Stadsrevisionen Projektplan Informationssäkerhetsarbetet i Göteborgs Stad goteborg.se/stadsrevisionen
2 PROJEKTPLAN INFORMATIONSSÄKERHETSARBETET I GÖTEBORGS STAD Informationssäkerhetsarbetet i Göteborgs Stad Göteborgs Stad hanterar mycket information som är skyddsvärd 1. Stora delar av stadens informationsflöde hanteras med hjälp av it-system som är beroende av varandra eller tekniskt sammankopplade. Informationssäkerhet innebär att all skyddsvärd information ska vara tillgänglig, riktig, konfidentiell och spårbar. Brister i informationssäkerheten kan få allvarliga konsekvenser, till exempel att integritetskänslig information sprids eller att verksamhetskritiska processer stoppas. Skyddet av den personliga integriteten blir än mer viktigt i och med EU:s nya dataskyddsförordning som träder i kraft i maj 2018. Förordningen ställer ökade krav på informationssäkerhet och hantering av känsliga personuppgifter. Det är således väsentligt att Göteborgs Stad har en effektiv intern styrning och kontroll av sitt informationssäkerhetsarbete. För att kunna säkerställa en tillräcklig nivå av informationssäkerhet är det av stor vikt att informationssäkerhetsarbetet bedrivs systematiskt och långsiktigt samt att styrningen av informationssäkerhetsarbetet är integrerat i verksamhetens övriga former för styrning. Ett viktigt stöd för ledningens styrning av informationssäkerhetsarbetet är ett ledningssystem för informationssäkerhet 2 som bland annat innebär att det finns styrdokument för informationssäkerhet, modeller och metoder för informationsklassificering och riskhantering, system för incidenthantering och kontinuitetsplanering samt en kontinuerlig uppföljning och kontroll av informationssäkerhetsarbetet. 1 Skyddsvärd innebär att informationen är värd att skydda med hänsyn till vad konsekvensen av skadan blir om tillgänglighet, riktighet och konfidentialitet röjs. Exempel på skyddsvärd information är personuppgifter, elförsörjning och social dokumentation. 2 Alla organisationer har ett ledningssystem, eller ett "system" för att leda verksamheten. Det handlar helt enkelt om hur ledningen styr verksamheten. Ett ledningssystem för informationssäkerhet (LIS) är den del av ledningssystemet som styr informationssäkerheten i verksamheten. Ett LIS innebär att organisationens ledning på ett systematiskt sätt kan styra arbetet med informationssäkerhet i syfte att planera, genomföra, kontrollera, följa upp, utvärdera och förbättra verksamhetens informationshantering. Ett LIS kan bygga på etablerade standarder inom området såsom ISO 27000-serien. Standarderna 27001 och 27002 i denna serie, visar hur ett LIS kan se ut och ger god ledning när det gäller vad som kan och bör ingå i organisationens LIS.
PROJEKTPLAN INFORMATIONSSÄKERHETSARBETET I GÖTEBORGS STAD 3 Informationssäkerhet är en fråga som inte bara berör verksamhetens ledning och säkerhetspersonal. Samtliga anställda i en verksamhet har ett ansvar för att uppnå och behålla en god informationssäkerhet. Det är därför viktigt att fördela och tydliggöra ansvar och roller i verksamheten samt att utbilda anställda i förhållande till arbetsuppgifter och ansvar. 3 Informationssäkerhetsarbetet i Göteborgs Stad tar sin utgångspunkt i ett antal styrdokument antagna av kommunfullmäktige. Säkerhetspolicyn är det övergripande styrdokumentet för stadens säkerhetsarbete. 4 Av policyn framgår bland annat att säkerhetsarbetet ska vara långsiktigt och kontinuerligt samt att säkerhetsarbetet ska bedrivas med utgångspunkt i kontinuerliga riskanalyser med tyngdpunkt på förebyggande aktiviteter. Säkerhetspolicyn konkretiseras i riktlinje för informationssäkerhet. Riktlinjen beskriver bland annat att: informationsklassificering ska ske utifrån stadens klassificeringsmodell incidenter ska hanteras kontinuitetsplanering i verksamheten ska ske informationssäkerhetsnivån ska följas upp årligen och rapporteras till nämnd/styrelse alla anställda inom staden ska ha tillräckliga kunskaper om informationssäkerhet i förhållande till sina arbetsuppgifter. Under 2016 genomförde stadsrevisionen en kartläggning av Göteborgs Stads it-system. Av rapporten 5 framgår bland annat att många av stadens verksamheter hade en bristfällig kontinuitetsplanering och att informationsklassificering inte hade genomförts. Det noterades även att verksamheterna inte hade påbörjat arbetet med att vidta de åtgärder som krävs för att efterleva EU:s nya dataskyddsförordning. 3 Myndigheten för samhällsskydd och beredskap (2015). En bild av kommunernas informationssäkerhetsarbete 2015 samt Riksrevisionen (2016). Informationssäkerhetsarbete på nio myndigheter. En andra granskning av informationssäkerheten i staten. RIR 2016:8. 4 Enligt säkerhetspolicyn omfattar säkerhetsarbetet personsäkerhet, fysisk säkerhet, informationssäkerhet och krisberedskap. 5 Kartläggning av Göteborgs Stads it-system (oktober 2016, EY)
4 PROJEKTPLAN INFORMATIONSSÄKERHETSARBETET I GÖTEBORGS STAD Under hösten 2016 påbörjades ett projekt på stadsledningskontoret vilket syftar till att säkerställa att staden är redo att tillämpa EU:s dataskyddsförordning från och med maj 2018. Syfte och revisionsfrågor Syftet med granskningen är att bedöma om nämnder och styrelser bedriver ett ändamålsenligt informationssäkerhetsarbete. Bedömningen tar sin utgångspunkt i följande revisionsfrågor: Arbetar granskade nämnder och styrelser i enlighet med gällande regelverk inom informationssäkerhetsområdet? Har granskade nämnder och styrelser en tillräcklig styrning och uppföljning av informationssäkerhetsarbetet? Med formuleringen ändamålsenligt avser vi att granska om verksamheterna lever upp till de krav och mål som gäller för verksamheten enligt riktlinjer och föreskrifter inom informationssäkerhetsområdet samt om ansvariga nämnder och styrelser har en styrning och uppföljning mot dessa bestämmelser. Inom ramen för ett ändamålsenligt informationssäkerhetsarbete avser vi även att granska om verksamheterna arbetar systematiskt med informationsklassificering, riskanalyser, incidenthantering, kontinuitetsplanering samt uppföljning och kontroll, det vill säga bedriver ett systematiskt informationssäkerhetsarbete. Ansvarig nämnd och styrelse Granskningen omfattar: kommunstyrelsen kretslopp och vattennämnden nämnden för intraservice social resursnämnd Förvaltnings AB GöteborgsLokaler
PROJEKTPLAN INFORMATIONSSÄKERHETSARBETET I GÖTEBORGS STAD 5 Revisionskriterier Stadsrevisionen kommer att använda följande revisionskriterier för att bedöma granskningens iakttagelser: kommunallagen 6 kap. 7 säkerhetspolicy för Göteborgs Stad riktlinje för informationssäkerhet regler gällande driftsdokumentation för it-baserade informationssystem regler gällande informationssäkerhetsansvar för chefer i Göteborgs Stad riktlinje för hantering av säkerhetsrisker regler för it-användare i Göteborgs Stad riktlinjer för styrning, uppföljning och kontroll regler för kommungemensamma interna tjänster generellt regler för kommungemensamma interna tjänster förvaltnings-/bolagsspecifika styrdokument policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners risk- och sårbarhetsanalyser ISO 270001:2014 och 27002:2014 6 COSO:s ramverk för intern styrning och kontroll 7 Metod och avgränsningar Granskningen utförs genom intervjuer och dokumentstudier. Informationssäkerhetsarbetet beträffande fysisk säkerhet 8 och säkerhet i enskilda system omfattas inte av granskningen. 6 International Organization for Standardization - https://www.iso.org 7 The Committee of Sponsoring Organizations of the Treadway Commission - https://www.coso.org/
6 PROJEKTPLAN INFORMATIONSSÄKERHETSARBETET I GÖTEBORGS STAD Oberoende och integritet De sakkunnigas oberoende och integritet har prövats enligt stadsrevisionens oberoendedeklaration vilken baseras på Sveriges kommunala yrkesrevisorers modell. Inga omständigheter har framkommit som kan ifrågasätta förtroendet för de sakkunnigas oberoende och integritet som granskare. Projektorganisation Granskningen kommer att genomföras av Charlotte Nätstrand (projektledare), Mia van Hoewijk och Lina Tjernberg. Avrapportering Avrapportering till revisorsgruppen planeras att ske hösten 2017. Kvalitetssäkring Rapportens innehåll kommer att stämmas av med de granskade verksamheterna. Kvalitetssäkring sker genom projektets styrgrupp och kvalitetsansvarig för fördjupade granskningar. 8 Fysisk säkerhet innebär bland annat lokaler skyddas mot obehörigt tillträde, finns dokumenterade besöksrutiner och larm för exempelvis inbrott och brand.
goteborg.se/stadsrevisionen