Kommunrevisionen KS 2016/00531

Relevanta dokument
Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Informationssäkerhetspolicy för Ystads kommun F 17:01

Svar på revisionsskrivelse informationssäkerhet

Informationssäkerhetspolicy för Ånge kommun

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

Informationssäkerhetspolicy inom Stockholms läns landsting

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Policy för verksamhetsstyrning

Intern kontroll i kommunen och dess företag. Sollefteå kommun

Informationssäkerhetspolicy

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Informationssäkerhetspolicy. Linköpings kommun

Verksamhetsplan Informationssäkerhet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Umeå universitet

Uppdaterad Policy för styrdokument

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Intern kontroll och riskbedömningar. Strömsunds kommun

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

Granskningsredogörelse Strategisk styrning

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Handlingsplan för persondataskydd

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Sammanfattande bedömning/förslag till åtgärder från revisionen PwC kom fram till följande:

Informationssäkerhetspolicy

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy KS/2018:260

Övergripande granskning av kommunstyrelsens styrning och uppföljning av ekonomi och verksamhet (styrmodell)

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Ansvarsutövande Gemensam nämnd för drift av personalsystem

Piteå kommuns styrande dokument

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

1(6) Informationssäkerhetspolicy. Styrdokument

Rapport Hantering av krisberedskap. Timrå kommun

Förslag till reviderad mål- och styrmodell för Danderyds kommun

Informationssäkerhetspolicy

3. Efter ett antal uppgradering av miljönämndens ärendehanteringsprogram

REVISIONSBERÄTTELSE FÖR ÅR 2017

Lekmannarevision Norra Kajen Exploatering AB

Granskning av IT-säkerhet

Nya krav på systematiskt informationssäkerhets arbete

MER-styrning - Lekeberg kommuns styrmodell

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Ägarstyrning och uppsikt. Skellefteå Stadshus AB

Revisionsrapport Budgetprocessen Pajala kommun Anna Carlénius Revisonskonsult

Intern kontroll. Riktlinjer av Kommunstyrelsen 70. Kommunövergripande. Tills vidare. Kommunchefen

Kommunrevisionens granskning av kommunstyrelsens uppsiktsplikt

REGLEMENTE INTERN KONTROLL

Policy för informations- säkerhet och personuppgiftshantering

REVISIONSBERÄTTELSE FÖR ÅR 2013

Protokollsutdrag. 219 Svar revisionsrapport Kommunens styrmodell Dnr KS/2018:240. Beslut Kommunstyrelsen beslutar:

Revisionsrapport Mönsterås kommun

Granskningsrapport av intern styrning och kontroll 2017

Intern styrning och kontroll

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Revisionsrapport angående granskning av kommunens anpassning till nya IT-lösningar

Revisionsrapport E-förvaltning: molntjänster Skellefteå kommun Bo Rehnberg Cert. kommunal revisor

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Svar på revisionsrapport Granskning av social- och arbetsmarknadsnämndens insatser för att motverka ekonomiskt utanförskap

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Granskning av intern kontroll. Lekmannarevisorerna i Borgholm Energi AB

Svar på revisorernas granskningsrapport av Kalmar kommuns inköpsprocess

Årsrapport NU-sjukvården Diarienummer REV

Policy för Piteå kommuns styrande dokument

Informationssäkerhetspolicy

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

IT- och informationssäkerhet

Policy och strategi för informationssäkerhet

Policy för informationssäkerhet

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Reglemente för intern kontroll

Kommunstyrelsen Svar på revisionens granskning av exploateringsverksamheten (KS )

Uppföljning av revisionsrapporten "Investeringsprocessen Bollnäs Kommun

Landskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.

Kommunstyrelsens uppsikt uppföljande granskning

SAMMANTRÄDESPROTOKOLL Sid LAHOLMS KOMMUN Sammanträdesdatum 1 Kommunstyrelsen Dnr

Informationssäkerhetspolicy för Nässjö kommun

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Policy för internkontroll för Stockholms läns landsting och bolag

Lekmannarevision MittSverige Vatten AB & Sundsvall Vatten AB

Revisionsrapport. Marknadsföring. Skellefteå City Airport AB. Bo Rehnberg Cert. kommunal revisor. Robert Bergman

Riktlinjer för styrdokument i Hallsbergs kommun

POLICY INFORMATIONSSÄKERHET

Intern styrning och kontroll Policy

Granskning av intern kontroll. Söderhamns kommun. Revisionsrapport. Februari Micaela Hedin Certifierad kommunal revisor

Kommunal författningssamling för Smedjebackens kommun. Chefspolicy för Smedjebackens kommun

REGLEMENTE INTERN KONTROLL

Protokollsutdrag. 346 Revisionsrapport Uppföljning IT-säkerhet och införande av dataskyddsförordningen - svar Dnr KS/2018:384

Projekt med extern finansiering styrning och kontroll

Gemensamma ägardirektiv för bolag ägda av Lysekils kommun Dnr: LKS , antagen av kommunfullmäktige , 24

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Riktlinjer för IT-säkerhet i Halmstads kommun

Hantering av IT-risker

Transkript:

V W Halmstad Kommunrevisionen Datum 2017-02-07 kommunrevisionen@halmstad.se Dnr KS 2016/00531 Yttrande - Granskning övergripande säkerhetsgranskning av kommunens säkerhet angående externt och internt dataintrång i Halmstads kommun På uppdrag av de förtroendevalda revisorerna i Halmstads kommun och lekmannarevisorerna i Halmstads Energi och Miljö AB, Hallands hamnar AB, Halmstads Fastighets AB, Halmstads Flygplats AB och Halmstads Stadsnät AB har PWC granskat säkerheten angående externt och internt dataintrång, främst i form av interna riktlinjer och styrdokument. Detta svar är ett koncerngemensamt svar. Revisionsfrågan för granskningen är: Ar kommunstyrelsen/bolagsstyrelsernas styrningsmodell för IT- och informationssäkerhet för att löpande identifiera prioriterade hot ändamålsenlig i förhållande till de prioriterande hoten? Stadskontoret är ansvarigt tor samordning av samtliga åtgärder samt verkställandet av samtliga åtgärder som ligger inom kommunstyrelsens förvaltning. Respektive bolag ansvarar för att verkställa sina åtgärder. PWC:s bedömning är att det finns utrymme för förbättring inom samtliga granskade verksamheter. Bedömningen grundar sig i de brister PWC noterat i kontrollmiljön utifrån definierade kontrollmål samt de bedömningar och rekommendationer PWC lämnat. PWC:s svar på revisionsfrågan är att kommunstyrelsen, Hallands Hamnar AB och Halmstads Flygplats ABs styrningsmodell för IT- och informationssäkerhet för att löpande identifiera prioriterade hot inte är ändamålsenlig i förhållande till de prioriterade hoten.

PWC:s svar på revisionsfrågan är att Halmstads Energi och Miljö ABs, Halmstad Fastighets ABs och Halmstads Stadsnäts ABs styrningsmodell för IT- och informationssäkerhet för att löpande identifiera prioriterade hot delvis är ändamålsenlig i förhållande till de prioriterade hoten. PWC har dock noterat att det, i samtliga verksamheter, finns informella processer för att löpande identifiera och hantera hot kopplade till IT och informationssäkerhet och att det bedrivs ett aktivt förbättringsarbete inom området vilket PWC ser som positivt. PWC har även granskad den fysiska säkerheten i Halmstads kommuns serverhall, utan väsentliga iakttagelser. En analys av tekniskt skydd i kommunens nätverk har iakttagits, även det utan väsentliga iakttagelser. PWC anser att det, trots påpekade förbättringsmöjligheter, finns en god förståelse för IT- och informationssäkerhet i kommunen. Hanteringen av risker inom området för IT- och informationssäkerhet får allt större betydelse då verksamheter blir allt mer beroende av stöd från IT-system. En effektiv och framgångsrik riskhantering bygger på ett helhetstänk. Kvaliteten, säkerheten och effektiviteten i organisationens interna processer ökar och organisationen skyddas mot t ex obehöriga dataintrång samtidigt som beredskapsmedvetandet stärks inom organisationen. På uppdrag av de förtroendevalda revisorerna i Halmstads kommun och lekmannarevisorerna i Halmstads Energi och Miljö AB, Hallands hamnar AB, Halmstads Fastighets AB, Halmstads Flygplats AB och Halmstads Stadsnät AB har PWC granskat säkerheten angående externt och internt dataintrång, främst i form av interna riktlinjer och styrdokument. Detta svar är ett koncerngemensamt svar. Revisionsfrågan för granskningen är: Är kommunstyrelsen/bolagsstyrelsernas styrningsmodell för IT- och informationssäkerhet för att löpande identifiera prioriterade hot ändamålsenlig i förhållande till de prioriterande hoten? PWC:s analys, kontrollmål, bedömningar och rekommendationer Efter genomförd granskning är PWC:s bedömning att det finns utrymme för förbättring inom samtliga granskade verksamheter. Bedömningen grundar sig i de brister PWC noterat i kontroll miljön utifrån definierade kontroll mål samt de bedömningar och rekommendationer PWC lämnat. PWC:s svar på revisionsfrågan är att kommunstyrelsen, Hallands Hamnar AB:s och Halmstads Flygplats AB:s styrmodell för IT- och informationssäkerhet för att löpande identifiera prioriterade hot inte är ändamålsenlig i förhållande till de prioriterade hoten. PWC:s svar på revisionsfrågan är att Halmstads Energi och Miljö AB:s, Halmstad Fastighets AB:s och Halmstads Stadsnäts AB:s styrnmodell för IT- och informationssäkerhet för att löpande identifiera prioriterade hot delvis är ändamålsenlig i förhållande till de prioriterade hoten. 2

PWC:s bedömningar grundar sig framförallt på att: Halmstads kommuns nuvarande organisation i form av roller, ansvarsområden, rapporteringsvägar samt nyckeltal för styrning av IT- och informationssäkerhet, inte är tydligt definierad. Iakttagelsen medför en risk att hot och risker inom IT- och informationssäkerhet inte blir hanterad på ett effektivt sätt. Halmstads kommun, Hallands hamnar, Halmstads Flygplats och Halmstads stadsnät saknar en formell process för att löpande analysera risker och hot mot verksamheten. Iakttagelsen medför att kontroller och arbetsinsatser inom området för IT- och informationssäkerhet inte nödvändigtvis har utgångspunkt i faktiska hot. Halmstads kommun, Flalmstads Energi och Miljö, Hallands Hamnar, Halmstads Flygplats och Halmstads Stadsnät saknar en formell och dokumenterad avbrottsplan som beskriver tillvägagångssättet för att återställa IT-miljön efter en allvarlig säkerhetsincident eller avbrott. Iakttagelsen medför att en incident kan få större konsekvenser för verksamheten än nödvändigt. HEM:s, HFAB:s och Flalmstads Stadsnäts AB:s nuvarande processer för rapportering och uppföljning av IT- och informationssäkerhet med avsikt att styra arbetsinsatser och kontroller, inte är tydligt definierade. Iakttagelsen medför en risk att hot och risker inom IT- och informationssäkerhet inte blir hanterade på ett effektivt sätt. PWC har dock noterat att det i samtliga verksamheter finns informella processer för att löpande identifiera och hantera hot kopplade till IT och informationssäkerhet och att det bedrivs ett aktivt förbättringsarbete inom området vilket PWC ser som positivt. PWC har även granskat den fysiska säkerheten i Halmstads kommuns serverhall, utan väsentliga iakttagelser. En analys av tekniskt skydd i kommunens nätverk har iakttagits, även det utan väsentliga iakttagelser. PWC anser att det, trots påpekade förbättringsmöjligheter, finns en god förståelse för IT- och informationssäkerhet i kommunen. Verksamheternas förslag till åtgärder Det finns sedan några år tillbaka ett pågående arbete för att förbättra kommunens IToch informationssäkerhetsarbete. Det kan konstateras att PWC:s granskningsrapport ligger helt i linje med det pågående interna utvecklingsarbetet och på ett påtagligt sätt synliggör behovet av ytterligare förbättringsarbete. De åtgärder som verksamheten föreslås vidta, presenteras på övergripande nivå (se nedan). En mer detaljerad åtgärdsplan finns hos respektive verksamhet. Följande förvaltningar och bolag har varit föremål för granskningen och därmed involverats i granskningsprocessen: kommunstyrelsen, serviceförvaltningen och Hallands Hamnar AB, Halmstads Flygplats AB, Halmstads Energi och Miljö AB, Halmstads Fastighets AB samt Halmstads Stadsnät AB. Kommunens digitaliseringschef/cio har ansvarat för en koncerngemensam process, där samtliga berörda aktörer har analyserat PWC:s granskningsresultat och sedan lämnat in åtgärder.

Åtgärder Förbättra arbetet med det koncerngemensamma styrnings-, lednings- och samordningsprocessen inom IT- och informationssäkerhetsarbetet. Fortsatt översyns- och revideringsarbete med styrande principer och styrdokument varav några kan bli föremål för politiska beslut. Framtagande av kontinuerlig revideringsplan för styrdokumenten. Fortsatt arbete med risk- och sårbarhetsanalyser med särskilt fokus på IT- och informationssäkerhetsarbetet. Framtagande av kommunikationsplan med syfte att säkra kompetensen inom IT- och informationssäkerhetsområdet. Tydliggörande av organisation, roller, ansvarsfördelning och rapporteringsvägar för styrning av IT- och informationssäkerhet. Införande av ett kvalitativt/kvantitativt uppföljningssystem för IT- och informationssäkerheten för att optimal styrning. Uppgraderad avbrottsplan för verksamhetskritisk IT-miljö. Klassificera system så att information bedöms och hanteras utifrån de konsekvenser som uppstår. Formålisera processen kring behörighetsadministration. Åtgärda brister gällande fysisk säkerhet. Åtgärderna är väsentliga komponenter till att säkerställa att hela styrkedjan är kvalitetssäkrad inom IT- och informationssäkerhetsarbetet. Arbetet avser framtagande och efterlevnad av vision, mål, uppdrag, styrdokument, uppgifter och aktiviteter för IToch informationssäkerhetsarbetet. Kommunstyrelsen har antagit en handlingsplan för genomförande av IT-riktlinjerna 2016-2018. För att förverkliga de principer och initiativ som återfinns i handlingsplanen, krävs ett säkerställt IT- och informationssäkerhetsarbete som bör ha till målsättning att all information i Flalmstads kommun ska vara konfidentiell, tillgänglig, riktig och spårbar. Det avser alla processer oavsett i vilken form eller miljö informationen återfinns i. IT- och informationssäkerhetsarbetet ska också säkerställa att alla medarbetare har kunskap om och efterlever Flalmstads kommun informationssäkerhetsregler. Medarbetare och invånare ska känna trygghet i hur kommunens information hantera och förvaras. Arbetet med kommunens IT- och informationssäkerhet finns reglerat i kommunens riktlinjer för IT samt riktlinjer för IT-säkerhet. 4

Konsekvenserna av att de föreslagna åtgärderna genomförs resulterar i tydlig förbättring och förstärkning av de granskade verksamheternas IT- och informationssäkerhetsarbete. Kvaliteten, säkerheten och effektiviteten i organisationens interna processer ökar och organisationen skyddas mot t ex obehöriga dataintrång samtidigt som beredskapsmedvetandet stärks inom organisationen. Verkställighet av åtgärderna bedöms i nuläget i huvudsak kunna hanteras inom beslutad budgetram. Det pågår dock ett nationellt arbete med att implementera NIS-direktiv (säkerställande av hög och säker nivå gällande nät och informationssäkerhet i hela EU), den nya dataskyddsförordningen som ställer högre krav på hantering av personuppgifter, höjd beredskap och ny säkerhetsskyddslag. Detta sammantaget ställer högre krav på kommunens IT- och informationssäkerhetsarbete, vilket troligtvis kräver mer resurser eftersom prioriteringar inom fastställd budget redan är ansträngd. Åtgärderna resulterar även i bättre efterlevnad av nuvarande och ny lagstiftning. För Halmstads kommun Ordförande Catharina Rydberg Lilja T f kommunchef 5

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss