Jämtlands Gymnasieförbund



Relevanta dokument
Revisionsrapport: Granskning av IT-säkerhetspolicy. Revisionen har genom KPMG genomfört en granskning av IT-säkerhetspolicy.

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet Malmö stad Revisionskontoret

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Yttrande över granskningsrapport gällande revision av familjehemsvården för barn och unga

Jämtlands Gymnasieförbund

Revisionsrapport Styrning och ledning av IT och informationssäkerhet

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Jämtlands Gymnasieförbund

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Granskning av generella IT-kontroller för PLSsystemet

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Svar på revisionsskrivelse informationssäkerhet

Informationssäkerhetspolicy

Uppföljande granskning av kommunstyrelsens förebyggande arbete avseende mutor och oegentligheter

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

IT-säkerhetspolicy. Antagen av kommunfullmäktige

Granskning av IT-säkerhet

Håbo kommuns förtroendevalda revisorer

Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM

IT-säkerhet Externt och internt intrångstest

IT- och informationssäkerhet

IT-säkerhet Internt intrångstest

Granskning av räddningstjänstens ITverksamhet

Revisionsrapport "Förstudie av kommunens ITorganisation"

Uppföljning av tidigare granskning avseende IT-verksamheten

SAMMANTRÄDESPROTOKOLL Sid LAHOLMS KOMMUN Sammanträdesdatum 1 Kommunstyrelsen Dnr

Protokollsutdrag. 1. Godkänna svaret på revisionsrapport Granskning av det systematiska arbetsmiljöarbetet och överlämna det till revisionen.

Revisionsrapport nr 1, 2012 R Wallin. Vadstena kommun. Bisysslor bland anställda

I Central förvaltning Administrativ enhet

Informationssäkerhetspolicy IT (0:0:0)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Policy för användande av IT

Ovanåkers kommun. Uppföljning av genomförda granskningar. Revisionsrapport. KPMG AB 8 februari 2011 Antal sidor: 7

Granskning av kontroll och uppföljning av privata utförare, beslut om svar till Kommunrevisionen

Sammanträdesdatum Arbetsutskott (1) 28 Dnr KS/2016:389. Slutredovisningen av internkontroll 2017, KSF

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Informationssäkerhetspolicy för Ånge kommun

Revisionsrapport: Uppföljning av genomförda granskningar. Revisionen har genom KPMG genomfört en uppföljning av tidigare genomförda granskningar.

Revisionsrapport: Granskning av hantering av föreningsbidrag

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Lomma Kommun

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Revisionsrapport. Granskning av efterarbetes- och uppföljningsprocessen efter avslutad upphandling inom Båstad Kommun.

Bengt Sebring OKTOBER 2000 Ordförande GRANSKNINGSRAPPORT 3 Sida: 1

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Yttrande över revisionsrapport - granskning av kommunens IT-verksamhet

Hällefors kommun. Uppföljning av intern kontroll Revisionsrapport. Offentlig sektor KPMG AB Antal sidor: 13

Svensk Kvalitetsbas kravstandard (1:2016)

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Granskning av IT-säkerhet

Svar på revisionsrapport Granskning av social- och arbetsmarknadsnämndens insatser för att motverka ekonomiskt utanförskap

IT-verksamheten, organisation och styrning

Revisionsrapport: Granskning av kommunens stöd till idrottsoch fritidsverksamhet, föreningsbidrag

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Svensk Kvalitetsbas kravstandard (2:2019) 1. Utfärdare 2. Revisorer 3. Verksamheter. Antagen den 15 maj 2019

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun

Revisionsrapport - Granskning av korthantering och representation

IT-säkerhetspolicy för Landstinget Sörmland

Bergslagens kommunalteknik. Nyckelhantering Projektplan. KPMG AB 10 augusti 2016 Antal sidor: 5. Projektplan nyckelhantering.docx

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Svar på revisorernas granskning av förekomst av bisysslor

ABCD. Placerade barns skolgång och hälsa. Projektplan. Arboga kommun. Offentlig sektor KPMG AB Antal sidor: 3

Uppföljning avseende granskning av attestrutiner

Revisionsrapport: Förebyggande arbete mot mutor och jäv

3. Efter ett antal uppgradering av miljönämndens ärendehanteringsprogram

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Kommunrevisionen KS 2016/00531

Granskning av Intern kontroll

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Revisionsplan 2013 Landstinget Dalarna

Protokollsutdrag. 1. Avge yttrande till revisionen enligt kommunledningskontorets förslag.

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Svensk Standard SS ISO/IEC SS

Svar på revisionsrapport om kommunens IT-strategi

Växjö kommuns revisorer. Uppföljning av tidigare granskning av skolpersonalens psykosociala arbetsbelastning. Revisionsrapport.

Revisionsrapport. Nerikes Brandkår. Granskning av IT-säkerhet Anders Pålhed

Revisionsstrategi

Svar på revisorernas granskning av förekomst av bisysslor

Policy för Internet- och e-postanvändning i N.N. församling/samfällighet/stift

Informationssäkerhetspolicy för Katrineholms kommun

Riktlinjer för IT-säkerhet i Halmstads kommun

Intern styrning och kontroll Policy

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Svar revisionsrapport granskning av hjälpmedelsnämnden

Svar på revisorernas granskning av förekomst av bisysslor. Landstingsstyrelsen: 1. Yttrandet till revisorerna enligt bilaga c) godkänns.

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Revisionsrapport Rutiner för arkivering. Östersunds Kommun

Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Informationssäkerhet - Informationssäkerhetspolicy

Granskning av informationssäkerhet inom Landstinget i Kalmar län

Lekmannarevision 2017 Systematiskt arbetsmiljöarbete

Transkript:

Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell

Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy... 3 2.2. Tillgängligheten av IT-systemen... 3 2.3. Utbildning IT-säkerhet... 4 2.4. Ansvarsfördelning... 5 2.5. Rutiner för säkerhetsincidenter... 5 2.6. Övrig säkerhet... 5 2.6.1. Lösenordshantering... 5 2.6.2. Fysisk säkerhet... 5 2.6.3. IT -säkerhetshöjande åtgärder och resursbehov... 6 2 (6)

1. Allmänt KPMG har på uppdrag av de förtroendevalda revisorerna för Jämtlands Gymnasieförbund genomfört en granskning av efterlevnaden av förbundets IT-säkerhetspolicy. Granskningen har resulterat i slutsatsen att Jämtland Gymnasieförbund måste se över rutinerna för att säkerställa att IT-säkerhetspolicyn efterlevs. 2. Efterlevnad av policyn KPMG:s sammanfattning av iakttagelserna utmynnar i ett antal rekommendationer. Förbundet kommenterar i följande avsnitt respektive förslag. 2.1. IT-säkerhetspolicy IT-säkerhetspolicyn är, precis som revisionen påpekar, i behov av uppdatering. Policyn kommer att tillsammans med rutiner och riktlinjer revideras under våren 2014 samt kommuniceras ut till användarna i samband med höstterminsstarten 2014. Vad gäller informationssäkerhet rekommenderar revisionen att upprätta en särskild policy för detta, men vi har för avsikt att istället utöka den befintliga IT-säkerhetspolicyn så att den omfattar dessa frågor på ett mer utförligt sätt än idag. 2.2. Tillgängligheten av IT-systemen Sedan KPMG genomförde revisionen har åtgärder gjorts för att öka möjligheten till systematisk övervakning i förbundets IT-miljö. Bland annat har övervakningsprotokoll implementerats på all aktiv nätverksutrustning. I dagsläget finns dock inte tillräckligt med personella resurser för att systematiskt kunna följa upp och granska den övervakningsdata som skulle genereras. KPMG rekommenderar förbundet att begränsa tillgången till viss information via Internet. Men i förbundet finns sedan tidigare ett principbeslut fattat av lärare, skolledning och de fackliga organisationerna om att inte begränsa/filtrera information via Internet. Därmed har förbundet i dagsläget inte för avsikt att göra några förändringar i frågan. 3 (6)

Backuphanteringen har, precis som revisionen påpekar, under en längre tid varit otillräcklig. Sedan revisionen gjordes har arbetet med att åtgärda backuphanteringen påbörjats. Backuputrustningen har renodlats och förflyttats till ett säkrare förvaringsutrymme. Dessutom har vi fördubblat hastigheten mellan servrar och backuputrustning. Under våren 2014 kommer vi att köpa in ny backuputrustning i samband med att vi också köper in nya servrar. All användardata kommer dessutom att samlas på en och samma server för att underlätta backupkörningarna. När detta är gjort räknar vi med att kunna genomföra: - full backup 1 gång/veckan (vilket idag endast sker var tredje vecka) - inkrementell backup 5 gånger/veckan (vilket idag sker 2 gånger/veckan) Däremot ser vi inte att det med befintliga personella resurser är möjligt att systematiskt genomföra kontroller av backupernas funktion och dataintegritet i den utsträckning som vore önskvärt. Arbetet med rutiner vid serverkrasch är påbörjat och kommer att färdigställas under 2014. Idag är 8 av totalt 30 servrar säkrade. Som revisionen rekommenderar kommer vi inom kort att gå ut med information till användarna om hur de själva gör backuper på viktiga filer, tills dess att backuphanteringen fungerar tillfredsställande. 2.3. Utbildning IT-säkerhet Rutiner för utbildning av personalen i IT-säkerhet kommer under våren tas fram tillsammans med personalstrateg och kommer att bli en del i introduktionen för nyanställda inför höstterminsstarten 2014. Detta kan kompletteras med återkommande genomgångar för all personal vid exempelvis förbundsdagar. Revisionen påpekar att förbundet idag inte genomför någon kontroll över huruvida användarna förstått och tillämpar IT-säkerhetsriktlinjerna. Alla användare måste idag intyga att de tagit del av och förstått riktlinjerna. Om detta inte görs får användarna inte åtkomst till IT-resurserna. Förbundet har idag inte nog med resurser för att också genomföra årliga kontroller av användarna. 4 (6)

2.4. Ansvarsfördelning Precis som revisionen påpekar, behöver förbundets systemförteckning uppdateras och kompletteras med uppgifter. Detta kommer att genomföras under året. En plan för återkommande revidering av styrdokumenten kommer samtidigt att upprättas. 2.5. Rutiner för säkerhetsincidenter I samband med omläggningen av förbundets datanät genomförs nu en rad åtgärder för att säkra åtkomsten till datanätet, exempelvis låsning av oanvända portar. Nya policys för klassrumsdatorer respektive lärardatorer kommer också att tryckas ut vilka gör att inloggade användarkonton automatiskt låses respektive loggas ut vid inaktivitet. På så sätt minskar risken betydligt för obehöriga att komma åt system och IT-resurser. Förbundet har sedan IT-säkerhetspolicyn upprättades haft planer på att införskaffa system för loggning av datatrafik, men inget system har ännu införskaffats. Förbundet tar på nytt tag i frågan. 2.6. Övrig säkerhet 2.6.1. Lösenordshantering Revisionen påpekar att lösenordskonstruktionen som finns för förbundets e-postsystem och katalogtjänst idag anses som alltför enkelt. Vi delar idag e-postsystem, IAM-system (identitet- och åtkomsthanteringssystem) samt system för provisionering av katalogtjänst med länets övriga kommuner. Vi håller just nu på att kravställa och upphandla nya system för just detta. Två av dessa system kommer att bytas ut inom ett år och därför väljer förbundet att inte lägga ner tid på att tillfälligt ändra befintliga system. 2.6.2. Fysisk säkerhet I samband med ombyggnationerna av serverrummet under förra året skulle även en ny brandsäker dörr installeras, vilket av okänd anledning inte blivit gjort. Detta kommer att åtgärdas under våren. 5 (6)

2.6.3. IT -säkerhetshöjande åtgärder och resursbehov Antalet användare per tekniker är, precis som revisionen påpekar, högt. Det resulterar i att det idag inte finns särskilt mycket tid för vare sig förebyggande eller proaktivt arbete. Inte heller finns det tid för vidareutbildning och fortbildning i den omfattning som vore önskvärt. Men förbundet har idag inte de ekonomiska ramarna för att kunna utöka ITorganisationen. Istället måste riskbedömningar och prioriteringar göras för att ändå upprätthålla en rimlig nivå på IT-säkerheten och det övriga ITarbetet. En genomlysning av teknikernas arbetssituation kommer att göras under våren 2014. 6 (6)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss