Granskning av kommunens IT-hantering

Revisionsrapport Granskning av kommunens IT-hantering Lindesbergs kommun 2010-04-16 Göran Persson Lingman Thomas Lidgren

Innehållsförteckning 1 Sammanfattning...1 2 Inledning...4 2.1 Bakgrund...4 2.2 Syfte...4 2.3 Revisionsmetod och avgränsning...5 2.4 IT-verksamheten i kommunen...5 3 Granskningsresultat...7 3.1 Är roller och ansvar avseende IT-hanteringen tydliga?...7 3.2 Finns det aktuella styrande och stödjande dokument avseende IT och är dessa kända och tillämpas?...11 3.3 Är driften fri från störningar och finns förmåga att säkerställa en tillfredställande infrastruktur?...16 3.4 Sker uppföljning och kontroll avseende IT-relaterade kostnader?...21 3.5 Finns ändamålsenliga rutiner och ansvar för rapportering och hantering av incidenter (problem) samt stöd till användare?...21 3.6 Sker uppföljning i syfte att säkerställa att nyttjande och gemensam infrastruktur fungerar tillfredsställande?...27 3.7 Finns tillfredställande rutiner för installation och underhåll av programvara i användarnas datorer?...27 3.8 Finns tillfredställande rutiner för inköp av teknisk utrustning?...28

1 Sammanfattning Flera kontroller som är utförda inom granskningen är tillfredsställande. Här vill vi speciellt lyfta fram den övervakningshantering som sker av infrastrukturen och upprättade dokument kring nätverket som stödjer kontrollen av detta. Vi har även i granskningen funnit brister och förbättringsområden. Vi konstaterar dock att inom flera områden som vi inte bedömt vara tillfredsställande finns förbättringsaktiviteter planerade eller så pågår redan ett förbättringsarbete. Förbättringsområden som vi uppmärksammat och förslag till förbättringar anges nedan. Vår bedömning är att tydligheten kring roller och ansvar inom IT i kommunen inte är tillräckligt tydliggjorda. Ansvar och roller beskrivs till delar i dokument men dokumenten är i behov av revidering och är inte tillräckligt införda i praktiken. Vi konstaterar även via användarnas svar att otydligheter skapar problem för användare, t ex vart de vänder sig med olika IT-relaterade frågor. Vi konstaterar även att förslag till förbättringsarbete kring styrande och stödjande dokument i enlighet med BITS 1 initierats. Här är det viktigt att arbetet kommuniceras inom nämndernas verksamhet och att det därefter beslutas på vilket sätt arbetet ska bedrivas. Beslut att dokumenten ska gälla bör i så fall fattas av kommunstyrelsen. Det är viktigt att systemsäkerhetsanalyser genomförs för verksamhetskritiska system. Detta är viktigt för informationssäkerheten och för ett tydliggörande av roller och ansvar. För att förbättra dialogen föreslår vi att det inrättas ett IT-råd 2. Uppgifter för IT-rådet kan t ex vara att tydliggöra IT-enhetens tjänster, verksamhetens ansvar, upprätta SLA och utarbeta strategiska dokument där framtida krav på IT-verksamheten tydliggörs. Vi föreslår att kommunens finansieringsmodell ses över. Detta eftersom nuvarande modell innebär en risk att förvaltningarna anstränger IT-enhetens förmåga 3 utan att det finns en direkt möjlighet till finansiering. Detta kan innebära att IT-enheten inte får ökade medel för utrustning och personal. Då IT-enheten ansträngs bör därför 1 BITS, Basnivå för IT-Säkerhet. Utarbetat av krisberedskapsmyndigheten Nu ersatt av Myndigheten för samhällsskydd och beredskap. 2 Forum för diskussioner kring nuläge och framtid mellan kunder och leverantör av IT tjänster. 3 Resursbehov, förmåga till stöd och hjälp, förebyggande arbete, kontinuerligt säkerhetsarbete och dylik, dvs för att kunna möta de krav och behov som ökat antal system, användare och datorer medför. Om ej resurser erhålls bör konsekvenser tydliggöras. 1

konsekvenser analyseras och dokumenteras. Det är viktigt att ansvariga inom nämnderna får en dokumenterad bild av vad konsekvenserna blir av verksamhetsförändringar som påverkar IT-hanteringen. Ett förbättringsförslag kring finansiering är t ex att funktionshyra 4 införs mot förvaltningar. Vi har upplevt att de befintliga dokumenten kring IT-hanteringen är svåröverskådliga t ex genom att det är svårt att få en samlad bild av olika policys, riktlinjer och andra beskrivningar samt hur de hänger ihop. Avseende dokumentet - direktiv om ITsäkerhet - ser vi ett behov av att detta antingen på ett tydligare sätt anpassas för Lindesbergs kommun eller ersätts med de BITS-dokumenten som är utarbetade som förslag. Enligt vår uppfattning är upprättade dokument inte tillräckligt implementerade inom nämnderna. Det är viktigt med information om hur och på vilket sätt ansvariga och användare ska använda dokumentationen. Det bör genomföras en översyn av hur olika dokument ska införas inom nämndernas verksamhet och på vilket sätt de olika dokumenten ska kommuniceras med ansvariga och användare. Utgångspunkten bör vara att rätt information når rätt målgrupp och givetvis att den är aktuell. Resultatet från användarsvar där ett urval av kommentarer visas ovan indikerar att det finns problem kring användning av IT-systemen. Problemen orsakar sannolikt oönskade störningar för verksamheternas effektivitet och säkerhet. Mot bakgrund av detta föreslår vi att det inom nämnderna upprättas en dokumenterad bild av nuläget, t ex avseende vilka IT-relaterade störningar som förekommer och vilka konsekvenser störningar ger. Med detta som underlag kan dialog kring eventuella åtgärder ske. Vi föreslår att det genomförs en översyn av hinder avseende inkoppling av datorer i det gemensamma nätverket. För att säkerställa tillförlitligheten av intrångsskydd mot systemen bedömer vi att det är angeläget att det genomförs oberoende tester mot systemets databaser. Vi föreslår att den totala kostnadsuppföljningen avseende IT ses över och att nämnder och verksamhetsansvariga säkerställer att de har en tydlig bild över samtliga ITkostnader. Förutsättningar finns men dessa är inte tillräckligt införda inom förvaltningarna. 4 Funktionshyra innebär att förvaltningarna betalar för en fungerande tillgänglighet till sina ITsystemen. T ex en avtalad kostnad för en pc som kopplas in i nätverket. IT-enheten ansvar är att säkerställa att det fungerar enligt avtalad funktionalitet kring tjänsten. 2

Vi bedömer kommunens hantering av programvara inte vara helt tillfredställande. Vi ser ett behov av en ökad kontroll och förbättrade rutiner kring detta. Skriftliga anvisningar bör utarbetas Vi bedömer att kommunens hantering av incidenter och problem inte är tillräckligt tillfredställande. Det finns inte något dokumenterat samlat grepp över förekomster av problem och störningar. System för ärendehantering saknas. Dokumenterade underlag för prioriteringar saknas. Det är viktigt att det skapas ett samlas grepp kring problem och de frågeställningar som förekommer. Detta är viktigt för att kunna åtgärda, förebygga samt utgöra underlag för uppföljning och resurstilldelning 3

2 Inledning 2.1 Bakgrund Ett fungerande IT-stöd är av stor betydelse i den kommunala verksamheten. Den moderna informationsteknologin ger möjligheter att höja kvalité, säkerhet och effektivitet i de olika verksamheterna genom att effektivisera arbetsrutiner, sprida och öka tillgängligheten till information m m. IT är idag en förutsättning för att verksamheten skall fungera på ett effektivt och säkert sätt. Nyttjandet av IT-stöd påverkas av en mängd olika faktorer, t ex infrastruktur, ITavdelningens förmåga, systemkvalitet, processer, rutiner, ansvar och kompetens. 2.2 Syfte Revisionsfråga: Hanteras IT på ett sätt som ger förutsättningar för en effektiv och säker verksamhet? Följande granskningsområden ingår i granskningen: Är roller och ansvar avseende IT-hanteringen tydlig? Finns det aktuella styrande och stödjande dokument avseende IT och är dessa kända och tillämpas? Finns kontroll kring infrastrukturen och sker uppföljning mot användarna i syfte att säkerställa att gemensam infrastruktur fungerar tillfredsställande? Sker uppföljning och kontroll avseende IT-relaterade kostnader? Finns ändamålsenliga rutiner och ansvar för rapportering och hantering av incidenter (problem) samt stöd till användare? Fungerar detta tillfredsställande? Finns tillfredställande rutiner för installation och underhåll av programvara i användarnas datorer? Finns tillfredställande rutiner för inköp av teknisk utrustning? 4

2.3 Revisionsmetod och avgränsning Vi har tagit del av relevanta dokument samt intervjuat IT-ansvariga i kommunen samt 2 förvaltningschefer (systemägare) och 2 systemansvariga samt den tidigare IT-strategen. Användare inom kommunen har besvarat frågor dels rörande kommunens IT i allmänhet och dels frågor som berör de IT-system som de använder mest. Cirka 1048 användare besvarade vårt frågeformulär. Granskningen har avgränsats till de kontrollpunkter som redovisas under avsnitt 3, granskningsresultat. I granskningen kontrolleras ett flertal områden översiktligt. Granskningsobjektet är i första hand kommunstyrelsen (övergripande ansvar för IT inom kommunen). Dock berörs samtliga nämnder inom kommunen då de har ett ansvar för effektivitet och säkerheten inom nämndens område. 2.4 IT-verksamheten i kommunen Inom kommunen finns en IT- och teleenhet som ansvarar för drift och kommunikation. Enheten tillhör kommunkontoret (IT- och teleenheten kommer att benämnas IT-enheten i denna rapport). Förvaltningschefen för Kommunkontoret har övergripande ett ansvar för IT-hanteringen då ansvarig vid IT-enheten organisatoriskt finns placerad under förvaltningschefen. Tidigare fanns en IT-strateg men tjänsten är numera borttagen inom kommunen. Inom utbildningsverksamheten finns en egen IT-avdelning (skol-it) som främst arbetar som stöd till IT i undervisningen. I rapporten berörs dock IT i skolverksamheten i ringa omfattning. Systemförvaltare finns utsedda inom respektive förvaltning för kritiska system. För lönesystemet finns en supportorganisation med flera ansvariga som hjälper användare när problem uppstår. Vid IT-enheten finns en helpdesk dit användare kan vända sig vid problem. Det finns även en helpdesk vid skolan dit lärare och elever vänder sig med problem. Vid socialförvaltningen finns en verksamhetssupport som besvarar frågor då användare ringer med problem kring systemen. 5

I rapporten använder vi ibland uttrycket IT-verksamheten. Med detta menar vi förutom ITenheten även andra IT-resurser som t ex skol-it och systemförvaltare. 6

3 Granskningsresultat Nedan följer de olika kontroller vi genomfört i samband med granskningen. Vi har ställt upp kontroller som ett antal frågeställningar. Därefter redovisas våra iakttagelser från granskningen och våra bedömningar, kommentarer och i vissa fall förslag till förbättringar. Iakttagelser kan vara både positiva och negativa. Vid vissa frågor visas en graf över användarsvar. Användarna svarade hur väl ett påstående stämmer. Nedan visas hur de olika färgerna ska tolkas. Värden till vänster innebär inte alls och till viss del. Värden till höger innebär i huvudsak eller helt. När frågor ställdes till användare uppmanades användare att beskriva problem och konsekvenser då de besvarade frågan med inte alls eller till viss del 3.1 Är roller och ansvar avseende IT-hanteringen tydliga? Iakttagelser I dokumentet direktiv kring IT-säkerhet berörs generellt olika roller som är viktiga för IT-hanteringen i en organisation. Avseende de delar i dokumenten som berör olika roller och uppgifter är dokumentet bara till delar anpassat till Lindesbergs kommun. En konsekvens av att dokumentet inte anpassats är att dokumentet varit svårt att implementera inom kommunen. Som skäl till att dokumentet inte anpassats och införts anges bl a resursbrist. Det finns inte något gemensamt arbetssätt kring systemförvaltning (systemförvaltningsmodell). Statusen för upprättad dokumentation avseende systemförvaltning varierar från system till system. Vi har tagit del av ett dokument som tydliggör ansvar kring det personaladministrativa systemet. Systemförvaltare finns utsedda för kommunens kritiska system men vilka som är systemförvaltare framgår inte i någon central förteckning. Avseende samarbete mellan systemförvaltare och IT-enheten anger de systemförvaltare vi intervjuat och IT-enheten att det i huvudsak fungerar bra. Arbetet är dock inte formaliserat. 7

Från IT-enheten uttrycks ett behov av att över förvaltningsgränser se över och dokumentera vad som ska vara IT-enhetens ansvar och befogenheter. En konsekvens av otydligheter är att det förekommer val av utrustning inom nämnderna utan samverkan med den centrala IT-enheten. Detta leder till att funktionaliteten av IT försämras och medför onödigt extraarbete för IT-enheten. För att bättre tydliggöra och förbättra informationssäkerhetens roller och ansvar har ansvariga vid IT-enheterna (skol-it och IT-enheten) utarbetat ett förslag till att bedriva säkerhetsarbete i enlighet med BITS 5. I detta arbete har förslag till styrande dokument och riktlinjer utarbetats. De aktiviteter som planeras nu är att diskutera det framtagna förslaget med olika ansvariga. Om det därefter beslutas av kommunstyrelsen att informationssäkerhetsarbetet ska bedrivas i enlighet med BITS kommer ett projekt för genomförande att starta. Efter att dokumentet bearbetats och kommunicerats med olika intressenter är intentionen från IT-ansvariga att dokumentet slutligen ska fastställas av kommunstyrelsen. IT-enheten är budgetfinansierad. En konsekvens av detta är att IT-enheten inte direkt kan finansiera sin verksamhet t ex då en förvaltning har ökade behov av tjänster från ITenheten. Då t ex antalet datorer ökar i verksamheten sker t ex ingen direkt kostnadstäckning av de kringliggande tjänster som en ny dator medför. Dokumenterade analyser av hur verksamhetskritiskt ett system är har inte gjorts på något systematisk sätt inom kommunen (systemsäkerhetsanalyser). Som nämnts finns ett förslag upprättat från IT-enheten att ett arbete ska genomföras kring systemsäkerhetsanalyser. Några skriftliga avtal, t ex SLA 6 finns inte upprättade mellan IT-enheten och den verksamhet som bedrivs inom nämnderna. Forum, t ex IT-råd där ansvariga vid ITenheten och verksamhetens ansvariga kommunicerar krav och uppföljning kring ITrelaterade frågor finns inte inom kommunen. Behov av IT-råd där ansvariga vid ITenheten och ansvariga från verksamheten träffas är något som även framkommit vid intervjuer. Tidigare fanns en IT-strateg inom kommunen som utgjorde en länk mellan ITverksamheten och den verksamhet som bedrivs inom nämnderna. 5 BITS, Basnivå för IT Säkerhet. Utarbetat av Krisberedskapsmyndigheten. 6 Service Level Agreement. Ett SLA kan beskrivas som en överenskommelse om tjänster och kvalité mellan verksamheterna och IT-avdelningen. Syftar till att tydliggöra de krav utifrån verksamhetens behov av IT-tjänster. Det som IT-verksamhetens ska leverera. 8

En IT-grupp finns med representanter från förvaltningarna. I gruppen lyfts olika problem kring IT-hanteringen. Vissa problem lyfts sedan upp till kommunledningen. Till delar framgår IT-enhetens uppgifter i olika dokument men ansvariga vid IT-enheten ser ett behov att ytterligare tydliggöra och beskriva deras tjänster (tjänstekatalog). Inom kommunen finns en utvecklingsstrategi. I denna anges mål och visioner som kan komma att påverka infrastruktur och därmed IT-verksamheten. Dokumentation som tydliggör framtida krav kring IT-hanteringen saknas dock. Frågor till användare Frågor kring roller och ansvar ställdes till användare inom kommunen. Det är viktigt att notera att den markant övervägande delen av de svarade angav positiva svar (instämde i huvudsak eller helt). Dock har även många användare uttryckt att ansvaret borde tydliggöras. I kommentarer har även negativa konsekvenser av otydligheter framkommit. Grafen nedan visar frågor och svar som berör ansvar och roller Nedan visas ett urval av kommentarer kring problem på frågor om roller och ansvar. Jag gissar att om tillräckligt många tjatar på telefon eller mailar så kanske det åtgärdas. Tex vi har fortfarande ålderdomliga office program som inte funkar med "omvärlden" eller moderna program. Här har man alltså inte lyssnat på problemet. 9

Förslag som vi lämnar internt försvinner oftast i tomma intet. Vi slutar ge förslag. Förbättringar eller förslag på förbättringar kommer inte att nå fram till ansvariga. Tror inte ens att det finns något intresse för detta. Tidigare fanns en IT strateg som man kunde ta upp förslag o synpunkter med. Jag saknar en bra samordning för behov, önskemål och inköp av olika IT-stöd (även befintliga)mellan olika förvaltningar. Både för att spara pengar och arbetsresurser! Det borde finnas en lista där man ser vilka personer som har ansvar för vad. Vet inte vem som vart man vänder sig Vem som ansvara för vad, vem jag ska ta kontakt med. Otydligt vart man vänder sig för specialprogram IST, DEXTER - där också kompetensen inte finns så snabbt tillgänglig. Det blir problem när personal inom kommunen inte vet var de ska vända sig när de har problem. Dessa frågor är lite svåra att besvara. Supporten från IT-enheten fungerar suveränt bra, de löser problemen snabbt och finns tillgängliga i stort sätt jämt. Detta är otroligt viktigt eftersom jag är beroende av att lösa ett uppkommet problem omedelbart. Support en tidig morgon? Var vänder jag mig då? Det är svårt att veta vem man ska vända sig när det uppstår problem/frågor. Är osäker om alla system som vi har ansvaras av IT avdelningen Att jag får ringa runt till många personer innan man får tag på rätt person Våra kommenterar och rekommendationer Vår bedömning är att tydligheten kring roller och ansvar inom IT i kommunen inte är tillräckligt tydliggjorda. Ansvar och roller beskrivs till delar i dokument men dokumenten är i behov av revidering och är inte tillräckligt införda i praktiken. Vi konstaterar även via användarnas svar att otydligheter skapar problem för användare, t ex vart de vänder sig med olika IT-relaterade frågor. Vi konstaterar även att förslag till förbättringsarbete kring styrande och stödjande dokument i enlighet med BITS initierats. Här är det viktigt att arbetet kommuniceras 10

inom nämndernas verksamhet och att det därefter beslutas på vilket sätt arbetet ska bedrivas. Beslut att dokumenten ska gälla bör i så fall fattas av kommunstyrelsen. Det är viktigt att systemsäkerhetsanalyser genomförs för verksamhetskritiska system. Detta är viktigt för informationssäkerheten och för ett tydliggörande av roller och ansvar. För att förbättra dialogen föreslår vi att det inrättas ett IT-råd 7. Uppgifter för IT-rådet kan t ex vara att tydliggöra IT-enhetens tjänster, verksamhetens ansvar, upprätta SLA och utarbeta strategiska dokument där framtida krav på IT- verksamheten tydliggörs. Vi föreslår att kommunens finansieringsmodell ses över. Detta eftersom nuvarande modell innebär en risk att förvaltningarna anstränger IT-enhetens förmåga 8 utan att det finns en direkt möjlighet till finansiering. Detta kan innebära att IT-enheten inte får ökade medel för utrustning och personal. Då IT-enheten ansträngs bör därför konsekvenser analyseras och dokumenteras. Det är viktigt att ansvariga inom nämnderna får en dokumenterad bild av vad konsekvenserna blir av verksamhetsförändringar som påverkar IT-hanteringen. En förbättring kring finansiering är t ex att funktionshyra 9 införs mot förvaltningar. 3.2 Finns det aktuella styrande och stödjande dokument avseende IT och är dessa kända och tillämpas? Iakttagelser Inom kommunens finns flera styrande och stödjande dokument som rör IT-hanteringen. På dokumenten anges status, t ex om dokumentet är aktuellt. Vi tagit del av följande dokument Direktiv om IT-säkerhet (Kommunchefen har på delegation av kommunstyrelsen antagit dessa direktiv 2005-02): I dokumentet berörs flera säkerhetsrelaterade frågor 7 Forum för diskussioner kring nuläge och framtid mellan kunder och leverantör av IT tjänster. 8 Resursbehov, förmåga till stöd och hjälp, förebyggande arbete, kontinuerligt säkerhetsarbete och dylik, dvs för att kunna möta de krav och behov som ökat antal system, användare och datorer medför. Om ej resurser erhålls bör konsekvenser tydliggöras. 9 Funktionshyra innebär att förvaltningarna betalar för en fungerande tillgänglighet till sina ITsystemen. T ex en avtalad kostnad för en pc som kopplas in i nätverket. IT-enheten ansvar är att säkerställa att det fungerar enligt avtalad funktionalitet kring tjänsten. 11

samt ansvar och roller. Dokumentet är inte tillräckligt anpassat till Lindesbergs kommun. Sammanfattning Direktiv om IT-säkerhet: (ovanstående dokument) Ansvarig och befogenhetsbeskrivning för enhetschef IT- och teleenheten. Organisationsbeskrivning av IT- och teleenheten som återfinns på intranätet. Information kring IT-enhetens tjänster på webben. Dokument som beskriver ansvar och roller inom lönehanteringen. Dokumentet används kring hanteringen av PA-systemet. Dokumentet tydliggör bl a ansvar kring systemet. Nätsäkring Lindesberg Dokument som utförligt beskriver nätverkets uppbyggnad och funktion. Dokumentet anger vilken standard som krävs för att upprätthålla en stabil infrastruktur Avtal om användning av IT-konto: Dokumentet är ett avtal som användare ska skiva på. I dokumentet anges viktiga frågor kring informationssäkerhet som berör användare. Även instruktioner kring hur ärenden vid problem hanteras då användare har problem anges. De ansvariga vi intervjuat anger att det finns skäl att se över hanteringen kring avtalet t ex förbättringar kring dokumentationen kring vilka användare som skrivit på respektive inte skrivit på avtalet Riktlinjer för säkerhetsarbetet: Antaget av Kf 4, 2006. Blanketter som stödjer hanteringen av inköp av datorer, beställning av tillbehör, beställning av identiteter. Ansvariga vid IT-enheten ser ett behov av att se över dessa dokument samt även förtydliga ytterligare. Det bör dokumenteras hur ett konto ska beställas till nätverket och hur det ska gå till då en dator beställs samt regler kring hur en dator får kopplas i det gemensamma nätverket. 12

Nedanstående fyra dokument som bygger på BITS har framtagits som förslag från ITenheten. o Infomationssäkerhetsriktlinjer för Lindesbergs kommun Det övergripande BITS-dokumentet.. o Informationssäkerhetsinstruktion kring kontinuitet och drift dokumentet ska tydliggöra verksamhetens behov, roller, ansvar och processer kring t ex hur problem, avbrott hanteras o Informationssäkerhetsinstruktion förvaltning, Dokumentet tydliggör bl a olika ansvarsområden kring IT. o IT-säkerhetsdokument för användare. Dokumentet bygger på BITS, Dokumentet tydliggör användares ansvar kring säkerhet relaterat till IT. Avsikten med dokumenten är att ersätta de direktiv för IT-säkerhet som sedan tidigare finns då ett förbättringsbehov uppmärksammats. Dokumenten bygger på BITS och tydliggör ansvar och hur säkerhetsarbete kan bedrivas. Dokumentet är inte kommunicerat inom nämnderna och formellt beslut finns inte att det ska gälla. Som nämnts i avsnitt roller och ansvar har dokumenterade systemsäkerhetsanalyser ej skett av kommunens system. Ansvariga vid IT-enheten anger att efter att dokumenten enligt ovan tagits fram så är deras intention att detta ska utgöra grunden för att därefter systematiskt arbeta med systemsäkerhetsplaner i kommunen. Detta är en viktig del avseende BITS. De dokument som finns inom kommunen är tillgängliga via kommunens intranät. Alla nyanställda får en introduktionsutbildning som berör IT. Uppföljning av hur olika dokument efterlevs sker enligt uppgifter i ringa omfattning. Frågor ställdes även till användare (inklusive chefer med personalansvar) om hur kända dokument som berör IT-användning är. De allra flesta som besvarat vårt frågeformulär anger att de känner till riktlinjer som berör dem. Dock anger även flera av dem som besvarat formuläret att de inte känner till vad som gäller kring riktlinjer och regler avseende IT-hanteringen (över 150 användare svarar till viss del eller inte alls). Det anges även att det är otydligt var olika dokument är tillgängliga. 13

Grafen nedan visar frågor och svar som berör styrande dokument och riktlinjer. Ett urval av problem som omämnts kring dokument och riktlinjer visas nedan Frågar arbetskamrater, yrar runt. Finner inte. Tar upp onödigt lång arbetstid för att leta. Alla medarbetare hittar inte alla dokument. Var finns dokumenten? En del av de dokument som för oss ligger ute på G; är inte alltid de aktuellaste vilket leder till förvirring för oss personal som ska läsa och arbeta med dessa dokument. Jag tog förut förgivet att allt som ligger ute på nätet uppdateras med det senaste. Har fått minimalt med information om vad som finns och var. Vet nog inte var de är men kan nog leta på dem på intranätet! Har lite svårt att hitta det jag söker kanske för att jag ej varit anställd så länge i kommunen Jag tycker att detta bör framgå tydligare när man anställs i kommunen. Som tidigare svar. Ingen har talat om var dokumenten finns men jag har själv kunskapen att det borde finans på Linnet om det finns och kan därmed söka informationen själv. Har ej tagit del av något sådant. Finns säkert något papper här på jobbet som vi fått för länge sen. 14

Varför? För att ingen information alls gått ut till åtminstone vår grupp om hur/var/när. Önskvärt är att det skickas ut ett papper med all information om vart man hittar önskvärda uppgifter kring detta som vi sedan kan ha att tillgå om/när det behövs. Jag har ej hållit mig uppdaterad gällande detta. Däremot har jag läst och skrivit på ett policy-dokument. Våra kommentarer och rekommendationer Vi konstaterar att även om vissa befintliga dokument är i behov av revidering så finns flera bra dokument som stöd för säkerhet för användning och arbetssätt. Här vill vi lyfta fram dokumentet nätsäkring Lindesberg som stärker IT-enhetens förmåga att säkerställa infrastrukturen. De dokument som framtagits kring PA-systemet bör kunna utgöra ett gott exempel för andra system. Vi har upplevt att de befintliga dokumenten är svåröverskådliga t ex genom att det är svårt att få en samlad bild av olika policys, riktlinjer och andra beskrivningar samt hur de hänger ihop. Avseende dokumentet Direktiv om IT-säkerhet ser vi ett behov av att detta antingen på ett tydligare sätt anpasssas för Lindesbergs kommun eller ersätts med BITS-dokumenten. Här konstaterar vi att förslag till nya dokument i enlighet med BITS håller på att tas fram. Se våra kommentarer kring detta i avsnitt 3.1 Roller och ansvar. Enligt vår uppfattning är upprättade dokument inte tillräckligt implementerade inom nämnderna. Det är viktigt med information om hur och på vilket sätt ansvariga och användare ska använda dokumentationen. Det bör genomföras en översyn av hur olika dokument ska införas inom nämnder och på vilket sätt de olika dokumenten ska kommuniceras med ansvariga och användare. Utgångspunkten bör vara att rätt information når rätt målgrupp och givetvis att den är aktuell. Det avtal för IT-konto som användare ska skriva på är ett positivt exempel på att föra ut riktlinjer till användare. Dock bör hanteringen ses över avseende vilka användare som inte skrivit på avtalet och vilka aktiviteter som ska vidtas för att åtgärda detta. 15

3.3 Är driften fri från störningar och finns förmåga att säkerställa en tillfredställande infrastruktur? Iakttagelser Inom kommunens finns i huvudsak ett fysiskt datanätverk som delas av administration, skola och de kommunala bolagen. IT-enheten är ansvarig för drift av alla servrar, nät och telefoni inom kommunen. I huvudsak sker driften av alla system av IT-enheten. Lindesberg sköter även driften 10 åt andra kommuner. Det finns även IT-system där andra kommuner sköter driften åt Lindesberg. Alla kommunens servrar är placerade i en serverhall i skyddad miljö. Driften sker ej i anslutning till utrymmen där hantering av back-up sker. De datorer som ingår i nätet leasas och byts ut vart tredje år. I huvudsak upplever ansvariga vid IT-enheten att de har en god kontroll på alla datorer i nätet. Dock finns vissa undantag där det fortfarande finns äldre datorer som orsaker störningar 11 för verksamheten och som skulle behöva bytas ut. Det anges att det kontinuerligt bedrivs ett standardiseringsarbete för att minimera störningar och kostnader. Avancerad utrustning finns för att kontinuerligt bevaka driftsäkerheten. Via en stor bildskäm bevakar IT-enheten kritiska objekt 12 i infrastrukturen. Dels finns bevakning av att alla viktiga objekt i nätverket är i drift samt i samarbetet med extern leverantör även bevakning av prestanda (t ex svarstider). Enligt uppgift upptäcker IT-enheten på detta sätt många gånger problem innan användare själva märkt av problemen. Ett ytterligare förbättringsarbete är påbörjat. Övervakningen kommer att förfinas vilket kommer att öka IT-enhetens möjligheter att ännu snabbare upptäcka fel. Ansvarig vid IT-enheten uttrycker ett stort behov av att kunna styra åtkomsten till kommunens datanätverk så att inga otillåtna datorer eller annan datautrustning kopplas in. 10 Ett exempel på detta är bibliotekssystemet 11 En konsekvens av äldre datorer är att prestandan och pålitligheten på datorerna är dålig vilket i sin tur orsakar långa inloggnings och hanteringstider och mycket onödigt krångel. 12 Skrivare, datorer och kommunikationsutrustning 16

Diskussioner kring brandväggens kontrollfunktioner och rutiner i anslutning till hanteringen av brandväggen har skett med ansvariga. Oberoende intrångstester sker inte systematiskt inom kommunen. Enligt ansvariga vid IT-enheten skapar hanteringen av lösenord störningar för verksamheten samtidigt som detta anstränger IT-enhetens förmåga. Med anledning av detta har en så kallad singel sign on 13 lösning diskuterats inom kommunen. Kortfattat innebär detta att användare på ett snabbare och smidigare sätt ges åtkomst till flera system. Det är dock oklart hur lösningen ska finansieras. Vid intervjuer med systemförvaltare och systemägare ställdes frågor kring infrastrukturen. Intervjuade ger i huvudsak positiva omdömen kring infrastruktur och ITenhetens förmåga kring att kontinuerligt säkerställa stabilitet. Frågor ställdes till användare hur de upplever stabilitet och störningar då de ska nyttja sina system. Den markant övervägande delen av dem som svarat anger att det i huvudsak fungerar bra. (instämmer helt eller i huvudsak). Dock har även många användare svarat att det förekommer oönskade störningar. Vi ställde även en fråga hur mycket tid som användare förlorar p g a störningar då de använder sina system. Grafik avseende störningar har intagits i bilaga 1. Grafiken nedan visas svar kring svarstider och driftsäkerhet 13 Med ett id och lösenord kunna få åtkomst till flera system. 17

Ett urval av svar innehållande problem visas nedan Återigen det omkring telefonkatalogen eller vissa sidor på internet det för att jag inte får det gjort som behövs. Det som också tar tid är när IT har raster eller sitter på möten och jag måste sitta och vänta på dem för att få hjälp det påverkar mig negativt. Det går ibland inte att logga in på Dexter. Datorn låser sig emellanåt. Ibland fungerar inte Internet. Oftast fungerar just de dator jag har bra, men jag hör ofta klagomål från medarbetare. Ofta problem att logga in och ofta överdrivet segt att starta upp. Långa inloggningstider, dålig prestanda på maskiner som används. Konsekvensen blir stress Det går för sakta, hakar upp sig, problem med skrivare Vissa program hänger sig onödigt ofta Det är bara ibland det går trögt Oftast är det bra. Vårt system går ibland väldigt långsamt. Borde gå att snabba upp, tar tid under besök att sitta och vänta på datorn" Upplever att det går trögt och sakta särskilt på morgon när man skall logga in Ärendehanteringssystemet går mycket sakta. Måste ofta vänta medan sidor laddas Normalt är det jättebra. I perioder verkar uppkopplingen vara otillräcklig (t ex kan Det kan bli trögt att arbeta eller så tappas koppling till server då jag inte gjort något på ett tag. Trögt, för mycket trassel ex Dexter Väldigt ofta hänge sig datorn, och vi blir stressade LSS programmet går väldigt segt Vissa dagar är det helt omöjligt att utföra det som behövs göra till exempel föra närvaro/frånvaro. Eller om man ska visa 18

Tar för mycket tid från de boende. Kan ej vara ifrån avd. så långe som arbete tar ibland. Får då avbryta arbete med LSS är oacceptabelt segt.. Datorerna är inte tillräckligt snabba. Några behöver kanske uppgraderas. Sedan behöver vi kanske få hjälp med att städa Långa inloggningstider. Systemet är trögstartat på morgonen och ibland under dagen. Det väcker viss irritation då vi som lärare måste dela dator Strul med Dexter kan vara väldigt frustrerande. I övrigt tycker jag att systemen fungerar bra. Den snabba och pålitliga Åker ofta ur WMomsorg, "Vid uppgraderingar stängs systemen ner och man kan inte arbeta i dem. Ibland hakar det sig och man måste starta om Ibland är förbindelsen med Nora bruten, speciellt tidiga morgnar (Vivasystemet) Konsekvensen blir att man då inte kan arbeta Ibland stängs vissa system ner för uppgradering t ex vid för mig olämpliga tidpunkter. Man har deadlines osv Ibland kan man inte logga in alls och ganska ofta kommer man inte in i PS självservice. Alla planerade avbrott meddelas i förväg i ganska god tid Har fått in klagomål från sjuksköterskor att särskilt kvällar/nätter på helgen kommer man inte in i datasystemet och kan System är för ofta nere, t ex internet eller servrar som är nere. Blir utkastat från program när man arbetar Det kan bli stopp när man jobbar, så man måste starta om datorn. Senaste uppdateringar av Internet Explorer passar inte för systemen Netwise och Episerver man måste använda tidigare 19

Arbetar med dator kvällar, helger och då får vi vänta till måndag för att få dataavbrott avhjälpta. Nu har vi haft fel flera Tappar ofta kontakt med servern utkastad Ofta avbrott på helgerna Vissa dagar i synnerhet måndagmorgon är det nästan omöjligt att logga in. Eftersom jag har planeringstid just då medför Driftstörningar innebär att det är svårt för mig att genomföra mitt arbete." Numera är avbrotten mycket, mycket sällan, vilket är glädjande. Om det sker blir de dock relativt långa, kanske upp till??? Det tar väldigt mycket tid att ladda data från GPS minneskort till SBG.Geo. Våra kommenterar och rekommendationer Vi bedömer resultatet i huvudsak som tillfredsställande. IT-enheten synes ha en god kontroll över infrastrukturen. Här vill vi speciellt lyfta fram den övervakningshantering som finns. Övervaktningen ger möjlighet att själva upptäcka fel och problem. På så sätt kan fel åtgärdas innan störningar ger konsekvenser i verksamheten. Resultatet från användarsvar där ett urval av kommentarer visas ovan indikerar att det finns problem som sannolikt stör verksamheternas effektivitet och säkerhet. Mot bakgrund av detta föreslår vi att det inom nämnderna upprättas en dokumenterad bild av nuläget, t ex avseende vilka IT-relaterade störningar som förekommer och vilka konsekvenser störningar ger. Med detta som underlag kan dialog kring eventuella åtgärder ske. I framtiden kommer sannolikt den förbättring som planeras för ärendehanteringen att kunna utgöra ett gott stöd. Vi föreslår att det genomförs en översyn av hinder avseende inkoppling av datorer i det gemensamma nätverket. För att säkerställa tillförlitligheten av intrångsskydd mot systemen bedömer vi att det är angeläget att det genomförs oberoende tester mot systemets databaser. 20

3.4 Sker uppföljning och kontroll avseende IT-relaterade kostnader? Iakttagelser Avseende IT-avdelningens samtliga kostnader finns möjlighet att ta fram detta direkt ur ekonomisystem. IT-avdelningen följer enligt uppgift upp dessa kontinuerligt. Avseende kommunens totala kostnader för IT är dessa svårare att erhålla. Möjligheter att använda redovsningssystemet för att knyta kostnader till ett system finns men enligt uppgifter varierar användningen kring detta. IT-avdelningen gör budgetuppföljningar för sin egen verksamhet. Möjlighet att enkelt erhålla en bild av tiden som läggs på IT-relaterade uppgifter (tid för systemförvaltning av väsentliga system) är inte möjliga att erhålla. Ansvariga vi intervjuat i verksamheten anger att det sker uppföljning av IT-kostnader av nämnderna men inte med någon regelbundenhet. Våra kommenterar och rekommendationer Vi föreslår att den totala kostnadsuppföljningen avseende IT ses över och att nämnder och verksamhetsansvariga säkerställer att de har en tydlig bild över samtliga ITkostnader. Förutsättningar finns men dessa är inte tillräckligt införda inom förvaltningarna. T ex bör de möjligheter som framtagits användas på ett enhetligt sätt. Här vill vi även tillägga att det är viktigt att det sker uppföljning över att kostnader konteras korrekt 3.5 Finns ändamålsenliga rutiner och ansvar för rapportering och hantering av incidenter (problem) samt stöd till användare? Iakttagelser Inom kommunen finns två helpdeskfunktioner (IT-support) dit användare kan vända sig. Vid skolans IT-avdelning (skol-it) finns en IT-support dit lärare och elever ska vända sig och vid IT-enheten finns en helpdesk. Ett telefonnummer finns till IT-supporten. Skol-IT har olika telefonnummer beroende på skolområde. Problem kan även mailas till ITsupporten. Öppetider för helpdesk är mellan 08-17, några andra krav på öppethållande finns inte från verksamheten (nämnderna). 21

Då det uppstår osäkerhet kring hur systemen ska nyttjas, ska användare först vända sig till systemförvaltaren (t ex lösenordshantering och vid ifyllande av en semesteransökan). Från IT-enheten anges dock att de tar emot alla frågor och förmedlar ärenden vidare till rätt ansvarig om de inte själva hanterar ärendet direkt. Här anges även att eftersom det idag är väl känt inom kommunen till vilken ansvarig ett problem hör så vidarebefordras ärenden vanligtvis alltid till rätt ansvarig. Enligt uppgift samverkar de båda IT-enheterna på ett positivt sätt i olika IT relaterade frågor. Det förekommer att de båda IT-enheterna stödjer varandra och går in och tar olika samtal vilket underlättar då de olika helpdesk ansträngs då det är många ärenden. Ärendehanteringen är inte dokumenterad, t ex hur ansvariga vid verksamheten, systemförvaltare och IT-enheten samverkar i olika frågor samt hur ärenden vidarebefordras. 14 I intervjuer framkommer att samordningen bör ses över. Ett förbättringsbehov som anges för IT-enhetens helpdesk är att förbättra ärendehanteringen via ett ärendehanteringssystem. Detta kommer enligt uppgifter att införas under 2010. Som IT-system för ärendehanteringen kommer det system som används inom skol-it att användas då detta enligt uppgifter fungerar i enlighet med ITenhetens behov. Ansvariga anger här att systemet kommer att effektivisera IT-enhetens arbete. Som exempel på förbättringar anges att bättre arbeta med analyser av vad som är orsaken till ett problem, underlätta prioriteringar och ge möjlighet till uppföljning. Efter införande av det nya systemet finns avsikt att se över arbetssätt kring hur ärenden hanteras. IT-enheten ser ett behov att i ökad utsträckning kunna gå till botten med vad ett problem beror på. Vanligtvis är man väldigt ansträngd vilket leder till att man kanske inte alltid löser problem på ett korrekt sätt 15 efter att en funktion återställts hos en användare. Avseende prioritering av ärenden så görs detta idag av IT-enhet och personen som hanterar ärendet. IT-enheten bedömer att detta vanligtvis inte är något problem men ser risker att frågor inte blir rätt prioriterade. Man anger att det skulle vara önskvärt med ökat stöd från verksamheterna över hur känsligt ett system är för verksamheten. Det finns idag inte dokumenterat vilken betydelse ett system har för verksamheten. Det har inte bedrivits något systematiskt arbete kring systemsäkerhetsanalyser inom kommunen. Förslag har 14 Hur ska t ex ärenden som inkommer till helpdesk vidarebefordas och vem får besluta om vad. 15 Problem löses bara för stunden men kan komma åter 22

utarbetats av IT-enheten. Se avsnitt 3.1 och 3.2 kring Roller, ansvar och styrande dokument. Då IT-enheten snabbt vill komma åt användarens dator finns verktyg för att fjärstyra varje dator i kommunen. Några generella utbildningar i syfte att tillgodose användarnas generella kompetensbehov av IT sker ej systematiskt. Ansvarig vid IT-enheten anger att det finns ett stort behov av IT-utbildning inom kommunen. Nyanställda får dock en introduktionsutbildning där ITrelaterade frågor ingår. Då det är planerade kända driftsavbrott meddelas användare vi intranätet. Alla användare använder dock inte det gemensamma intranätet vilket innebär att alla idag inte nås av informationen. IT-enheten anger ett förbättringsbehov av att se över rutiner kring hur kända problem och störningar meddelas. Flera av de användare som besvarade vårt formulär angav att det inte är tillräckligt tydligt vart man vänder sig i olika frågor t ex då man har problem. Mer iakttagelser kring detta är intagna i avsnitt 3.1 kring roller och ansvar. Frågor ställdes även till användare kring om problem åtgärdas tillräckligt snabbt, information om kända driftstörningar, bemötande och service från IT-enheten (kan vara både skol- IT och IT-enheten), enkelhet att komma fram till helpdesk. Att observera är att de allra flesta på ett markant sätt anger positiva svar. Dock utrycker även flera användare ett förbättringsbehov. Grafen nedan visar frågor och svar som berör förmåga kring problem och förmåga at ge hjälp och stöd 23

Ett urval av kommentarer kring problem visas nedan "Otydligt vart man vänder sig för specialprogram IST, DEXTER där också kompetensen inte finns så snabbt tillgänglig. Det är som sagt svårt att veta vem som sköter vad och det tar ofta tid innan det som skall åtgärdas blir åtgärdat! Det blir problem när personal inom kommunen inte vet var de ska vända sig när de har problem. Vi har en kille som är behjälplig och är inte han här då blir det problem. Det är ett problem att det inte finns någon IT support efter kl. 16, eftersom vi har behov av att dator efter 19.00. Support tidig morgon? Var vänder jag mig då? Kan ta lång tid att få hjälp med problem av svar på frågor. I de fall jag svarat inte alls så gäller det kväll natthelg. Därför att då man jobbar på Icke kontorstid finns ingen support tillgänlig. Inte alltid lätt att veta vem som är ansvarig för vad. Jag har ej behövt support av något slag, och vet heller inte vart jag skulle få tag på nödvändiga kontaktuppgifter om de skulle behövas. Konsekvensen av detta är självklart att det tar tid och blir omständligt att få ett problem åtgärdat. Jag har ingenstans att vända mig nattetid och helger! Saknar utbildning inte support. Har helger och kvällar, nätter inte funnits någon att ringa alls. Det vore bra med support eller jour på kvällar, nätter och helger. 24

Har aldrig fått någon utbildning i datoranvändandet vilket gör att man inte kan utnyttja alla saker som finns och som skulle. Underlätta i mitt jobb med att göra utredningar, skriva dokument och riktlinjer och göra t ex broschyrer. Jag får be kollegor om hjälp eller ringa IT-enheten Jag skulle själv behöva fortbildning när det gäller datorer för att kunna använda dem på ett bättre sätt i min yrkesroll. Känner mig ibland osäker på hanteringen av datorn. Bemötande är alltid bra. Lite lång tid kan gå innan orsak till driftstörningar kommer. skulle meddelas snabbare, gäller framförallt Dexter Info om driftsstörningar kommer ofta mkt sent eller inte alls. Suveränt bemötande från IT-enheten. Mycket trevliga och mycket kompetenta. Svårt att komma fram på telefon. När det är t ex ett driftstopp så vore det bra att få veta det innan, så man vet om det i förväg. Ibland svårt att få kontakt med personalen, får ofta svaret att de inte vet vad problemet är, ingen återkoppling. Jag saknar en uppdatering hur man kan använda datorn. Man får ofta ingen information att det kommer att vara driftstopp osv. Ibland ligger Dexter nere utan att jag vet om det och kan då inte utföra mitt arbete som berör detta. När personen man vill få tag på var sjukskriven så visste man inte vem som skulle sköta om ärendet istället. Flera samtal och många dagar innan problemet löstes. 25

Ofta sena meddelanden när driftstopp redan uppstått. När det gäller planerade driftstopp skulle jag uppskatta om informationen kom något tidigare så att jag kan försöka planera om mina dagar och inte riskera att behöva spara arbete till senare. Önskar återkommande fortbildning i vissa program om säkerhets m.m. Det skulle nog inte vara så dumt med en ordentlig utbildning! Tror att jag kunde förbättra mitt arbete med bättre datakunskaper allmänt. Vet inte om jag alltid gör rätt! Våra kommenterar och rekommendationer Vi bedömer att kommunens hantering av incidenter och problem inte är tillräckligt tillfredställande. Det finns inte något dokumenterat samlad grepp över förekomster av problem och störningar. System för ärendehantering saknas. Dokumenterade underlag för prioriteringar saknas. Det är viktigt att det skapas ett samlas grepp kring problem och de frågeställningar som förekommer. Detta är viktigt för att kunna åtgärda, förebygga samt utgöra underlag för uppföljning och resurstilldelning. I detta arbete är det planerade införandet av det nya helpdesksystemet viktigt. Systemet bör kunna ge information och vara ett bra stöd för proaktivt arbete och för prioritering av ärenden. Vi vill dock notera att den markant övervägande delen av de användare som besvarat vårt frågeformulär besvarar frågor kring stöd och hjälp positivt. Vi föreslår att kompetensbehovet för användare inom kommunen analyseras av ansvariga för olika system och verksamheter. D v s vad är det som användare och ansvariga behöver kunna för att utföra olika aktiviteter i system och andra program samt inom andra väsentliga IT-områden (t ex IT-säkerhet). Därefter bör generella utbildningsprogram framtas som bör vara obligatoriska. I detta arbete bör ärenden som inkommer till helpdesken kunna vara till hjälp. Användarna kan idag vända sig till olika ansvariga för att få hjälp och support. Det är viktigt att säkerställa att det finns en helhetsbild av de problem och frågeställningar som förekommer. Detta är viktigt för att känna till olika typer av problem, åtgärda, förebygga samt utgöra underlag för resurstilldelning. Vi föreslår här att det sker en översyn av ärendehanteringen, t ex om alla ärenden först skulle kunna hanteras av IT- 26

supporten och att det därefter förmedlades till andra, t ex systemförvaltare. Ett ytterligare förslag är att det sker en översyn kring möjligheten för systemförvaltare att använda samma ärendehanteringssystem som IT-enheten. 3.6 Sker uppföljning i syfte att säkerställa att nyttjande och gemensam infrastruktur fungerar tillfredsställande? Iakttagelser Någon dokumenterad uppföljning av t ex driftsäkerheten efterfrågas inte idag av verksamheterna. Som omnämnds tidigare sker inte systematiskt strategiska möten för att t ex diskutera att infrastrukturen fungerar på ett önskvärt sätt. Dokumenterade avtal kring IT-tjänster saknas. En konsekvens av detta är att det in finns några fastställda mått för t ex uppföljning. Som angetts tidigare i rapporten finns dock delar av beskrivningar av ITenhetens tjänster beskrivna. En helpdesk finns dit användare kan vända sig vid problem eller incidenter. Information som genereras kring olika ärenden dokumenteras i låg omfattning vid den gemensamma IT-enheten. (Dokumentation sker dock vid skolans IT-enhet). Förbättringsaktiviteter är planerade via införande av ärendehanteringssystem. Generell uppföljning av IT-enhetens leveranser sker enligt uppgifter i ringa omfattning. Detta är något som IT-enheten anger som eftersatt. Möjligheter till uppföljning vid IT-enheten kommer att förbättras via införande av helpdesk systemet. Några systematiska uppföljningar av användarnöjdhet t ex via användarenkäter sker inte regelbundet. Men enligt uppgift har det skett t ex 2004. Våra kommenterar och rekommendationer Vi kan konstatera att det pågår förbättringsarbeten avseende uppföljning men att detta idag är eftersatt. 3.7 Finns tillfredställande rutiner för installation och underhåll av programvara i användarnas datorer? Iakttagelser Verktyg finns för att fjärrstyra datorer för att på ett effektivt sätt ha möjlighet att underhålla och uppdatera användarens pc. 27

IT-enheten gör en grundinstallation som i huvudsak kan göras med automatik då en ny dator inkommer. Förändringar och uppdateringar av central programvara görs via nätet. Program finns för att kontrollera innehållet i en användares dator men IT-enheten följer inte upp detta. Från IT-enheten anges att de inte har något samlat grepp kring vilket programvara som finns i användares dator. Någon samlad förteckning saknas. Hanteringen kan variera mellan förvaltningarna. Vi har inte funnit några skriftliga regler över hanteringen av program, t ex vad som är otillåtet avseende installation. De flesta användare har möjlighet att installera program själva. IT-enheten har påbörjat ett arbete med att förstärka hinder att installera program till datorn. Centrala uppföljningar avseende hur licenser hanteras ute i organisationen genomförs ej. Från IT-enheten anges ett förbättringsbehov. Våra kommenterar och rekommendationer Vi bedömer kommunens hantering av program inte vara helt tillfredställande. Vi ser ett behov av en ökad kontroll och förbättrade rutiner kring detta. Skriftliga anvisningar bör utarbetas Här är det viktigt att den utredning som planerats av att förbättra kontroll av programinstallationer genomförs. 3.8 Finns tillfredställande rutiner för inköp av teknisk utrustning? Iakttagelser Inom kommunen finns en centraliserad inköpsrutin vilket innebär att all datorutrustning ska köpas in av någon på IT-enheterna. Beställning från verksamheten sker via en blankett som ska användas för ändamålet. Rättigheter att beställa utrustning har ekonomiskt ansvariga. Periodvis sker utbyte av datorer för att på så sätt säkerställa funktionaliteten. Utrustning förtecknas i register vid IT-enheterna. Då datorer inte ska nyttjas längre tas de omhand av leverantör av utrustningen. Avtal finns att hårddiskas ska raderas på ett korrekt sätt. 28

Vid intervjuer framkommer att förvaltningarna ibland köper utrustning vid sidan om gällande rutiner, t ex skrivare. Våra kommenterar och rekommendationer Vi bedömer att de rutiner som finns avseende inköp av datorer som tillfredsställande. Det är dock viktigt att det säkerställs att dessa tillämpas korrekt, t ex har det framkommit att t ex skrivare inköps vid sidan om gällande rutiner. Detta får ej ske. 29