TJÄNSTEUTLÅTANDE Personalavdelningen Dnr KS/2014:280-007 2015-03-03 1/3 KS 10:1 Handläggare Annica Strandberg Tel. 0152-291 63 Kommunrevisionen Svar på revisionsskrivelse informationssäkerhet Förslag till beslut Kommunstyrelsen beslutar att 1. anta nedanstående yttrande som svar till kommunrevisionen avseende revisionsskrivelse om informationssäkerhet. Bakgrund Kommunrevisionen uppdrog åt revisionsfirman KPMG att granska kommunens rutiner för hur den styr, utreder, inför, upprätthåller och kontrollerar informationssäkerheten i sina verksamheter. Syftet med granskningen har varit att med underlag av en skrift från Myndigheten för samhällsskydd och beredskap (MSB) skrift säkerställa att kommunen har infört och lever efter de externa och interna regler som styr ett modernt och uppdaterat informationssäkerhetsarbete. Kommunstyrelsen påbörjade ett arbete med informationssäkerhet men det har varit svårt av flera anledningar att få igång arbetet. Kommunfullmäktige antog en informationssäkerhetspolicy 2013 och kommunstyrelsen avser nu att på allvar få igång arbetet enligt handlingsplan med utsedda medarbetare som ska arbeta med att implementera informationssäkerheten i kommunen. Beredning Svaren till kommunrevisionen har beretts genom ett samarbete med tjänstemän från arkiv, registratur, juridik och säkerhet. Nedan följer revisionens påpekanden och rekommendationer samt kommunstyrelsens svar. Kommunrevisionen bedömer att det finns risker i de rutiner som ska säkerställa en god informationssäkerhet. Revisorerna bedömer att kommunstyrelsen snarast bör säkerställa att kommunen inte hanterar personinformation på ett lagstridigt sätt oavsett var drift av system sker och data lagras. Av granskningsrapporten framgår att kommunen historiskt sett inte aktivt arbetat med och infört en ändamålsenlig och känd informationssäkerhet. Vidare
KS 10:2 2/3 framgår att hela organisationen måste involveras i det kommande säkerhetsarbetet för att identifiera och minimera de risker som föreligger. I rapporten framförs följande rekommendationer: - besluta och dokumentera en plan för åtgärder både på kort och lång sikt, - specificera vilka åtgärder planen omfattar, - ange vem som tagit beslut om planen och dess innehåll, - ange med vilka motiv åtgärderna i planerna har prioriterats, - ange tidsomfattning för åtgärderna i planen med milstolpar, - ange och kommunicera vem/vilka som är operativt ansvariga för planernas genomförande, - ange och kommunicera vilka som ska delta operativt med de olika delarna i planerna, - tillsätt externa resurser om det behövs och kan motiveras, - till vilka ska operativt ansvarig fortlöpande rapportera till, - budgetera arbetet. Åtgärder som Strängnäs kommun nu vidtar Kommunstyrelsen ansvarar för att informationssäkerhetsarbetet bedrivs i linje med fastställd informationssäkerhetspolicy. För det ändamålet fastställer kommunstyrelsen de kommunövergripande riktlinjerna för informationssäkerhetsarbetet som krävs för att policyn ska uppfyllas. Respektive nämnd, med tillhörande kontor eller enhet, är ansvariga för informationssäkerheten inom sitt/sina verksamhetsområden. Respektive nämnd ansvarar för att ta fram årliga mål och aktiviteter för att upprätthålla god informationssäkerhet. Kommunstyrelsen avser att följa de rekommendationer som Myndigheten för samhällsskydd och beredskap (MSB) tagit fram och arbeta enligt ISO 27000 och att införa ledningssystem för informationssäkerhet (LIS). Detta för att följa en standard för att säkerställa att kommunen arbetar efter de externa och interna regler som styr ett modernt och uppdaterat informationssäkerhetsarbete i kommunen. Kommunstyrelsen har tagit till sig revisionens skrivelse och ser den som en vägledning för vad som behöver åtgärdas på kort och lång sikt i planeringen av arbetet. Förvaltningen har tagit fram ett förslag på handlingsplan för informationssäkerhetsarbetet med tidsomfattning och milstolpar för olika delar i arbetet. Mål under år 2015 är att Ta fram en ny policy för informationssäkerhet Implementera en del riktlinjer och regler
KS 10:3 3/3 Ta fram underlag för att säkra personinformation i moln utanför kommunens drift Öka kunskapen bland medarbetarna För att kunna genomföra detta behöver förvaltningen samla kompetenser inom olika områden såsom säkerhet, juridik, arkiv, registratur, kommunikation och IT. Det kan även behövas stöd i form av externa konsulter. Kommunrevisionens synpunkter kommer att beaktas i det fortsatta arbetet med informationssäkerhet. Kommunstyrelsen är medveten om att det finns ett flertal åtgärder att vidta för att uppnå en god informationssäkerhet. Åtgärder 2015 är att göra styrdokument kända och lätt tillgängliga samt se till att styrdokumenten för informationssäkerhet styr, upplyser och upprätthåller en god informationssäkerhet. Kommunen behöver ta fram styrdokument som tydliggör arbetet kring informationssäkerhet, såsom policys, riktlinjer och instruktioner. Arbetet kommer att under 2015 inledas med riktlinjer för roller, ansvar och befogenheter gällande informationssäkerhet, riskanalyser, klassning och hantering av information, fysiskt skydd, incidenthantering, kontinuitetsplanering, åtkomst av information, upphandling och utveckling av informationssystem samt drift och datakommunikation. Kommunstyrelsen ser att 2018 bör kommunen ha en god informationssäkerhet och ett högt medvetande bland våra medarbetare där informationssäkerheten är en naturlig del i verksamheterna. Ekonomiska konsekvenser och finansiering för kommunen Beslutet innebär inte några kostnader eller besparingar för kommunen. Arbetet med informationssäkerhet kommer innebära kostnader i form av exempelvis konsulter. Arbetet kommer även ta resurser och tid i anspråk för förvaltningen. Uppföljning Detta beslut följs inte upp i särskild ordning. Informationssäkerhetsarbetet behöver kontinuerligt följas upp. Underlag Revisionsskrivelse Informationssäkerhet, 2014-05-21 Revisionsrapport Informationssäkerhet, 2014-04-24 Kristiina Söderlind Personalchef Annica Strandberg Säkerhetschef Beslutet skickas till Kommunrevisionen
KS 10:4
KS 10:5
KS 10:6
KS 10:7
KS 10:8
KS 10:9
KS 10:10
KS 10:11
KS 10:12
KS 10:13
KS 10:14
KS 10:15
KS 10:16
KS 10:17
KS 10:18
KS 10:19
KS 10:20
KS 10:21
KS 10:22
KS 10:23
KS 10:24
KS 10:25
KS 10:26