatinssäkerhetssamrdnare. Detta mfattar även m rllen ska arbeta mer berende mt IT-chefen. Kntrllfråga 5. Sker tillräcklig kmmunikatin mellan verksamheten ch IT? Det sker en kmmunikatin avseende IT hanteringen på lika sätt. Ett exempel är att IT ansvarig inm scialförvaltningen deltar regelbundenhet vi nämndens sammanträden. Ansvarig vid IT avdelningen har regelbundna kntakter med både verksamhetsansvariga, kmmunchef ch IT ansvariga vid förvaltningarna. Enligt vår bedömning synes det dck finnas behv att ytterligare förbättra kmmunikatinen kring IT relaterade verksamhetsfrågr. Det IT-råd sm funnits är i vår mening ett viktigt medel för ledningen att styra IT utifrån verksamheternas behv. Vi nterar att det pågår ett arbete med att etablera rådet på nytt ch samtidigt se över uppgifter ch arbetssätt. Detta är i vår mening psitivt eftersm det är viktigt att det finns ett fungerande frum där ledningen ch IT ansvariga kmmunicerar IT hanteringen 2 tillsammans. Vi rekmmenderar att det övervägs att etablera ett frum där kmmunens lika IT-resurser möts (IT-chef, systemförvaltare m.fl.). Kntrllfråga 6. Är IT-driften/användning av IT tillräckligt fri från störningar/incidenter? Vi har nterat att en markant str andel av de svarande anger att det i huvudsak är lite störningar relaterat till IT. Det finns dck kmmentarer sm gör att det kan krävas en djupare analys (vilka prblem finns, vilka knsekvenser ger prblemen ch vad kan vara rsaken). Vi rekmmenderar att de principer sm finns kring vem sm beslutar m när datrer ska bytas ses över. (t ex bör ägande av datrer utgå från kmmunstyrelsen ch finansieras via funktinshyra, beslut m cykler för byten fattas då av kmmunledningen med stöd av det mnämnda IT-rådet). 2 Exempel på frågr att hantera/kmmunicera är t ex behv av framtida upphandlingar av IT- system (t ex e-tjänster) ch utrustning (exempelvis datrer, läs/surfplattr ch mbiltelefner) ch hur detta arbete ska balanseras mt de resurser sm finns. Hur ska kmmunen hantera de krav sm finns avseende t ex IT i undervisningen. Samrdning ch pririteringar. I gruppen behandlas även de krav sm bör ställas på IT-kntret ch andra IT-resurser idag ch i framtiden. Vilka IT-relaterade risker finns. Vilka kan accepteras ch vilka måste hanteras. Vad behöver adresseras till kmmunledningen/ kmmunstyrelsen. Haparanda stad 4 av 25

Kntrllfråga 7. Hantering av prblem ch infrmatinssäkerhetsrelaterade händelser Vi kan knstatera att en str andel av de svarande svarar psitivt på frågr kring stöd ch supprt. Vi rekmmenderar att ärenden sm inkmmer ska dkumenteras på ett bättre sätt, till exempel sm stöd för praktivt arbete. Vi rekmmenderar att verksamheternas behv att förbättra IT-kntrets bevakning av infrastrukturen kmmuniceras inm kmmunledningen. I avsnitt 3.3 kring tydlighet i rller har vi nterat att det krävs ett tydliggörande kring lika rllers ansvar ch uppgifter, till exempel vart ska användare vända sig vid lika prblem. Kntrllfråga 8. Finns tillfredsställande generell behörighetshantering till det gemensamma nätverket? Vår bedömning avseende de kntrller vi utfört är att den generella behörighetshanteringen till str del synes tillfredställande. Vi rekmmenderar att alla datrer bör ha en skärmsläckare sm slår på med autmatik ch där inställningen inte kan ändras av användare 3. De flesta av kmmunens skrivare har en funktin för säker utskrift 4.. I kmmentarer från användare har det dck angetts risker vid utskrifter. Av denna anledning ser vi behv av översyn ch infrmatin m hur de nya skrivarna reducerar risker att dkument når behöriga. Andra alternativ kan t ex vara att ställa skrivare i andra utrymmen ch eller ändra rutiner vid utskrift 5. Enligt uppgifter har det skett tester avseende brandväggens tillförlitlighet. Vi rekmmenderar dck att behv av att i ökad grad testa tillförligheten avseende brandväggens skydd kmmuniceras inm ledningen. Vikten av att chefer meddelar persnalförändringar i gd tid bör kmmuniceras till chefer. 3 Efter ett visst antal minuter slås skärmsläckare på. Kd krävs för att öppna datrn. 4 Vid köp av ny skrivare sker inköp av skrivare av typen fllw me, detta innebär att papper kan utmatas då användaren står bredvid skrivare. Papper kan då tas m hand direkt. 5 I väntan på att alla skrivare har funktin för säker utskrift kan skrivare ställas i andra utrymmen. Än ändring av rutiner kan vara att andra skrivare används då papper skrivs ut. Haparanda stad 5 av 25

2. Uppdraget 2.1. Bakgrund Ett fungerande IT-stöd är av str betydelse i den kmmunala verksamheten. Den mderna infrmatinsteknlgin ger möjligheter att höja kvalité, säkerhet ch effektivitet i de lika verksamheterna samt sprida ch öka tillgängligheten till infrmatin med mera. IT är en förutsättning för att verksamheten skall fungera på ett effektivt ch säkert sätt. Stra möjligheter finns att ytterligare effektivisera verksamheten med IT (till exempel underlätta för kunder/brukare). Brister kring hantering av IT ch användning av IT i lika aktiviteter medför även risker att verksamheten ch deras kunder ch intressenter kan påverkas mycket negativt. Exempel på risker är: Olika lagar inte tillämpas på ett krrekt sätt exempelvis Skllagen avseende IT i undervisningen, ffentlighet ch sekretesslagen, persnuppgiftslagen, Scialstyrelsens föreskrifter (SOSFS 2008:14). Arkivlagen. Systemen är tillgängliga på ett sätt sm kan drabba verksamheten allvarligt. Infrmatin försvinner. IT-relaterade störningar ch prblem leder till slöseri med tid ch/eller att kunder drabbas negativt. Förtrendekapital påverkas på grund av önskad användning av internet, krångel ch störningar sm blir synliga till elever, föräldrar ch internetanvändare Den snabba utvecklingen av tekniken innebär att det kmmer nya risker sm måste beaktas mbiltelefner, appar, läsplattr, sciala media mm. Mbiliteten är str ch önskan från allmänhet ch lika yrkesgrupper ökar hela tiden (jbba hemma, tåget, htell utanför den rdinarie verksamheten.) Mt bakgrund av van samt genmförd risk- ch väsentlighetsanalys har revisrerna i Haparanda kmmun beslutat att ge i uppdrag att granska IT hanteringen ch infrmatinssäkerheten. Haparanda stad 6 av 25

2.2. Revisinsfråga Finns en tillfredställande intern styrning ch kntrll för en effektiv ch säker hantering av IT? 2.3. Kntrllfrågr Frågan avgränsades till nedanstående kntrllmråden Finns aktuella styrande dkument ch riktlinjer samt är dessa tillräckligt införda? Detta innefattar användares kunskap m de dkument sm upprättats avseende infrmatinssäkerheten. Sker uppföljning kring efterlevnad av de styrande dkumenten? Analyseras IT-relaterade risker på ett systematiskt? Är rller ch ansvar kring IT-användningen tillräckligt tydliga? (detta innefattar till exempel ansvaret att styra ch stödja kmmunens infrmatinssäkerhetsarbete samt att det även finns tillräckligt med resurser avseende för de uppgifter sm ska utföras). Sker tillräcklig kmmunikatin mellan verksamheterna ledningen ch IT ansvariga (sm stöd för ledningens styrning av IT levereras kntinuerligt utifrån verksamhetens behv/krav)? Är IT-driften/användning av IT tillräckligt fri från störningar/incidenter? Finns tillfredställande rutiner för rapprtering ch hantering av prblem ch infrmatinssäkerhetsrelaterade händelser (incidenthantering, bevakning av infrastrukturen, analyser av prblem ch rsaker)? Finns tillfredsställande generell behörighetshantering till det gemensamma nätverket? (detta innefattar även hur risker för s.k. externa intrång reduceras ch att det sker en säker hantering då infrmatin skrivs ut från IT-systemen). 2.1. Metd ch avgränsning Granskningen genmförs via dkumentstudier, webbaserad faktainsamling från användare ch chefer. Intervjuer har skett med IT-chef, tekniker vid IT-kntret, Kmmunchef, Grundsklechef. Systemansvarig inm scialförvaltningen (även biträdande förvaltningschef). Ansvarig för IT inm sklan. Den frågr sm ställts till användare via webben har varit en viktig del i granskningen. (frågefrmuläret mfattade även rllerna chef ch lärare). Ttalt besvarade cirka 320 användare våra frågr. Under rapprten lika avsnitt finns underlag från frågefrmuläret. Grafiken ska tlkas enligt följande. Värden till vänster innebär att respndenten besvarat frågan med instämmer inte alls eller till viss del. Värden till höger innebär att frågan besvarat med i instämmer huvudsak eller helt. Siffrr i liggande staplar visar antalet svarande. Gråvit färg innebär att användare besvarat med vet ej. Vi har främst Haparanda stad 7 av 25

efterfrågat kmmentarer då respndenten inte instämt i påståendet 6 (svarat instämmer inte alls eller till viss del). Granskningsbjektet är i första hand kmmunstyrelsen. Samtliga nämnder berörs. 6 Efter att användare haft svarsalternativen helt, i huvudsak, till viss del, inte alls fanns texten Om du svarar till viss del eller inte alls. Kmmentera m du upplever prblem med detta ch/eller vilka knsekvenser detta ger Haparanda stad 8 av 25

3. Granskningens resultat 3.1. Finns styrande dkument avseende IT ch är de tillräckligt kmmunicerade Finns aktuella styrande dkument ch riktlinjer samt är dessa tillräckligt kmmunicerade (införda inm de lika verksamheterna)? Detta avsnitt syftar till att ge en övergripande bild kring vilka kmmunövergripande plicys ch andra styrande dkument sm finns (riktlinjer, överenskmmelser, dkumenterade prcess- ch/eller rutinbeskrivningar etc). Dkument sm syftar till att bidra till en gd intern styrning ch kntrll avseende IT-hanteringen. Iakttagelser Vi har i vår granskning tagit del av följande styrande ch stödjande dkument. IT-plicy: fastställd 2013-03-11 av kmmunfullmäktige (detta framgår dck inte tydligt av IT-plicyn, men av KF:s beslut KF 5 2013-03-11). Plicyn är en viljeinriktning för hur kmmunen ska använda IT i sina verksamheter. Internetplicy: fastställd 2011-02-25 av IT-chef. Plicyn innehåller allmänna förhållningsregler för användande av internet på kmmunens datrer (e.d.). Dkumentet mfattar till str del infrmatin m risker för virus. IT-strategi 2007-2009: antagen 2007-12-10 av scialnämnden ch 2008-02- 11 av kmmunstyrelsen. Strategin pekar verksamhetens IT-behv ch verksamhetens kmmande IT-relaterade utvecklingsbehv. Strategin är avgränsad till scialtjänstens verksamhet ch listar hur IT ska användas för att uppnå nämndens tre övergripande mål. E-pstplicy: fastställd 2014-12-15 av kmmunchef ch IT-chef. Plicyn fastställer under vilka förutsättningar sm en persn kan beviljas ett e-pstknt. Det är fastställt vilket ansvar användaren har samt vilket ansvar användarens chef har (beställning, inaktivera ch avsluta ett knt). Telefnplicy: saknar datum för fastställande ch fastställande funktin. Plicyn fastställer hur kmmunens mbiltelefner ska användas. Dkumentet anger hur användarnamn ska frmas för lika användargrupper i lika system, hur förvaltningar ch blag ska förkrtas, samt standarder för namn i lika system. Säkerhetsinstruktiner för användare av IT-system: versin 2002-11-20. Dkumentet är beslutat av Kmmunens ledningsgrupp. Dkumentet innehåller instruktiner m hur användaren ska göra samt infrmatin m användarens ansvar i användandet av IT-utrustning, verktyg, prgram, etc. Dkumentet saknar datum för fastställande ch fastställande funktin/rll. Haparanda stad 9 av 25

PM för sciala medier: upprättat 2011-08-29. Saknar datum för fastställande ch fastställande funktin. Dkumentet innehåller instruktiner för vem sm kan gdkänna att verksamheten använder sciala medier samt vilka skyldigheter den sm använder sciala medier i tjänsten har. Vidare listas exempel på lämpligt material samt infrmatin m allmänna handlingar på sciala medier. Infrmatinssäkerhetsplicy för Scialtjänsten: antagen 2012-03-13 av scialnämnden. Plicyn mfattar begreppsdefinitiner, infrmatinsklassificering, mål för infrmatinssäkerheten, rll- ch ansvarsfördelning inm nämndens rganisatin, samt övergripande krav m infrmatinshantering. Olika mål för infrmatinssäkerheten anges. Medarbetare har kunskap m gällande infrmatinssäkerhetsregler Infrmatinsförsörjningen är säker, effektiv ch stödjer verksamheten Lagar, förrdningar ch föreskrifter är kända ch följs Ingångna avtal är kända ch följs Krishanteringsförmågan upprätthålls Alla investeringar både i frm av infrmatin samt teknisk utrustning har skydd i tillräcklig grad Säkerställa att gd kmpetens m infrmatinssäkerhet upprätthålls inm scialtjänsten vid Haparanda kmmun Vi har även tagit del av lika äldre dkument 7 sm enligt de intervjuade inte används i praktiken. Det finns inte några aktuella dkument sm mfattar framtida kmmunövergripande 8 krav på IT-verksamheten (till exempel e-strategi, IT-strategi). Arbeten sm pågår Det har påbörjats ett arbete kring att se över (revideras) lika dkument ch vilken status 9 lika dkument ska ha. Ett första arbeten sm skett är att ett kartläggningsarbete ch ett insamlade av de lika styrande dkument sm berör IT-hanteringen. Efter detta ska ett revideringsarbete påbörjas. Arbetet kmmer att mfatta att utreda behvet av ytterligare styrande dkument ch att ev. upprätta dkumenten. 7 Från mitten av 90 talet. 8 Det finns för den sciala verksamheten, Det finns inte någn sm mfattar hantering av IT inm sklan. 9 t ex vilka dkument bör fastställas av kmmunstyrelsen. Vilka bör vara underliggande dkument sm kan förändras ch fastställas av tjänstemän. Haparanda stad 10 av 25

Det finns ett utkast till riktlinjer för rller ch ansvar inm infrmatinssäkerhet ch systemförvaltning. Riktlinjer beskriver bl.a. ansvar för infrmatinsägande, systemägande ch systemförvaltning. Dkumentet är upprättat av IT-chefen. Utkastet kmmer att kmmuniceras inm kmmunledningen för att ev. fastställas. Det anges att efter att arbetet med att revidera lika dkument genmförts så ska det tas fram en plan för hur lika dkumenten ska kmmuniceras till de rller sm berörs av dkumenten. Det anges att ett viktigt frum i arbetet är det IT-råd sm mnämns i avsnitt 3.4 kmmunikatinen kring IT-hanteringen. Avseende rådet pågår ett arbete med att över vilka sm ska vara med i IT-rådet ch hur rådet ska arbeta mt andra grupperingar inm kmmunen till exempel kmmunen ledningsgrupp. Användarenkäten Frågr ställdes m användare 10 känner till dkument sm bör vara kända av alla, sm exempelvis instruktiner för användare. Svaren varierar där de flesta anger att de känner till dkumenten ch var de återfinns. Många av de svarande anger dck att dkumenten inte är tillräckligt kmmunicerade ch kända. Flera anger att de inte vet var de återfinns. Grafiken visar användare/lärares svar på frågr kring de styrande dkumenten Våra kmmentarer ch bedömning Vi kan knstatera att det finns många bra dkument sm stödjer hanteringen av IT ch infrmatinssäkerheten. Enligt vår bedömning finns ett behv att se över ch revidera lika dkument. Den infrmatinssäkerhetsplicy sm finns inm Scialtjänsten bör kunna ligga till grund för att upprätta kmmunövergripande 11 dkument sm stöd för infrmatinssäkerheten. 10 Där många av de svarande även har persnalansvar. 11 Dkumentet mfattar infrmatinsklassificering, mål för infrmatinssäkerheten, rller- ch ansvarsfördelning, analyser av risker, Uppföljning. Det saknas idag ett övergripande dkument sm stöd för infrmatinssäkerheten. Haparanda stad 11 av 25

Enlig vår bedömning är inte dkumenten tillräckligt implementerade till de rller sm berörs 12. Samtidigt kan vi knstatera att det pågår ett förbättringsarbete avseende de styrande dkumenten sm berör IT. Efter att lika dkument kmmunicerats fram ch fastställts är det givetvis viktigt att det genmförs infrmatins- ch utbildningsaktiviteter för att nå ut till de rller sm berörs av lika dkument. Det är viktigt att kmmunstyrelse ch nämnder är delaktiga i förbättringsarbetet ch säkerställer att det pågående arbetet genmförs sm planerat. Vi kan se behv av att det sker en översyn kring att tydliggöra vem sm står bakm lika dkument, när dkumentet upprättas ch dkumentets status i förhållande till andra dkument med mera. (Det finns dkument sm i vår mening bör fastställas av kmmunstyrelsen, till exempel internetplicyn.) Avseende de dkument inm infrmatinssäkerhet sm riktar sig till alla inm kmmunen rekmmenderar vi att användare ska underteckna/bekräfta att de tagit del av dkumenten. Vi rekmmenderar att strategiska dkument kring vad sm kmmer att krävas för att leverera IT ch IT-stöd på lite längre sikt kmmuniceras ch utarbetas inm kmmunen. Vi har nterat att det finns en viljeinriktning avseende hantering av IT sm är fastställd av kmmunfullmäktige 13. 3.2. Sker uppföljning av att IT hanteras utifrån de styrande dkumenten med mera. Sker uppföljning kring efterlevnad av de styrande dkumenten? (till exempel uppföljning kring att de styrande dkumenten är kända, att de tillämpas ch/eller att det sker uppföljning på ett annat sätt ch att IT-används/hanteras effektivt ch säkert). Iakttagelser Uppföljning sker på ett varierande sätt inm kmmunen. IT ch systemansvariga inm varje förvaltning följer upp ch rapprterar hur det fungerar till ledningen på lika sätt. Ett exempel är att IT ansvarig inm scialförvaltningen deltar regelbundenhet vi nämndens sammanträden. Ansvarig vid IT avdelningen har regelbundna kntakter med både verksamhetsansvariga, kmmunchef ch IT ansvariga vid förvaltningarna. I det mnämnda IT rådet har nuläge ch framtidsbehv kmmunicerats. Det pågår en översyn kring rådets arbete (se avsnitt 3.4). Det anges att det inte skett någn tillräcklig systematiskt uppföljning avseende efterlevnad av de kmmunövergripande dkumenten avseende IT. Det anges att i de planer sm finns kring att förbättra de styrande dkumenten så mfattas hur dkumenten ska kmmuniceras ch hur efterlevnaden av dkumenten ska följas upp. Det pågår även ett arbete med att förbättra 14 kmmunen arbete med den interna kntrllen. Detta kmmer att innebära att uppföljning av styrande dkument inm IT kan 12 Kravet är att rätt rll/den rll sm berörs ska känna till dkumentet ch förstå innehåll, t ex ansvar ch uppgifter (rektrer, lärare, IT-kntaktpersner, elever m fl). Vi kan knstatera att många av de användare sm besvarat enkäten är säkra kring vilka plicys ch riktlinjer sm finns ch var de återfinns. 13 Detta innebär att dkumentet har hög status. Både styrelse ch nämnder har ett ansvar att efterleva dkumentens innehåll. 14 Arbetet leds av kmmunens planeringsstrateg Haparanda stad 12 av 25

kmma att innefattas i den internkntrllplan sm nämnd ch styrelse fastställer årligen. Det förbättringsarbete sm sker berör även analyser av risker. Se mer i avsnitt 3.3 analyser av risker. Uppföljningen berörs av i avsnitt 3.4 frum för kmmunikatin. Användarenkäten Frågr ställdes m användare 15 m de bedömer att det sker uppföljning kring hanteringen av IT. Många användare sm besvarat vårt frmulär anger att det enligt deras uppfattning inte sker någn uppföljning. 70 svarar till viss del, 44 inte alls ch 60 svarar vet ej ). Grafiken nedan visar användares svar på fråga m de anser att det sker uppföljning kring tillämpning av styrande dkument ch användning av IT. Våra kmmentarer ch bedömningar Vi har nterat att det sker uppföljning på lika sätt till exempel av systemförvaltaren i verksamheternas lika system. Dck är vår bedömning att den systematiska uppföljningen avseende efterlevnad av lika styrande dkument inte är tillräckligt. Vi kan dck knstatera att det är planerat att förbättra uppföljningen efter att de nya dkumenten kmmunicerats inm ledningen, fastställts ch implementerats. Vi har även nterat att det sker ett förbättringsarbete inm den interna styrningen ch kntrllen. Detta arbete berör styrelse ch nämnders uppföljning av infrmatinssäkerheten ch IT-hanteringen. 3.3. Analyseras IT-relaterade risker på ett systematiskt sätt? Frågeställningar syftar till att bedöma m IT-relaterade risker analyseras inm förvaltningar ch inm lika verksamheter, till exempel hur på verkas vi ch våra kunder då IT-stödet inte är tillgängligt. Vilka lagar ställer krav på hur vi hanterar vår infrmatin ch vad kan göra att vi inte efterlever lagen. Vad kan inträffa m infrmatinen kmmer behöriga till del. Hur ska lika risker hantera/reduceras. Iakttagelser IT-relaterade risker analyseras på lika sätt inm lika verksamheter. Vi har till exempel tagit del av exempel från scialförvaltningen. I den mnämnda infrmatinssäkerhetsplicyn inm scialtjänsten finns det fastställt att risker ska analyseras. Det har framkmmit att det finns behv att förbättra det systematiska analysarbetet kring risker sm berör IT inm kmmunens lika verksamheter. Det har påbörjats ett arbete med att klassificera den infrmatin sm hanteras inm kmmunen, till exempel var ch hur hanteras persnuppgifter. En bidragande anledning till arbetet är att det nu kmmer nya regler kring hantering av persnuppgifter (EU-förrdning). 15 Där många av de svarande även har persnalansvar. Haparanda stad 13 av 25

IT-chefen medverkar i ett frum med infrmatinssäkerhetssamrdnare sm finns inm kmmuner i Nrrbttens län. Inm detta nätverk kmmuniceras lika risker kring IT ch hur de kan reduceras (till exempel behv av förändringar av teknik, rutiner, behv av riktlinjer) Sm mnämnts pågår ett arbete med att förbättra arbetet med den interna styrningen ch kntrllen. Detta kmmer till exempel att mfatta förbättringar av styrelse ch nämnders arbete med den interna kntrll planen (åtgärder ch andra aktiviteter sm baseras på analyser risker). Användarenkäten Frågr ställdes till användare m de bedömer att det sker analysera av IT-relaterade risker. Många av de svarande besvarar frågan med inte alls eller till viss del. Grafiken nedan visar användares svar på fråga m de anser att det sker uppföljning kring tillämpning av styrande dkument ch användning av IT. Våra kmmentarer ch bedömningar Utifrån den bild vi fått finns behv att i ökad grad analysera risker inm verksamheterna sm kan relateras till IT mer systematiskt. Vi nterar samtidigt att det påbörjats arbeten med att förbättra analysarbetet ytterligare (till exempel det arbete sm påbörjas med att klassificera infrmatin, det arbete sm sker med den interna kntrll planen, förbättring av de styrande dkumenten). 3.4. Finns tydlighet kring ansvar ch rller Är rller ch ansvar kring IT-användningen tillräckligt tydliga? (detta innefattar till exempel ansvaret att styra ch stödja kmmunens infrmatinssäkerhetsarbete samt att det även finns tillräckligt med resurser avseende för de uppgifter sm ska utföras.) Iakttagelser IT-kntret ansvarar för den kmmungemensamma IT-plattfrmen (nätverk, servrar, datrer utrustning ch bevakning av infrastrukturen med mera). De ansvarar även för kmmunens service desk funktinen dit användare ska vända sig i lika ärenden 16 till exempel då de har tekniska prblem. Funktinen ska ta emt kunskapsrelaterade frågr avseende kmmungemensamma system till exempel mailsystemet ch intranätet. 16 Telefni, mbiltelefner, nät, lösenrd, utskrifter, prblem med prgram applikatiner, datrprblem, epst, nya användare, beställning av datrer, telefner mm. Installatiner. Haparanda stad 14 av 25

Inm utbildningsförvaltningen används Mac-datrer. Dessa datrer hanteras till största delen inm sklan (tillsammans med leverantören av datrerna 17 ). Avseende hanteringen av Mac datrer har det har framkmmit att det finns behv att tydliggöra ansvaret mellan förvaltningen ch det gemensamma IT-kntret (t ex vem man ska vända sig till, vilka tekniska prblem ska IT-kntret ta ansvar för). För varje system ska det finnas en systemägare. För de verksamhetsövergripande systemen är förvaltningschefen systemägare. Det finns utsedda systemförvaltare för de flesta av kmmunens system. Systemförvaltare är en länk mellan verksamheterna ch ITkntret. Enligt de intervjuande finns behv att tydliggöra ansvar ch uppgifter för både systemägarrllen ch systemförvaltarrllen. Det finns inte någn fastställd mdell kring hur systemförvaltningen ska bedrivas. Det pågår ett arbete med att tydliggöra lika rller (se avsnitt 3.1 styrande dkument). Inm varje nämnd finns nämndsekreterare sm även har ett ansvar sm persnuppgiftssamrdnare. IT-kntret leds av kmmunen IT-chef. IT-chefen är rganisatriskt underställd tekniska chefen. Kmmunens IT-chef tar idag ett ansvar i arbetet med det övergripande infrmatinssäkerhetsarbetet (ge råd, deltar i nätverk avseende infrmatinssäkerhet, arbetar med de styrande dkumenten m.m.). Det har framkmmit att det finns behv att tydliggöra denna rll (infrmatinssäkerhetssamrdnare). Användarenkäten Svaren från användare varierar där många anger att det finns en tydlighet avseende lika rllers uppgifter med mera. Dck anger även många att det inte är tillräckligt tydligt, till exempel svarar 40 användare att det inte alls är tydligt vem sm är systemförvaltare för de system de använder mest. Många anger även att det är tydligt vem sm har ett ansvar för att ge stöd ch råd inm infrmatinssäkerhet. 17 Leverantören hanterar bl.a garantiärenden ch reparatiner av datrer. Haparanda stad 15 av 25

Svar på frågr m tydlighet i ansvar ch rller Exempel på kmmentarer från användare Ingen direkt IT ansvarig på sklan. Behöv en sådan för både ss pedagger ch elever. /Lärare Vem skall man kntakta ex när internet har dålig uppkppling. /Lärare Tar lång tid att få hjälp samt att prblemet uppstår igen. /Lärare Vet inte vem jag kntaktar direkt/lärare/pedagg Hade varit lite bra med någn frm av intrduktin. Även elever skulle behöva lite stöd ibland. /Lärare/pedagg De flesta svarar att "någn annan" har ansvaret när jag försökt kmma med synpunkter på inköpta system. /Lärare/pedagg På vår skla vänder vi ss fta till IT lärarna när vi får prblem! Det har aldrig framgått att det är deras uppgift! /Lärare/ Man går direkt till IT-kntret m man behöver stöd. / Kmmunledningsförvaltningen IT avdelningen är alltid hjälpsamma, strt sm smått. Men skulle önska riktlinjer kring hur man ska kmmunicera till exempel fel anmäla, via mail/telefn? vem sm har hand m vad. Jag vänder mig till it-kntret i alla situatiner. Jag har då alltid fått hjälp därifrån! /Scialförvaltningen Våra kmmentarer ch bedömningar Enligt vår bedömning är att rller ch ansvar inm IT hanteringen inte tillräckligt tydliga. Det finnsett behv att tydliggöra lika rllers uppgifter, samverkan ch kmmunikatinen mellan de lika rllerna. Vi kan samtidigt knstatera att det pågår ett förbättringsarbete (se avsnitt 3.1 avseende arbete med styrande dkument). Vi ser behv att tydliggöra rllen infrmatinssäkerhetssamrdnare. Detta mfattar även m rllen ska arbeta mer berende mt IT-chefen. Haparanda stad 16 av 25

3.5. Sker tillräcklig kmmunikatin mellan verksamheten ch IT? Sker tillräcklig kmmunikatin mellan verksamhetsansvariga, kmmunledningen ch lika IT ansvariga (sm stöd för ledningens styrning av att leverera rätt ch säkert IT-stöd utifrån verksamhetens behv/krav )? Iakttagelser Inm varje förvaltning kmmuniceras IT mellan förvaltningsledningen ch IT-resurser på lika sätt 18. För cirka 1 år sedan bildades ett IT-råd. I rådet ingick bland annat grundsklechef, intendent inm sklan, chef för medbrgarkntret ch biträdande scialchef sm även är ansvarig för IT inm scialförvaltningen. Sammankallande är IT-chefen. Idag är inte rådet fungerande till exempel berende på att persner har slutat eller bytt rller inm kmmun. Det förs diskussiner kring vilka sm ska delta i rådet, uppgifter ch samspel med andra rller ch frum, till exempel kntakter med kmmunen ledningsgrupp. Det anges att rådet ska ha en viktig rll i förbättring av de styrande dkumenten. IT-chefen ingår inte i kmmunens ledningsgrupp. Det finns andra fra där IT-chefen deltar till exempel deltar IT-chefen i ett nätverk inm Nrrbttens län avseende infrmatinssäkerhetsfrågr. Det finns ett frum inm kmmunen där bland annat risker ch prblem kring persnuppgifter diskuteras 19. I detta frum deltar bland annat IT-chefen ch PUL-samrdnare (nämndsekreterare). Det finns en gemensam nämnd inm där kmmuner inm Nrrbtten samverkar. Nämnden ska stöda implementering av regeringens intentiner för e-samhället (se bilaga 1). IT-chefen har regelbundna kntakter med verksamhetsansvariga ch lika IT-resurser. Hur kmmunikatinen ska bedrivas är inte frmaliserad. Det anges dck att det förkmmit att IT-kntret blivit infrmerad för sent avseende förändringar i verksamheten sm påverkat deras förmåga att leverera ch vilka gemensamma kstnader detta medför. Våra kmmentarer ch bedömningar Enligt vår bedömning synes det finnas behv att ytterligare förbättra kmmunikatinen kring IT relaterade verksamhetsfrågr. Det IT-råd sm funnits är i vår mening ett viktigt medel för ledningen att styra IT utifrån verksamheternas behv. Vi nterar att det pågår ett arbete med att etablera rådet på nytt ch samtidigt se över uppgifter ch arbetssätt. Detta är i vår mening psitivt eftersm 18 Det finns inte någt fastställt kring hur IT relaterade frågr ska kmmuniceras inm förvaltningarna. Ett sätt är t ex att det finns förvaltningsspecifika frum där ledningen ch IT-resurser möts. 19 Exempel på frågr är diskussiner m EU:s dataskyddsförrdning., Genm kntakterna Infsäkerhetsnätverket kmmer ansvarig inm Luleå kmmun att kmma till kmmunen ch diskutera EU:s dataskyddsförrdning. Haparanda stad 17 av 25

det är viktigt att det finns ett fungerande frum där ledningen ch IT ansvariga kmmunicerar IT hanteringen 20 tillsammans. Vi rekmmenderar även att det övervägs att etablera ett frum där kmmunens lika IT-resurser möts (IT-chef, systemförvaltare m.fl.). Dkumenterade underlag från denna gruppering kan utgöra underlag i IT-rådet van, till exempel det sm inte IT-resurser råder över att hantera. 3.6. Är IT-driften/användning av IT tillräckligt fri från störningar/incidenter? Är IT-driften/användning av IT tillräckligt fri från störningar/incidenter (svar baseras på användarnas uppfattning via frågefrmulär, till exempel ställs frågr m hur ev. störningar ch tidsbrtfall inverkar på verksamheten ch deras kunder )? Iakttagelser Under de senaste åren har det skett lika förbättringar av IT infrastrukturen. Det anges att det funnits möjlighet att frtlöpande kunnat bibehålla ch förbättra den tekniska infrastrukturen (investera i nya servrar, nät, switchar etc). Under året har det skett förbättringar av de trådlösa näten. Enligt IT-ansvariga vi intervjuat finns idag en stabil IT-plattfrm. Förvaltningsledning kan bestämma 21 när datrer ska bytas ut. Då IT-kntret ser behv av byte så rekmmenderar de att det sker inköp av nya. Vanligtvis så sker det då ett utbyte av datrer. Användarenkäten Vi har ntera att den markant övervägande 22 delen av de svarande upplever att det i huvudsak fungerar tillfredställande. Några användare har dck angett att det förekmmer IT-relaterade störningar. Kmmentarer avseende prblem/knsekvenser har främst inkmmit från lärare. Se även risker vid utskrifter i avsnitt 3.8. 20 Exempel på frågr att hantera/kmmunicera är t ex behv av framtida upphandlingar av IT- system (t ex e-tjänster) ch utrustning (exempelvis datrer, läs/surfplattr ch mbiltelefner) ch hur detta arbete ska balanseras mt de resurser sm finns. Hur ska kmmunen hantera de krav sm finns avseende t ex IT i undervisningen. Samrdning ch pririteringar. I gruppen behandlas även de krav sm bör ställas på IT-kntret ch andra IT-resurser idag ch i framtiden. Vilka IT-relaterade risker finns. Vilka kan accepteras ch vilka måste hanteras. Vad behöver adresseras till kmmunledningen/ kmmunstyrelsen. 21 Utifrån finansiseringsprinciper äger förvaltningarna datrer. Principer sm används gör att de även fattar beslut m inköp av nya datrer. 22 Andel sm brukar ge en negativ bild brukar vanligtvis vara högre. Haparanda stad 18 av 25

Grafiken visar svar på frågr m IT-relaterade störningar Exempel på kmmentarer från användare. "några gånger/vecka har vi prblem med nätet. Kan inte öppna dm lika systemen/ Barn ch Ungdms förvaltningen" "Har inte möjlighet att läsa epst eller skicka meddelande. Kan inte dkumentera eller gå in ch läsa i prcapita. Barn ch Ungdms förvaltningen" "Nätet har fta legat nere ch ibland går strömmen. Då är det svårt för mig att utföra mitt arbete sm planerat. Detta går ut över "kunderna". Barn ch Ungdms förvaltningen" "Nätet ligger nere, strömmen går. Det går inte att utföra arbetet sm planerat. Elever kan inte lämna in uppgifter. Det går inte att använda kanner i klassrummen. Det går inte att redvisa muntliga presentatiner sm planerat. Det går inte att föra in/klla närvar. / Barn ch Ungdms förvaltningen" "Det är av utskrift, nätet krånglar när vi ska gå in på datan ch t ex ska se på Livet i mattelandet etc Barn ch Ungdms förvaltningen" "Det tar tid att få ut dkument från vår nya skrivare, då det kan vara kö ibland. /Barn ch Barn ch Ungdms förvaltningen" Det går för långsamt ch jag förlrar därmed arbetstid. /Annan Mycket, mycket sällan störningar/scialförvaltningen "De trådlösa nätverken strular på sklrna/ Barn ch Ungdms förvaltningen" Vår skrivare på Stöd ch msrg, strular fta ch den behöver användas fta. Våra kmmentarer ch bedömningar Vi har nterat att en markant str andel av de svarande anger att det i huvudsak är lite störningar relaterat till IT. Det finns dck kmmentarer sm gör att det kan krävas en djupare analys (vilka prblem finns, vilka knsekvenser ger prblemen ch vad kan vara rsaken). Vi rekmmenderar därför att det sker en djupare analys inm förvaltningarna. Analysen bör ge en dkumenterad bild av nuläget, till exempel vilka prblem har åtgärdats, vad kvarstår, vilka knsekvenser ger prblemen ch vad kan vara rsaken samt hur kan en förbättring genmföras). Detta är viktigt för att till exempel ge underlag för pririteringar, åtgärda 23 eller acceptera eventuella prblem. 23 T ex krävs investering i bättre/ny teknik, riktlinjer ch stödjande dkument, mer utbildning till användare, mer tid för systemansvariga, Haparanda stad 19 av 25

Att bservera är att många av de prblem sm nämnts i kmmentarerna från användaren redan kan vara åtgärdade. Orsaken till prblemen kan vara många (infrastruktur, tekniska prblem i systemen, arbetsrutiner ch kunskap hs användare). Vi rekmmenderar att de principer sm finns kring vem sm beslutar m när datrer ska bytas ses över. (t ex bör ägande av datrer utgå från kmmunstyrelsen ch finansieras via funktinshyra, beslut m cykler för byten fattas då av kmmunledningen med stöd av det mnämnda IT-rådet). 3.7. Hantering av prblem ch infrmatinssäkerhetsrelaterade händelser Finns tillfredställande rutiner för rapprtering ch hantering av prblem ch infrmatinssäkerhetsrelaterade händelser (incidenthantering, bevakning av infrastrukturen, analyser av prblem ch rsaker)? Iakttagelser IT-kntret ansvarar för den servicedeskfunktin användare ska ringa vi tekniska prblem. De ska även ta emt kunskapsrelaterade prblem där IT-kntret är systemansvariga, t ex mailsystemet ch internet. Anmälan sker via växeln ch e-pst. Avseende kunskapsrelaterade prblem i verksamheternas lika system ska användare vända sig till ansvariga för de lika systemen. IT kntret lggar inte ärenden t ex infrmatinssäkerhetsrelaterade händelser på någt systematiskt sätt idag (IT-stöd saknas idag). Det förs diskussiner m att införa ett IT system för att stödja hantering av incidenter ch hantering av prblem/risker 24 (priritera, praktivt arbete med mera 25 ). Systemförvaltare inm kmmunen dkumenterar ärenden på ett varierade sätt. (Enligt uppgift saknas vanligtvis systemstöd). Det finns utrusning för att mäta prestanda, störningar ch kvalité i kmmunens nätverk. Servrar ch epst bevakas kntinuerligt. Det förs diskussiner kring att utöka bevakningen till att mfatta förbindelsepunkter (t ex switchar). Detta skulle kunna göra att IT kntret själva upptäcker incidenter sm sker ute verksamheten. Det anges att det kan finnas behv att kmmunicera de krav sm lika verksamheter ställer i ökad grad. Inm IT kntret är det kmmunicerat hur lika ärende ska pririteras 26. Dck anges att det finns behv att i ökad grad kmmunicera pririteringar med verksamheterna (systemägare, kmmunledning med flera). 24 Kan ses sm en avvikelsehantering avseende önskade händelser. 25 Ger underlag för lika mått, underlag för kända fel, underlag för rsaksanalys etc. 26 Olika system har lika priritering. Delvis har priritering skett av verksamheten tillsammans med IT. Haparanda stad 20 av 25

Användarenkäten Frågr ställdes kring hur användare ser på prcesser kring stöd, hjälp ch m kända avbrtt rapprteras på ett bra sätt. Vi nterar att en str andel synes nöjda med hanteringen. I enkäten efterfrågades kmmentarer då respndenten inte instämde i påståenden. Inm detta avsnitt erhölls dck ett flertal psitiva kmmentarer. Se nedan. Grafiken visar svar på frågr kring hantering av användares prblem m.m. Exempel på kmmentarer från användare Tycker vi har en väl fungerande IT "enhet" Jag upplever alltid att jag får hjälp, alla gör sitt bästa. /Har persnalansvar Scialförvaltningen" Persnalen på IT kntret svarar alltid när man ringer ch är snabba på att hjälpa till via telefn eller på plats! /Lärare superservice IT-killarna är guld värda. Meddelande m att ex uppdatering är klart kan dröja vilket gör att jag sitter i nödan ch väntar på att börja jbba. Kan ibland ta lite tid eftersm det ftast rör sig m systembuggar sm måste åtgärdas av systemägaren från vilka vi köper tjänsten/systemet/ Scialförvaltningen Vi har ng Nrrbttens bästa IT-kntr, kan jämföra eftersm jag jbbat mt alla 14 kmmuner i lika länsövergripande ch natinella prjekt. Haparanda stad 21 av 25

Våra kmmentarer ch bedömningar Vi kan knstatera att de flesta av de användare sm besvarat enkäten anger psitiva svar på våra frågr m stöd ch supprt. Vi rekmmenderar att ärenden sm inkmmer ska dkumenteras på ett bättre sätt, till exempel sm stöd för praktivt arbete. Detta gäller ärende sm upptäcks från IT kntrets bevakning av infrastrukturen ch de prblem sm rapprteras från användare. I samband med att IT-kntrets hantering förbättras bör möjligheten för IT-ansvariga för de mest kritiska systemen att använda samma system ses över. 27. Vi nterar att ett införande av ett IT system för detta ändamål är någt sm diskuteras. Vi rekmmenderar att verksamheternas behv att förbättra IT-kntrets bevakning av infrastrukturen kmmuniceras inm kmmunledningen. I avsnitt 3.3 kring tydlighet i rller har vi nterat att det krävs ett tydliggörande kring lika rllers ansvar ch uppgifter, t ex vart ska användare vända sig vid lika prblem. 3.8. Finns tillfredsställande generell behörighetshantering till det gemensamma nätverket? Frågeställningar inm mrådet syftade att m det finns en tillfredställande teknik ch prcesser för åtkmst till det gemensamma nätverket (inte hanteringen i de lika verksamhetssystemen). Området mfattade även hantering av utskrifter. Iakttagelser De intervjuer vi gjrt inm detta mråde har mfattat nedanstående mråden. Hur behörigheter tilldelas vid nyanställning ch förändring av tjänst. Hantering då medarbetare avslutar sin anställning Rutiner då användare är i behv av ett nytt lösenrd. Regler avseende krav på byte av lösenrd ch gilltiga lösenrd. Finns skärmsläckare sm startar autmatiskt 28. Tekniker vid hemarbete Hantering av brandväggen ch tester av tillförligligheten av det skydd sm används. Sker utskrifter på ett säkert sätt, t ex finns skrivare sm kräver kd för utmatning av papper. Frågr ställdes till användare kring hur de ser på risker vid utskrifter. (se användarenkäten nedan). Det pågår ett arbetet kring att se äver hur adminstratinen av behörighetstilldelningen kan förbättras ytterligare via ett systemstöd. (Förbättringen skulle medföra att man får en bättre lgg över användaren vilka behörigheter sm beställts. Vilken utrustning en användare har, vilket system sm används m.m.) Det anges att chefer behöver bli bättre på att meddela när anställda ska sluta. Det anges dck att detta är bättre idag än det varit tidigare. För kntrll av att anställda tas brt 27 Detta ger en mer heltäckande bild avseende IT-relaterade störningar. Ger ökat stöd för praktivt arbete. 28 Användare ska inte kunna ändra detta. Haparanda stad 22 av 25

ur behörighetssystemet då en tjänst avslutas har det utarbetats rutiner tillsammans med persnalkntret För systemleverantörer sm måste ansluta sig mt kmmunen skapas en tillfällig uppkppling, när arbetet är genmförts kpplas leverantören brt ch det går inte att återanvända uppkpplingen (Det krävs att ny sessin skapas varje gång). Då anställda arbetar hemmifrån krävs tillåtelse av chefen. För åtkmst till nätet används tekniker för säker anslutning. Det går endast att ansluta med arbetsgivarens datrer. Det har skett tester att brandväggens skydd för behörig åtkmst. Användarenkäten Frågr ställdes kring hur användare ser på hantering av behörigheter. Avseende utskrifter har flera av de svararande angett att de ser risker att känslig infrmatin kan kmma behöriga till del. Många av kmmunens skrivare är s.k. Fllw me vilket innebär att det krävs en kd för att papper ska matas ut. Då nya skrivare köps in så är detta den teknik sm används. I övrigt har kmmentarer inm detta mråde varit sparsamma. Grafiken visar svar på frågr kring hantering av användares prblem m.m. Exempel på kmmentarer Närmaste skrivaren har ingen autentisering för utskrifter samt är belägen i en öppen krridr. Skrivaren en trappa ner är bakm lås samt att utskriften måste bekräftas innan utskrift. I ch med det nya systemet med inlggning till skrivare ser jag inte längre sådana risker. Jag har inte tagit del av rutin vid bevakad datr, det hade varit bra vid intrduktin få veta hur datrn ska hanteras. Vi har rutiner kring säkerhet för att "pstrummet" ska vara låst men utskrivaren emellanåt kan krångla ch det kan finnas risk att dkument blandas med någn annans dkument Min uppfattning är att det slarvas mycket ch rummet lämnas bevakat även när systemet kan vara öppen ch kan i princip använda då av andra. Haparanda stad 23 av 25

Alltid kan ju någn glömma en dörr öppen, men i huvudsak går det bra. En gemensam skrivare för hela sklan lärare ch elever sm kpierar. Ibland skrivs det in ut på en gång då blir man säker... Vid val av skrivare kan misstag ske. Säkerheten är dck numera betydligt bättre. Det kan kmma utskrifter från andra sklr/försklr. Risken är str för att dkument kmmer i fel händer. Då skrivaren står på andra våningen i besöks entrén, glömmer ibland brt att hämta utskrifter direkt pga andra plötsliga arbetsmment. Skrivaren är i krridren, alla på avdelningen ch besökare kan se vad sm skrivs ut m de vill det. Vid utskrift till central skrivare finns "fllw-me" funktin, detta saknas på lkal skrivare. Våra kmmentarer ch bedömningar Vår bedömning avseende de kntrller vi utfört är att den generella behörighetshanteringen till str del synes tillfredställande. Vi rekmmenderar att alla datrer bör ha en skärmsläckare sm slår på med autmatik ch där inställningen inte kan ändras av användare 29. De flesta av kmmunens skrivare har en funktin för säker utskrift30.. I kmmentarer från användare har det dck angetts risker vid utskrifter. Av denna anledning ser vi behv av översyn ch infrmatin m hur de nya skrivarna reducerar risker att dkument når behöriga. Andra alternativ kan t ex vara att ställa skrivare i andra utrymmen ch eller ändra rutiner vid utskrift 31. Enligt uppgifter har det skett tester avseende brandväggens tillförlitlighet. Vi rekmmenderar dck att behv av att i ökad grad testa tillförligheten avseende brandväggens skydd kmmuniceras inm ledningen. Vikten av att chefer meddelar persnalförändringar i gd tid bör kmmuniceras till chefer. Vi nterar att det förs diskussiner kring att förbättra behörighetshanteringen via ett nytt systemstöd. I avsnitt 3.1 har vi knstaterat att det finns ett behv att i ökad grad kmmunicera lika dkument till användare. Detta är relaterade till användarens kunskaper avseende detta mråde. 29 Efter ett visst antal minuter slås skärmsläckare på. Kd krävs för att öppna datrn. 30 Vid köp av ny skrivare sker inköp av skrivare av typen fllw me, detta innebär att papper kan utmatas då användaren står bredvid skrivare. Papper kan då tas m hand direkt. 31 I väntan på att alla skrivare har funktin för säker utskrift kan skrivare ställas i andra utrymmen. Än ändring av rutiner kan vara att andra skrivare används då papper skrivs ut. Haparanda stad 24 av 25

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss