KUNGSBACKA KOMMUN SAMMANTRÄDESPROTOKOLL 1 (1)
Nämnden för Service
Datum2019-12-19
Justerare Expedierat/bestyrkt
§ 118 Dnr 2019 - 00191
Revisionsrapport - Granskning av Informationssäkerhet
Nämnden för Services beslut
Förvaltningen för Service godkänner svaret på Granskningen av
Informationssäkerhet - grundläggande granskning 2017, daterat 2019-12-11 och överlämnar sitt svar till Kommunstyrelsen.
Tjänsteskrivelsen är gemensam för Kommunstyrelsen och Nämnden för Service enligt Kommunrevisionens önskemål.
Sammanfattning av ärendet
EY har på uppdrag av Kungsbacka kommuns förtroendevalda revisorer genomfört en granskning av kommunens arbete med informationssäkerhet under maj- juni 2019.
Granskningens syfte har varit att övergripande granska huruvida kommunen har tillsett att arbetet kring informationssäkerhet med fokus på styrning, organisation och incidenthantering är ändamålsenligt. Syftet har även innefattat att granska om
kommunens aktuella informationssäkerhetsarbete för det verksamhetskritiska system Combine är effektiv.
Granskningen resulterade i ett antal observationer där man begär att
Kommunstyrelsen och nämnden för Service inkommer med ett samordnat svar.
Svaret ska tydliggöra vilka åtgärder som planeras, vem som ansvarar och när
åtgärder ska vara genomförda. Ansvaret för åtgärder delas mellan Kommunstyrelsen och nämnden för Service samt de nämnder som använder systemet Combine.
(nämnden för Vård & Omsorg, nämnden för Individ & Familj, och nämnden för Gymnasium & Arbetsmarknad).
Beslutsunderlag
Kungsbacka kommuns tjänsteskrivelse, 2019-12-11
Gemensamt svar från Service och Kommunstrelsen, 2019-12-12
Revisionsrapport ”Granskning av informationssäkerhet”, september 2019 med tillhörande följebrev.
Beslutet skickas till
Kommunstyrelsen
Datum
2019-12-12
Diarienummer
SE 2019-00191
Kungsbacka kommun Namita Magnusson 0300-83 46 58
1 (1)
Kungsbacka kommun 434 81 Kungsbacka Besöksadress Stadshuset, Storgatan 37 Telefon 0300-83 40 00
www.kungsbacka.se TJÄNSTESKRIVELSE
Revisionsrapport - Granskning av Informationssäkerhet
Förslag till beslut
Förvaltningen för Service godkänner svaret på Granskningen av Informationssäkerhet -
Grundläggande granskning 2017, daterat 2019-12-11 och överlämnar sitt svar till Kommunstyrelsen.
Tjänsteskrivelsen är gemensam för Kommunstyrelsen och Nämnden för Service enligt Kommunrevisionens önskemål.
Sammanfattning av ärendet
Kommunrevisionen genomförde sin fördjupade granskning av informationssäkerhet i kommunen under maj-juni 2019 som har resulterat i ett antal observationer där man begär att Kommunstyrelsen och nämnden för Service inkommer med ett samordnat svar som tydliggör vilka åtgärder som planeras, vem som ansvarar och när åtgärder ska vara genomförda. Ansvaret för åtgärder delas mellan
Kommunstyrelsen och nämnden för Service samt de nämnder som använder systemet Combine (nämnden för Vård och Omsorg, Individ och Familj, samt Gymnasium och Arbetsmarknad).
Beslutsunderlag
Kungsbacka kommuns tjänsteskrivelse, 2019-11-12
Revisionsrapport ”Granskning av informationssäkerhet”, september 2019 med tillhörande följebrev.
Beslutet skickas till Kommunstyrelsen Kommunrevisionen Nämnden för Service
Nämnden för Individ och Familjeomsorg Nämnden för Vård och Omsorg
Nämnden för Gymnasium och Arbetsmarknad
Datum
2019-12-12
Diarienummer
SE 1.2.2.3 2019- 00191
Kungsbacka kommun Namita Magnusson 0300-83 46 58
1 (4)
Kungsbacka kommun 434 81 Kungsbacka Besöksadress Stadshuset, Storgatan 37 Telefon 0300-83 40 00
www.kungsbacka.se Gemensamt svar från Service och Kommunstyrelsen gällande
Revisionsrapport - Granskning av Informationssäkerhet
Granskningen av informationssäkerhet är en fördjupad granskning enligt 2019 års revisionsplan.
Kommunstyrelsen ansvarar för att leda och styra kommunens arbete med informationssäkerhet. Varje nämnd ansvarar för informationssäkerheten inom sitt verksamhetsområde.
Ansvaret för kommunens infrastruktur och de kommungemensamma verksamhetssystemen fördelas mellan kommunstyrelsen och nämnden för Service. Vidare har respektive nämnd ansvar för sina unika (eller till viss del delade) verksamhetssystem. I denna granskning var Combine i fokus som används av nämnden för Vård & Omsorg, nämnden för Individ & Familjeomsorg samt nämnden för Gymnasium
& Arbetsmarknad. Systemets drift ligger hos upphandlad leverantör och inte i kommunens egen regi.
Granskningen har resulterat i ett antal åtgärdspunkter:
Revisionens observation Planerad åtgärd Ansvarig Planerat
färdigtidpunkt Det saknas mål och vision för
kommunens
informationssäkerhetsarbete
Ny säkerhetspolicy är färdig och under beslut.
Regler och riktlinjer för informationssäkerhet är under framtagande.
Framtagande övriga styrande dokument som behövs
Säkerhetschef
Specialist
informationssäkerhet
december 2019
kvartal 1 2020
löpande 2020
Det finns ingen tydlig plan för kommunikation och uppföljning
Kommunikationsplan tas fram i samband med implementering av ovan beskrivna styrande dokument.
Specialist
informationssäkerhet
kvartal 1 2020
Kontinuerliga och anpassade utbildningsinsatser bör accelereras
Framtagande av grundläggande utbildningsmaterial pågår.
Behovsanalys och riktade utbildningar planeras på längre sikt.
Specialist
informationssäkerhet
kvartal 1 2020
löpande 2020
KUNGSBACKA KOMMUN
2 (4)Möjlighet till insyn i leverantörs arbete med IT och
informationssäkerhet är inte avtalat.
Kravanalytiker finns numera i organisationen.
Dokumenterad metodik för upphandling av IT-system införd under 2019. Metodiken innehåller mallar med krav på både IT-och
informationssäkerhet.
Obligatorisk klassning av informationsmängd ligger till grund för
informationssäkerhetskrav som ställs på leverantör.
Dokumenterad testmetodik för nya IT-system införd hösten 2019. Dokumenterad testmetodik är införd hösten 2019 och rekommenderas att användas både vid upphandling av nya IT-system men även vid uppgraderingar av befintliga.
Säkerhetsaspekter ska testas.
Enligt systemförvaltarmodellen ska följande dokumentation finnas (minimumnivå):
Avtal med leverantör av verksamhetssystem eller digitalt verktyg (upprättas i samband med upphandling, ska överlämnas av projekt)
Personuppgiftsbiträdesavtal (PUB-avtal)
Service Level Agreement (SLA) i samband med upphandling
(Överenskommelse med leverantör av drift)
Förvaltningsplan (upprättas och revideras årligen)
Beskrivning av teknisk miljö, integrationer etc (SE DC Driftwiki)
Digitaliseringschef Uppföljning 2020
KUNGSBACKA KOMMUN
3 (4)
I Förvaltningsplanen beskrivs hantering av behörigheter för respektive system.
Brist på formella rutiner för uppföljning av efterlevnad av kommunens policy och riktlinjer för personuppgiftshantering.
Planen för årlig granskning av nämndernas arbete med dataskydd ses över att omfatta även policy och riktlinjer för personuppgiftshantering.
Säkerhetschef 2020
Brist på kommunövergripande kontinuitetsplanering och periodiskt genomförande av en övergripande analys (specifik utifrån
informationssäkerhetsrelaterade risker)
Plan för återkommande analys av
informationssäkerhetsrelaterade risker införs.
Riktlinjer för krisberedskap (under beslut) kräver att varje nämnd tar fram
kontinuitetsplaner för samhällsviktig verksamhet.
Former för planering av kommungemensamt arbete och uppföljning av nämndernas arbete i frågan ses över inför 2021.
Specialist
informationssäkerhet
Specialister för informationssäkerhet respektive krisberedskap
Enligt riktlinjer informationssäkerhet
december 2020
Det saknas riktlinjer för uppföljning och övervakning av extern leverantör
(Pulsen/Combine)
Se svar på observationen
”Möjlighet till insyn i leverantörs arbete med IT och informationssäkerhet är inte avtalat” som anger vägen framåt. Uppföljning av befintligt avtal med Pulsen/Combine sker inom ramen för
systemförvaltarmodellen
Respektive systemägare och förvaltare
december 2020
Riktlinjer och policies för behörighetshantering är inte definierade och kritiska kontroller saknas (Combine)
Kraven för
behörighetshantering regleras av befintlig klassningsmodell och systemförvaltarmodell.
Enligt systemförvaltarmodellen ska behörighetshantering beskrivas utifrån klassning i förvaltningsplanen för systemet, vilken tas fram av systemförvaltaren.
Följsamhet till befintliga rutiner är en del av intern
kontrollplanen 2019.
Uppföljning av resultat och
Respektive systemägare och förvaltare
december 2020
KUNGSBACKA KOMMUN
4 (4)åtgärd av eventuella brister under 2020.
Ny rutin för avslut av anställning och motsvarande avslut av behörigheter införd 2019
Kungsbacka kommun saknar insikt i extern leverantörs testning Combine)
Se tidigare punkt ang avtal.
Insyn i testning ingår vid behov i kravställning.
För Combine specifikt sker diskussion med berörd leverantör
Systemägare och förvaltare
december 2020