Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Relevanta dokument
Stadsrevisionen. Projektplan. Granskning av kameraövervakning i Göteborgs Stad. goteborg.se/stadsrevisionen

Stadsrevisionen. Projektplan. Intern styrning och kontroll leverantörer. goteborg.se/stadsrevisionen

Stadsrevisionen. Projektplan. Bygger Göteborgs Stad bostäder i enlighet med de politiska målen? goteborg.se/stadsrevisionen

Revisionsrapport Stadsrevisionen. Granskning av informationssäkerhetsarbetet. goteborg.se/stadsrevisionen

Stadsrevisionen. Projektplan. Göteborgs Stads arbete med bostadslösa barnfamiljer. goteborg.se/stadsrevisionen

Stadsrevisionen. Projektplan. Göteborgs Stads arbete mot kränkande behandling i fritidshem. goteborg.se/stadsrevisionen

Stadsrevisionen. Projektplan. Granskning av strategisk lokalförsörjning. goteborg.se/stadsrevisionen

Stadsrevisionen. Projektplan. Göteborgs Stads arbete med stöd till personer som utsätts för våld i nära relation. goteborg.

Stadsrevisionen. Projektplan. Hanteringen av personuppgifter i skolans it-system. goteborg.se/stadsrevisionen

Stadsrevisionen. Projektplan. Förutsättningar för Göteborgs Stads chefer. goteborg.se/stadsrevisionen

Stadsrevisionen. Projektplan. Granskning av statliga specialdestinerade bidrag inom flyktingmottagandet. goteborg.

Stadsrevisionen. Projektplan. Styrning och uppföljning av projekt Älvstaden

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy för Ystads kommun F 17:01

Projektplan Samverkan kring barn med behov av samordnande insatser

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy inom Stockholms läns landsting

PROJEKTPLAN GRANSKNING AV SAMVERKAN MELLAN REGION OCH KOMMUN KRING PERSONER MED SAMSJUKLIGHET

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

1(6) Informationssäkerhetspolicy. Styrdokument

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Projektplan Samordnad vårdplanering

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Kommunstyrelsen Granskningsplan för 2016

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy för Umeå universitet

Policy för informations- säkerhet och personuppgiftshantering

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Svar på revisionsskrivelse informationssäkerhet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhetspolicy. Linköpings kommun

Säkerhetspolicy för Västerviks kommunkoncern

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

Verksamhetsplan Informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Policy och strategi för informationssäkerhet

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Riktlinje för informationssäkerhet

Koncernkontoret Enheten för säkerhet och intern miljöledning

Bergslagens kommunalteknik. Nyckelhantering Projektplan. KPMG AB 10 augusti 2016 Antal sidor: 5. Projektplan nyckelhantering.docx

Välkommen till enkäten!

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Informationssäkerhetspolicy

Granskning av kameraövervakning i Göteborgs Stad

Informationssäkerhetspolicy

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Arboga kommun. Granskning av investeringsprocessen. Projektplan KPMG AB Antal sidor: 5

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Säkerhetspolicy i Linköpings kommun

Nya krav på systematiskt informationssäkerhets arbete

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy

REGLER FÖR INTERN KONTROLL

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Policy för säkerhetsarbetet i. Södertälje kommun

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy

Policy för informationssäkerhet

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Informationssäkerhetspolicy

Samordningsförbundet Göteborg Hisingen Granskningsplan för 2017

Stadens informationssäkerhetsarbete. Nr 8, Projektrapport från Stadsrevisionen

10. Säkerhetspolicy och riktlinjer för säkerhetsarbetet i Västerviks kommunkoncern Dnr 2016/

FÖRFATTNINGSSAMLING Flik Säkerhetspolicy för Vingåkers kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhetspolicy för Ånge kommun

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Göteborgs Stads räkenskaper och bokslut Granskningsplan för 2017

Dnr

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Riktlinjer för informationssäkerhet

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Samordningsförbundet Göteborg Nordost Granskningsplan för 2018

Remiss angående säkerhetspolicy med tillhörande riktlinjer

Arkivnämnden Granskningsplan för 2016

Kommunrevisionen KS 2016/00531

Risk- och säkerhetspolicy. Tyresö kommun

Hällefors kommun. Uppföljning av intern kontroll Revisionsrapport. Offentlig sektor KPMG AB Antal sidor: 13

Informationssäkerhetspolicy

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhet, Linköpings kommun

Säkerhetspolicy för Göteborgs Stad

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Projektplan Granskning av beslutsunderlag vid betydande investeringar

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhet - Informationssäkerhetspolicy

I Central förvaltning Administrativ enhet

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Transkript:

Stadsrevisionen Projektplan Informationssäkerhetsarbetet i Göteborgs Stad goteborg.se/stadsrevisionen

2 PROJEKTPLAN INFORMATIONSSÄKERHETSARBETET I GÖTEBORGS STAD Informationssäkerhetsarbetet i Göteborgs Stad Göteborgs Stad hanterar mycket information som är skyddsvärd 1. Stora delar av stadens informationsflöde hanteras med hjälp av it-system som är beroende av varandra eller tekniskt sammankopplade. Informationssäkerhet innebär att all skyddsvärd information ska vara tillgänglig, riktig, konfidentiell och spårbar. Brister i informationssäkerheten kan få allvarliga konsekvenser, till exempel att integritetskänslig information sprids eller att verksamhetskritiska processer stoppas. Skyddet av den personliga integriteten blir än mer viktigt i och med EU:s nya dataskyddsförordning som träder i kraft i maj 2018. Förordningen ställer ökade krav på informationssäkerhet och hantering av känsliga personuppgifter. Det är således väsentligt att Göteborgs Stad har en effektiv intern styrning och kontroll av sitt informationssäkerhetsarbete. För att kunna säkerställa en tillräcklig nivå av informationssäkerhet är det av stor vikt att informationssäkerhetsarbetet bedrivs systematiskt och långsiktigt samt att styrningen av informationssäkerhetsarbetet är integrerat i verksamhetens övriga former för styrning. Ett viktigt stöd för ledningens styrning av informationssäkerhetsarbetet är ett ledningssystem för informationssäkerhet 2 som bland annat innebär att det finns styrdokument för informationssäkerhet, modeller och metoder för informationsklassificering och riskhantering, system för incidenthantering och kontinuitetsplanering samt en kontinuerlig uppföljning och kontroll av informationssäkerhetsarbetet. 1 Skyddsvärd innebär att informationen är värd att skydda med hänsyn till vad konsekvensen av skadan blir om tillgänglighet, riktighet och konfidentialitet röjs. Exempel på skyddsvärd information är personuppgifter, elförsörjning och social dokumentation. 2 Alla organisationer har ett ledningssystem, eller ett "system" för att leda verksamheten. Det handlar helt enkelt om hur ledningen styr verksamheten. Ett ledningssystem för informationssäkerhet (LIS) är den del av ledningssystemet som styr informationssäkerheten i verksamheten. Ett LIS innebär att organisationens ledning på ett systematiskt sätt kan styra arbetet med informationssäkerhet i syfte att planera, genomföra, kontrollera, följa upp, utvärdera och förbättra verksamhetens informationshantering. Ett LIS kan bygga på etablerade standarder inom området såsom ISO 27000-serien. Standarderna 27001 och 27002 i denna serie, visar hur ett LIS kan se ut och ger god ledning när det gäller vad som kan och bör ingå i organisationens LIS.

PROJEKTPLAN INFORMATIONSSÄKERHETSARBETET I GÖTEBORGS STAD 3 Informationssäkerhet är en fråga som inte bara berör verksamhetens ledning och säkerhetspersonal. Samtliga anställda i en verksamhet har ett ansvar för att uppnå och behålla en god informationssäkerhet. Det är därför viktigt att fördela och tydliggöra ansvar och roller i verksamheten samt att utbilda anställda i förhållande till arbetsuppgifter och ansvar. 3 Informationssäkerhetsarbetet i Göteborgs Stad tar sin utgångspunkt i ett antal styrdokument antagna av kommunfullmäktige. Säkerhetspolicyn är det övergripande styrdokumentet för stadens säkerhetsarbete. 4 Av policyn framgår bland annat att säkerhetsarbetet ska vara långsiktigt och kontinuerligt samt att säkerhetsarbetet ska bedrivas med utgångspunkt i kontinuerliga riskanalyser med tyngdpunkt på förebyggande aktiviteter. Säkerhetspolicyn konkretiseras i riktlinje för informationssäkerhet. Riktlinjen beskriver bland annat att: informationsklassificering ska ske utifrån stadens klassificeringsmodell incidenter ska hanteras kontinuitetsplanering i verksamheten ska ske informationssäkerhetsnivån ska följas upp årligen och rapporteras till nämnd/styrelse alla anställda inom staden ska ha tillräckliga kunskaper om informationssäkerhet i förhållande till sina arbetsuppgifter. Under 2016 genomförde stadsrevisionen en kartläggning av Göteborgs Stads it-system. Av rapporten 5 framgår bland annat att många av stadens verksamheter hade en bristfällig kontinuitetsplanering och att informationsklassificering inte hade genomförts. Det noterades även att verksamheterna inte hade påbörjat arbetet med att vidta de åtgärder som krävs för att efterleva EU:s nya dataskyddsförordning. 3 Myndigheten för samhällsskydd och beredskap (2015). En bild av kommunernas informationssäkerhetsarbete 2015 samt Riksrevisionen (2016). Informationssäkerhetsarbete på nio myndigheter. En andra granskning av informationssäkerheten i staten. RIR 2016:8. 4 Enligt säkerhetspolicyn omfattar säkerhetsarbetet personsäkerhet, fysisk säkerhet, informationssäkerhet och krisberedskap. 5 Kartläggning av Göteborgs Stads it-system (oktober 2016, EY)

4 PROJEKTPLAN INFORMATIONSSÄKERHETSARBETET I GÖTEBORGS STAD Under hösten 2016 påbörjades ett projekt på stadsledningskontoret vilket syftar till att säkerställa att staden är redo att tillämpa EU:s dataskyddsförordning från och med maj 2018. Syfte och revisionsfrågor Syftet med granskningen är att bedöma om nämnder och styrelser bedriver ett ändamålsenligt informationssäkerhetsarbete. Bedömningen tar sin utgångspunkt i följande revisionsfrågor: Arbetar granskade nämnder och styrelser i enlighet med gällande regelverk inom informationssäkerhetsområdet? Har granskade nämnder och styrelser en tillräcklig styrning och uppföljning av informationssäkerhetsarbetet? Med formuleringen ändamålsenligt avser vi att granska om verksamheterna lever upp till de krav och mål som gäller för verksamheten enligt riktlinjer och föreskrifter inom informationssäkerhetsområdet samt om ansvariga nämnder och styrelser har en styrning och uppföljning mot dessa bestämmelser. Inom ramen för ett ändamålsenligt informationssäkerhetsarbete avser vi även att granska om verksamheterna arbetar systematiskt med informationsklassificering, riskanalyser, incidenthantering, kontinuitetsplanering samt uppföljning och kontroll, det vill säga bedriver ett systematiskt informationssäkerhetsarbete. Ansvarig nämnd och styrelse Granskningen omfattar: kommunstyrelsen kretslopp och vattennämnden nämnden för intraservice social resursnämnd Förvaltnings AB GöteborgsLokaler

PROJEKTPLAN INFORMATIONSSÄKERHETSARBETET I GÖTEBORGS STAD 5 Revisionskriterier Stadsrevisionen kommer att använda följande revisionskriterier för att bedöma granskningens iakttagelser: kommunallagen 6 kap. 7 säkerhetspolicy för Göteborgs Stad riktlinje för informationssäkerhet regler gällande driftsdokumentation för it-baserade informationssystem regler gällande informationssäkerhetsansvar för chefer i Göteborgs Stad riktlinje för hantering av säkerhetsrisker regler för it-användare i Göteborgs Stad riktlinjer för styrning, uppföljning och kontroll regler för kommungemensamma interna tjänster generellt regler för kommungemensamma interna tjänster förvaltnings-/bolagsspecifika styrdokument policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners risk- och sårbarhetsanalyser ISO 270001:2014 och 27002:2014 6 COSO:s ramverk för intern styrning och kontroll 7 Metod och avgränsningar Granskningen utförs genom intervjuer och dokumentstudier. Informationssäkerhetsarbetet beträffande fysisk säkerhet 8 och säkerhet i enskilda system omfattas inte av granskningen. 6 International Organization for Standardization - https://www.iso.org 7 The Committee of Sponsoring Organizations of the Treadway Commission - https://www.coso.org/

6 PROJEKTPLAN INFORMATIONSSÄKERHETSARBETET I GÖTEBORGS STAD Oberoende och integritet De sakkunnigas oberoende och integritet har prövats enligt stadsrevisionens oberoendedeklaration vilken baseras på Sveriges kommunala yrkesrevisorers modell. Inga omständigheter har framkommit som kan ifrågasätta förtroendet för de sakkunnigas oberoende och integritet som granskare. Projektorganisation Granskningen kommer att genomföras av Charlotte Nätstrand (projektledare), Mia van Hoewijk och Lina Tjernberg. Avrapportering Avrapportering till revisorsgruppen planeras att ske hösten 2017. Kvalitetssäkring Rapportens innehåll kommer att stämmas av med de granskade verksamheterna. Kvalitetssäkring sker genom projektets styrgrupp och kvalitetsansvarig för fördjupade granskningar. 8 Fysisk säkerhet innebär bland annat lokaler skyddas mot obehörigt tillträde, finns dokumenterade besöksrutiner och larm för exempelvis inbrott och brand.

goteborg.se/stadsrevisionen

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss