Granskning av IT-säkerhet

TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet Förslag till beslut Individ- och familjenämnden godkänner yttrande över kommunrevisonens rapport: Granskning av IT-säkerheten inom Sociala nämndernas förvaltning. Ärendebeskrivning Kommunrevision har genomfört en granskning av IT-säkerheten kopplat till verksamhetssystemen: Procapita HSL (system för patientjournaler) Procapita IFO (system inom individ och familj) Pulsen Combine (system inom äldre- och funktionshinderområdet) Granskningen är riktad mot äldrenämnden, individ- och familjenämnden, nämnden för personer med funktionsnedsättning samt kommunstyrelsen. Följande svar lämnas gemensamt till kommunrevisionens rapport. Sociala nämndernas förvaltning har, i en skrivelse den 20 januari 2015, lagt fram förslag till beslut. Bilagor Individ- och familjenämnden AU 5 februari 2015 (2015-02-05) Yttrande över kommunrevisionens granskning av IT säkerhet inom SNF Revisionsrapport Granskning av IT-säkerhet Revisionsrapport Granskning av IT-säkerhet Revisionsrapport Granskning av IT-säkerhet Skickad av: Teresia Kjellgren - aq339

TJÄNSTESKRIVELSE 1 Diarienr 2015-01-20 2014/386-ÄN-012 2014/270-NF-012 2014/957-IFN-012 2014/1021-KS Sociala nämndernas förvaltning Marie Carlsson och Ulf Ranestedt (Stadsledningskontoret) Till Äldrenämnden Individ- och Familjenämnden Nämnden för Personer med funktionshinder Kommunstyrelsen Svar på kommunrevisonens granskning av IT-säkerheten inom Sociala nämndernas förvaltning Inledning Kommunrevision har genomfört en granskning av IT-säkerheten kopplat till verksamhetssystemen: Procapita HSL (system för patientjournaler) Procapita IFO (system inom Individ och Familj) Pulsen Combine (system inom äldre- och funktionshinderområdet). Granskningen är riktad mot ovanstående nämnder samt Kommunstyrelsen. Följande svar lämnas gemensamt till Kommunrevisionens rapport. Stadens informationssäkerhetsstrateg bedriver just nu ett arbete med att revidera befintlig riktlinje för informationssäkerhet. Arbetet inkluderar även att skapa underliggande instruktioner som ska fastställa stadsövergripande krav och nivåanpassa dem kopplat till informationsklassificering. Innehåll i respektive instruktion hänvisas till respektive kommentar nedan. Hela ramverket är planerat att fastställas under första kvartalet 2015. Iakttagelser och kommentarer 1. Avsaknad av dokumenterade rutiner för hantering av behörigheter Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera regelverk för åtkomst till system och nätverk. Hela ramverket är planerat att fastställas under första kvartalet 2015. Dokumenterade rutiner finns inom Sociala nämndernas förvaltning och bedöms uppfylla rekommendationerna. 2. Användare som slutat har kvar behörigheter i verksamhetssystem Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera regelverk för åtkomst till system och nätverk och instruktionen kommer att inkludera regelverk för behörighetsrevideringar. Hela ramverket är planerat att fastställas under första kvartalet 2015. Användare som slutat är nu avslutade i systemen och den periodiska genomgången av samtliga tilldelade behörigheter är genomförd efter granskningstillfället.

Västerås stad 2 (3) 3. Avsaknad av regelverk för hantering av programförändringar Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera regelverk för anskaffning, utveckling och underhåll av informationssystem. Instruktionen kommer inkludera regelverk för ändringshantering. Hela ramverket är planerat att fastställas under första kvartalet 2015. En rutin för att verkställa, testa, godkänna och övervaka programförändringar är nu framtagen och innehåller de kontroller och aktiviteter som rekommenderas. 4. Logguppföljning genomförs inte i samtliga system Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera regelverk för spårbarhet och loggning. Den instruktionen kommer att inkludera övergripande regelverk för systematisk logguppföljning. Hela ramverket är planerat att fastställas under första kvartalet 2015. Loggning kommer därefter att ske systematiskt och återkommande i samtliga system så fort verksamhetsspecifika instruktioner är klara. 5. Testning och godkännande av programförändringar saknar spårbarhet Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera regelverk för anskaffning, utveckling och underhåll av informationssystem. Instruktionen kommer även att inkludera regelverk för testning och godkännande. Vidare kommer även en instruktion för basnivå IT-säkerhet att inkludera regelverk för test och verifiering. Hela ramverket är planerat att fastställas under första kvartalet 2015. All testning ska dokumenteras och vara spårbar och godkännanden inför driftsättning ska kommuniceras skriftligt till leverantören och sparas. Detta finns nu dokumenterat i en ny verksamhetsspecifik rutin för att verkställa, testa, godkänna och övervaka programförändringar. 6. Ofullständig modell för systemsäkerhetsanalys Kommentar: Stadens informationssäkerhetsstrateg har genomfört en revidering av stadens metod för informationsklassning (systemsäkerhetsanalys) och genomfört utbildningsinsatser med berörda parter. Kopplat till detta pågår ett arbete med att utveckla en krav-/ kontrollkatalog som ska kopplas till informationsklassificering. Tidplanen för att fastställa en första version av kontrollkatalogen är första kvartalet 2015. 7. Inaktuell systemsäkerhetsanalys för Vård och omsorg Kommentar: Befintlig systemsäkerhetsanalys ska revideras under första kvartalet 2015.

Västerås stad 3 (3) 8. Avsaknad av regler kring distansarbete Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera märkning och hantering av information. Instruktionen kommer att inkludera regelverk för distansarbete. Hela ramverket är planerat att fastställas under första kvartalet 2015. Sociala nämndernas förvaltning kommer att ta fram verksamhetsspecifika regler för distansarbete. Arbetet är planerat att genomföras under andra kvartalet 2015. 9. Ofullständig kontinuitets- och avbrottsplanering Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera kontinuitets- och återställningsplanering. Hela ramverket är planerat att fastställas under första kvartalet 2015. Reservrutiner för Pulsen Combine finns hos verksamheten. Existerande avbrottsplaner hos leverantören har presenterats för Kommunrevisionen. 10. Leverantörers åtaganden följs inte upp Kommentar: En av kommande instruktioner relaterat till informationssäkerhet kommer att hantera basnivå för IT-säkerhet och instruktionen kommer att innehålla ett avsnitt rörande styrning och kontroll av utomstående driftleverantör. Hela ramverket är planerat att fastställas under första kvartalet 2015. Sociala nämndernas förvaltning överväger att genomföra en granskning av en av leverantörerna under fjärde kvartalet 2015.

Västerås stads revisorer SENASTE NYTT Nr 34-2014 Granskning av IT-säkerhet inom Sociala nämndernas förvaltning Granskningens inriktning Revisorerna har låtit EY granska om ITsäkerheten är ändamålsenlig i verksamhetssystemen ProCapita HSL, ProCapita Combine och Pulsen Combine. Systemen används inom vård och omsorgsverksamheten vid Sociala nämndernas förvaltning (SNF). Iakttagelser och slutsatser Västerås stad har flera pågående initiativ som syftar till att stärka IT-säkerheten. Exempelvis är en gemensam rutin för logguppföljning inom SNF på väg att tas fram och stadens modell för systemsäkerhetsanalys uppdateras, liksom riktlinjer för informationssäkerhet. Huvudsakliga iakttagelser: # Iakttagelse Prioritet 1. Avsaknad av dokumenterade rutiner för hantering av behörigheter Hög 2. Användare som slutat har kvar behörigheter i verksamhetssystem Hög 3. Avsaknad av regelverk för hantering av programförändringar Hög 4. Logguppföljning genomförs inte i samtliga system Hög 5. Testning och godkännande av programförändringar saknar spårbarhet Medel 6. Ofullständig modell för systemsäkerhetsanalys Medel 7. Inaktuell systemsäkerhetsanalys för Vård och omsorg Medel 8. Avsaknad av regler kring distansarbete Medel 9. Ofullständig kontinuitets- och avbrottsplanering Medel 10. Leverantörers åtaganden följs inte upp Medel Huvudsakliga rekommendationer: # Rekommendation Prioritet 1. Tydliggör riktlinjerna för informationssäkerhet avseende styrning av åtkomst till system och nätverk, samt dokumentera rutiner för att skapa nya/ta bort/förändra behörigheter i verksamhetssystemen, samt för att periodiskt granska behörigheter 2. Ta bort behörigheterna för de användare som slutat och se över rutinerna för borttag av användare Hög 3. Tydliggör riktlinjer för informationssäkerhet avseende anskaffning, utveckling och underhåll av programvaror, samt dokumentera rutiner för att beställa, testa, godkänna och övervaka programförändringar 4. Ta fram en gemensam rutin för logguppföljning, för att kontinuerligt kontrollera åtkomsten till patientuppgifter 5. Se över rutinerna relaterat till test och godkännande av programförändringar för att säkerställa spårbarhet Medel 6. Uppdatera modellen för systemsäkerhetsanalys Medel 7. Uppdatera systemsäkerhetsanalysen och den tillhörande sårbarhetsanalysen för förvaltningsobjektet Vård och omsorg Hög Hög Hög Medel 8. Upprätta regler för distansarbete Medel 9. Genomför översyn av rutinerna för kontinuitetsplanering och genomför en granskning av leverantörernas avbrottsplanering 10. Följ kontinuerligt upp avtalade leverantörsåtaganden Medel Medel 2014-10-24 Fortsättning på nästa sida

Vår slutsats är att det krävs en rad åtgärder för att öka IT-säkerheten. Rekommendationer I granskningsrapporten lämnas ett stort antal rekommendationer. Här följer de åtgärder vi ser har högst prioritet för att stärka IT-säkerheten. Vi rekommenderar att individ- och familjenämnden, nämnden för funktionshindrade och äldrenämnden: Dokumenterar rutiner för att skapa nya/ta bort/förändra behörigheter i verksamhetssystemen och för att periodiskt granska behörigheter. Tar bort behörigheterna för de användare som slutat och ser över rutinerna för borttag av användare Dokumenterar rutiner för att beställa, testa, godkänna och övervaka programförändringar. Tar fram en gemensam rutin för logguppföljning, för att kontinuerligt kontrollera åtkomsten till patientuppgifter. Genomför översyn av rutinerna relaterat till test och godkännande av programförändringar för att säkerställa spårbarhet. Uppdaterar systemsäkerhetsanalysen och den tillhörande sårbarhetsanalysen för förvaltningsobjektet Vård och omsorg. Genomför översyn av rutinerna för kontinuitetsplanering och genomför en granskning av leverantörernas avbrottsplanering. Inför rutiner för att kontinuerligt följa upp avtalade leverantörsåtaganden. Vi rekommenderar att kommunstyrelsen: Tydliggör riktlinjerna för informationssäkerhet avseende styrning av åtkomst till system och nätverk. Tydliggör riktlinjer för informationssäkerhet avseende anskaffning, utveckling och underhåll av programvaror. Uppdaterar modellen för systemsäkerhetsanalys. Upprättar regler för distansarbete. Revisionen har överlämnat revisionsrapporten till Individ- och familjenämnden, Nämnden för funktionshindrade, Äldrenämnden samt Kommunstyrelsen för yttrande senast den 2015-02-27 och för kännedom till proaros styrelse och Konsult och Service styrelse. Rapporten är publicerad på stadens hemsida www.vasteras.se. För ytterligare information, kontakta revisionens ordförande Lars Luttropp tfn: 021-12 38 88 eller revisionssekreterare A Björnson tfn: 021-39 29 21

Från: Björnson, Annette Skickat: den 28 oktober 2014 16:02 Till: Sociala nämndernas förv Myndighetsbrevlåda; Stadsledningskontoret Myndighetsbrevlåda Kopia: proaros myndighetsbrevlåda; Konsult-Service Myndighetsbrevlåda Ämne: Revisionsrapport Granskning av sit-säkerhet Bifogade filer: Rapport 2014 IT-säkerheten inom SNF slutlig.pdf; Senaste nytt 2014-34 IT-säkerhet sista.pdf Till Individ- och familjenämnden Nämnden för funktionshindrade Äldrenämnden Kommunstyrelsen Västerås stads revisorer har fastställt revisionsrapporten " Granskning av IT-säkerhet inom Sociala nämndernas förvaltning. Översänder här revisionsrapporten Granskning av IT-säkerhet inom Sociala nämndernas förvaltning med hemställan om yttrande senaste den 2015-02-27. Bifogar även Senaste Nytt nr 34 med en sammanfattning. Yttrandet ska skickas till kommunrevisionen (kommunrevisionen@vasteras.se) och till kommunstyrselsen. Rapporten är skickad för kännedom till proaros styrelse och Konsult och Service styrelse. På uppdrag av revisionen Med vänlig hälsning Annette Björnson Revisionssekreterare Västerås stad revisorer 721 87 Västerås Mobil 076-5690343 Telefon direkt: 021-39 29 21 Besöksadress: Stadshuset, rum D 540 P Tänk på miljön innan du skriver ut detta meddelande file:///g /...ammanträden/individ-%20och%20familjenämnden/2015/02%20-%20februari/ut%20på%20vasteras.se/p_22_meddelande.htm[2015-02-13 08:21:42]