Svar på revisionsskrivelse informationssäkerhet

Relevanta dokument
DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

1(6) Informationssäkerhetspolicy. Styrdokument

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet, Linköpings kommun

Policy och strategi för informationssäkerhet

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

I Central förvaltning Administrativ enhet

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Ystads kommun F 17:01

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

POLICY INFORMATIONSSÄKERHET

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Granskningen har utförts enligt kommunallagen, god revisionssed i kommunal verksamhet och

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Riktlinjer för styrande och stödjande dokument i Strängnäs kommun

Policy för informations- säkerhet och personuppgiftshantering

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Umeå universitet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Informationssäkerhetspolicy inom Stockholms läns landsting

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhet - Informationssäkerhetspolicy

Välkommen till enkäten!

Avesta kommun. Bisysslor Uppföljning av revisionsgranskning

Dnr

Organisation för samordning av informationssäkerhet IT (0:1:0)

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Granskning av intern kontroll

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Informationssäkerhetspolicy för Nässjö kommun

Nya krav på systematiskt informationssäkerhets arbete

Policy för informationssäkerhet

Policy för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Svar på revisionsrapport om Arbetsmiljöverkets föreskrift om social och organisatorisk arbetsmiljö

Kommunrevisionen KS 2016/00531

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Katrineholms kommun

Kommunens författningssamling

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy IT (0:0:0)

Regler och instruktioner för verksamheten

Förstudie av kommunens beredskap för extraordinära händelser samt höjd beredskap

Granskning av kontroll och uppföljning av privata utförare, beslut om svar till Kommunrevisionen

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

SAMMANTRÄDESPROTOKOLL Sid LAHOLMS KOMMUN Sammanträdesdatum 1 Kommunstyrelsen Dnr

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Yttrande till kommunrevisionen gällande beredskap för äldreutveckling/äldreomsorg

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Revisionsrapport. Leksands kommun

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Kommunrevisionens granskning av kommunstyrelsens uppsiktsplikt

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Granskning av informationssäkerhet

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Säkerhetspolicy för Sandvikens kommun

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Instruktion för kommundirektören i Strängnäs kommun

Sammanträdesprotokoll för Kommunstyrelsens arbetsutskott

Administrativ säkerhet

Granskning av IT-säkerhet

Revisionsrapport: Förebyggande arbete mot mutor och jäv

Informationssäkerhetspolicy för Vetlanda kommun

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Revisionsrapport angående granskning av kommunens anpassning till nya IT-lösningar

Policy för säkerhetsarbetet i. Södertälje kommun

Granskning av intern kontroll

REGLEMENTE INTERN KONTROLL

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Verksamhetsplan Informationssäkerhet

Internkontrollplan 2016 för teknik- och servicenämnden, uppföljning i samband med årsrapport 2016

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

Transkript:

TJÄNSTEUTLÅTANDE Personalavdelningen Dnr KS/2014:280-007 2015-03-03 1/3 KS 10:1 Handläggare Annica Strandberg Tel. 0152-291 63 Kommunrevisionen Svar på revisionsskrivelse informationssäkerhet Förslag till beslut Kommunstyrelsen beslutar att 1. anta nedanstående yttrande som svar till kommunrevisionen avseende revisionsskrivelse om informationssäkerhet. Bakgrund Kommunrevisionen uppdrog åt revisionsfirman KPMG att granska kommunens rutiner för hur den styr, utreder, inför, upprätthåller och kontrollerar informationssäkerheten i sina verksamheter. Syftet med granskningen har varit att med underlag av en skrift från Myndigheten för samhällsskydd och beredskap (MSB) skrift säkerställa att kommunen har infört och lever efter de externa och interna regler som styr ett modernt och uppdaterat informationssäkerhetsarbete. Kommunstyrelsen påbörjade ett arbete med informationssäkerhet men det har varit svårt av flera anledningar att få igång arbetet. Kommunfullmäktige antog en informationssäkerhetspolicy 2013 och kommunstyrelsen avser nu att på allvar få igång arbetet enligt handlingsplan med utsedda medarbetare som ska arbeta med att implementera informationssäkerheten i kommunen. Beredning Svaren till kommunrevisionen har beretts genom ett samarbete med tjänstemän från arkiv, registratur, juridik och säkerhet. Nedan följer revisionens påpekanden och rekommendationer samt kommunstyrelsens svar. Kommunrevisionen bedömer att det finns risker i de rutiner som ska säkerställa en god informationssäkerhet. Revisorerna bedömer att kommunstyrelsen snarast bör säkerställa att kommunen inte hanterar personinformation på ett lagstridigt sätt oavsett var drift av system sker och data lagras. Av granskningsrapporten framgår att kommunen historiskt sett inte aktivt arbetat med och infört en ändamålsenlig och känd informationssäkerhet. Vidare

KS 10:2 2/3 framgår att hela organisationen måste involveras i det kommande säkerhetsarbetet för att identifiera och minimera de risker som föreligger. I rapporten framförs följande rekommendationer: - besluta och dokumentera en plan för åtgärder både på kort och lång sikt, - specificera vilka åtgärder planen omfattar, - ange vem som tagit beslut om planen och dess innehåll, - ange med vilka motiv åtgärderna i planerna har prioriterats, - ange tidsomfattning för åtgärderna i planen med milstolpar, - ange och kommunicera vem/vilka som är operativt ansvariga för planernas genomförande, - ange och kommunicera vilka som ska delta operativt med de olika delarna i planerna, - tillsätt externa resurser om det behövs och kan motiveras, - till vilka ska operativt ansvarig fortlöpande rapportera till, - budgetera arbetet. Åtgärder som Strängnäs kommun nu vidtar Kommunstyrelsen ansvarar för att informationssäkerhetsarbetet bedrivs i linje med fastställd informationssäkerhetspolicy. För det ändamålet fastställer kommunstyrelsen de kommunövergripande riktlinjerna för informationssäkerhetsarbetet som krävs för att policyn ska uppfyllas. Respektive nämnd, med tillhörande kontor eller enhet, är ansvariga för informationssäkerheten inom sitt/sina verksamhetsområden. Respektive nämnd ansvarar för att ta fram årliga mål och aktiviteter för att upprätthålla god informationssäkerhet. Kommunstyrelsen avser att följa de rekommendationer som Myndigheten för samhällsskydd och beredskap (MSB) tagit fram och arbeta enligt ISO 27000 och att införa ledningssystem för informationssäkerhet (LIS). Detta för att följa en standard för att säkerställa att kommunen arbetar efter de externa och interna regler som styr ett modernt och uppdaterat informationssäkerhetsarbete i kommunen. Kommunstyrelsen har tagit till sig revisionens skrivelse och ser den som en vägledning för vad som behöver åtgärdas på kort och lång sikt i planeringen av arbetet. Förvaltningen har tagit fram ett förslag på handlingsplan för informationssäkerhetsarbetet med tidsomfattning och milstolpar för olika delar i arbetet. Mål under år 2015 är att Ta fram en ny policy för informationssäkerhet Implementera en del riktlinjer och regler

KS 10:3 3/3 Ta fram underlag för att säkra personinformation i moln utanför kommunens drift Öka kunskapen bland medarbetarna För att kunna genomföra detta behöver förvaltningen samla kompetenser inom olika områden såsom säkerhet, juridik, arkiv, registratur, kommunikation och IT. Det kan även behövas stöd i form av externa konsulter. Kommunrevisionens synpunkter kommer att beaktas i det fortsatta arbetet med informationssäkerhet. Kommunstyrelsen är medveten om att det finns ett flertal åtgärder att vidta för att uppnå en god informationssäkerhet. Åtgärder 2015 är att göra styrdokument kända och lätt tillgängliga samt se till att styrdokumenten för informationssäkerhet styr, upplyser och upprätthåller en god informationssäkerhet. Kommunen behöver ta fram styrdokument som tydliggör arbetet kring informationssäkerhet, såsom policys, riktlinjer och instruktioner. Arbetet kommer att under 2015 inledas med riktlinjer för roller, ansvar och befogenheter gällande informationssäkerhet, riskanalyser, klassning och hantering av information, fysiskt skydd, incidenthantering, kontinuitetsplanering, åtkomst av information, upphandling och utveckling av informationssystem samt drift och datakommunikation. Kommunstyrelsen ser att 2018 bör kommunen ha en god informationssäkerhet och ett högt medvetande bland våra medarbetare där informationssäkerheten är en naturlig del i verksamheterna. Ekonomiska konsekvenser och finansiering för kommunen Beslutet innebär inte några kostnader eller besparingar för kommunen. Arbetet med informationssäkerhet kommer innebära kostnader i form av exempelvis konsulter. Arbetet kommer även ta resurser och tid i anspråk för förvaltningen. Uppföljning Detta beslut följs inte upp i särskild ordning. Informationssäkerhetsarbetet behöver kontinuerligt följas upp. Underlag Revisionsskrivelse Informationssäkerhet, 2014-05-21 Revisionsrapport Informationssäkerhet, 2014-04-24 Kristiina Söderlind Personalchef Annica Strandberg Säkerhetschef Beslutet skickas till Kommunrevisionen

KS 10:4

KS 10:5

KS 10:6

KS 10:7

KS 10:8

KS 10:9

KS 10:10

KS 10:11

KS 10:12

KS 10:13

KS 10:14

KS 10:15

KS 10:16

KS 10:17

KS 10:18

KS 10:19

KS 10:20

KS 10:21

KS 10:22

KS 10:23

KS 10:24

KS 10:25

KS 10:26

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss