IT-avdelningen Stellan Sjögren,0550-88 020 stellan.sjogren@kristinehamn.se Tjänsteskrivelse Datum 2016-01-08 Ks/2015:205 006 Revision Sida 1(2) Revisionsrapport angående granskning av kommunens anpassning till nya IT-lösningar Förslag till beslut Kommunstyrelsen godkänner föreslagna förbättringsåtgärder enl IT-chefens yttrande. Förbättringsåtgärderna kommer att redovisas i styrdokumentet Aktivitetsplan för informationssäkerhet vilken är en del av handlingsplanen för IT-utvecklingen 2016-2018 och redovisas i verksamhetsberättelsen IT i samband med årsbokslutet 2016. Sammanfattning Kommunrevisionen har genomfört en granskning av kommunens anpassning till nya IT-lösningar. I arbetet har kommunrevisionen biträtts av sakkunniga från KMPG. Granskningen har fokuserat på informationssäkerheten kring de molnlösningar kommunen använder samt kommunens rådande policydokument och riktlinjer. Kommunfullmäktige har den 25/11 2015 ( 136) godkänt revisionsrapporten. Kommunrevisionen vill nu att kommunstyrelsen inkommer med kommentarer till den genomförda granskningen. I en tjänsteskrivelse föreslås nu ett antal förbättringsåtgärder med utsedda ansvariga personer vars uppgift blir att under 2016 ta fram och implementera nya rutiner i kommunens verksamhet. Förbättringsåtgärderna redovisas i inom ramen för styrdokumentet: Aktivitetsplan för informationssäkerhet. Informationssäkerhet blir allt viktigare som en strategisk ledningsfråga och i takt med en ökad digitalisering. I kommunens IT policyn och handlingsplanen för IT utveckling pekas arbetet med informationssäkerhet som ett viktigt focusområde. Det kan dock konstateras att informationssäkerhet är betydligt större än bara rent tekniskt säkra upp IT-system. Huvudansvariga för detta arbete blir kommunen säkerhetssamordnare (ansvarig för informationssäkerhet) tillsammans med kommunens IT-chef (ansvarig för IT-säkerhet). KRISTINEHAMNS KOMMUN E-post stellan.sjogren@kristinehamn.se Postadress 1. IT-avdelningen 681 84 Kristinehamn Besöksadress Nämndhuset Järnvägsgatan 12 Telefon 0550-880 00 vx Fax 0550-38 252 Bankgiro 110-0213 Organisationsnr 212000-1868
2 Beslutsunderlag Tjänsteskrivelse 2016-01-08 Yttrande, IT-chef 2016-01-08 Revisionsrapport 2015-10-05 Protokoll KF, 136, 2015-11-26 Skickas till Kommunrevisionen Säkerhetssamordnare IT chef Anders Dahlén Kommunchef Stellan Sjögren IT-chef
Yttrande Vårt datum Vår beteckning 2016-01-08 Ks/2015:205 Sida 1(1) IT-avdelningen Stellan Sjögren /, 0550-88 020 stellan.sjogren@kristinehamn.se Yttrande till revisorerna ang granskning av kommunens anpassning till nya IT-lösningar. KMPG har av Kristinehamns kommuns revisorer fått i uppdrag att genomföra en granskning av informationssäkerheten kring de molnlösningar kommunen använder samt kommunens rådande policydokument och riktlinjer. I granskningsrapporten har noterats ett antal väsentliga iakttagelser. För dessa bör kommunen tillse att lämpliga resurser utses som kan arbeta med förbättringsåtgärder. Följande väsentliga iakttagelser har noterats med rekommendationer till hur dessa kan stärkas 1. Formella rutiner saknas vid upphandling av molntjänster I rapporten rekommenderas förbättringsåtgärder i form av - stärkta rutiner för upphandlingar och inköp av molntjänster. - rutin för risk och sårbarhetsanalys - kravställning på kontinuerliga kontroller av molntjänstleverantörer - kravställning på hur data och information ska raderas i en molntjänst. Detta arbete kommer att göras med utgångspunkt från det grundläggande arbete som gjorts under 2015 i samband med upphandlingen av nytt verksamhetssystem inom socialtjänsten samt Google Apps for Education inom skolförvaltningen. Ansvariga för förbättringsåtgärderna blir kommunens Säkerhetssamordnare tillsammans med Upphandlingschef och IT chef. Förbättringsåtgärderna redovisas inom ramen för styrdokumentet: - Aktivitetsplan för informationssäkerhet. KRISTINEHAMNS KOMMUN 2. IT policyn har inte helt förankrats i relevanta policydokument har inte upprättats I granskningsrapporten rekommenderas att fortsätta arbetet med att förankra den befintliga IT policyn i kommunen samt - upprätta relevanta policydokument och säkerhetsinstruktioner för nya ITtekniska lösningar - implementerar en strategi för kontinuerlig utbildning inom informationssäkerhet som uppstår i och med ny IT teknisk utveckling E-post stellan.sjogren@kristinehamn.se Organisationsnummer 212000-1868 Postadress Besöksadress Telefon Fax Bankgiro 1. IT-avdelningen Nämndhuset 0550-88 000 vx 0550-38 252 110-0213 681 84 Kristinehamn Järnvägsgatan 12
2 Under 2016 kommer ett intensivt arbete att ske med förankring av IT policyn i våra nämnder och förvaltningar. Under hösten 2015 har detta inletts i förvaltningarnas ledningsgrupper. Relevanta styrdokument och säkerhetsinstruktioner kommer att tas fram. Att säkerställa en strategi för kontinuerliga utbildningsinsatser inom informationssäkerhet är en självklarhet. Förbättringsåtgärderna redovisas inom ramen för styrdokumentet: - Aktivitetsplan för informationssäkerhet. Ansvaret för förbättringsåtgärderna blir kommunens säkerhetssamordnare tillsammans med IT-chefen. I IT policyn klargörs tydligt att ansvaret för att policyn efterföljs och anpassas till den egna verksamhetens riktlinjer, handlingsplaner och verksamhetsplanering åvilar respektive nämnd, förvaltning och ytterst förvaltningschefen. 3. Brister kring driftrelaterade rutiner I granskningsrapporten rekommenderas att formalisera riktlinjer som ska kravställas vid varje upphandling. Dokumentet bör vara detaljerat med syfte att säkerställa att kommunens data skyddas och går att återställa. Ansvariga för förbättringsåtgärderna blir kommunens IT-chef. Förbättringsåtgärderna redovisas inom ramen för styrdokumentet: Aktivitetsplan för informationssäkerhet 4. Övriga förbättringsområden Svagheter i lösenordspolicy Kommunen kommer att driftsätta en ny lösenordspolicy med en självserviceportal enl KMPG rekommendationer med start 1 februari. Informationssäkerhet kring mobila enheter I granskningsrapporten rekommenderas att ta fram riktlinjer för användning av mobila enheter. IT-chefen redovisar riktlinjerna i styrdokumentet: - Aktivitetsplan för informationssäkerhet. Rutiner för användaradministration Rutiner finns i dag för användaradministration/konton i den identitetslösning som finns driftsatta.(tilldelning, kontroll, borttagning). Rutiner saknas idag för användaradministration av behörigheter i verksamhetssystemen. En rutin kommer att tas fram i nära samarbete med systemägarna av verksamhetsystemen. Rutinen tas fram av säkerhetssamordnaren med stöd av IT-chefen och redovisas i styrdokumentet Aktivitetsplan för informationssäkerhet Stellan Sjögren IT-chef