• No results found

118 Dnr Revisionsrapport - Granskning av Informationssäkerhet

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "118 Dnr Revisionsrapport - Granskning av Informationssäkerhet"

Copied!
6
0
0

Loading.... (view fulltext now)

Download now ( 6 Page )

Full text

(1)

KUNGSBACKA KOMMUN SAMMANTRÄDESPROTOKOLL 1 (1)

Nämnden för Service

Datum

2019-12-19

Justerare Expedierat/bestyrkt

§ 118 Dnr 2019 - 00191

Revisionsrapport - Granskning av Informationssäkerhet

Nämnden för Services beslut

Förvaltningen för Service godkänner svaret på Granskningen av

Informationssäkerhet - grundläggande granskning 2017, daterat 2019-12-11 och överlämnar sitt svar till Kommunstyrelsen.

Tjänsteskrivelsen är gemensam för Kommunstyrelsen och Nämnden för Service enligt Kommunrevisionens önskemål.

Sammanfattning av ärendet

EY har på uppdrag av Kungsbacka kommuns förtroendevalda revisorer genomfört en granskning av kommunens arbete med informationssäkerhet under maj- juni 2019.

Granskningens syfte har varit att övergripande granska huruvida kommunen har tillsett att arbetet kring informationssäkerhet med fokus på styrning, organisation och incidenthantering är ändamålsenligt. Syftet har även innefattat att granska om

kommunens aktuella informationssäkerhetsarbete för det verksamhetskritiska system Combine är effektiv.

Granskningen resulterade i ett antal observationer där man begär att

Kommunstyrelsen och nämnden för Service inkommer med ett samordnat svar.

Svaret ska tydliggöra vilka åtgärder som planeras, vem som ansvarar och när

åtgärder ska vara genomförda. Ansvaret för åtgärder delas mellan Kommunstyrelsen och nämnden för Service samt de nämnder som använder systemet Combine.

(nämnden för Vård & Omsorg, nämnden för Individ & Familj, och nämnden för Gymnasium & Arbetsmarknad).

Beslutsunderlag

Kungsbacka kommuns tjänsteskrivelse, 2019-12-11

Gemensamt svar från Service och Kommunstrelsen, 2019-12-12

Revisionsrapport ”Granskning av informationssäkerhet”, september 2019 med tillhörande följebrev.

Beslutet skickas till

Kommunstyrelsen

(2)

Datum

2019-12-12

Diarienummer

SE 2019-00191

Kungsbacka kommun Namita Magnusson 0300-83 46 58

1 (1)

Kungsbacka kommun 434 81 Kungsbacka Besöksadress Stadshuset, Storgatan 37 Telefon 0300-83 40 00

www.kungsbacka.se TJÄNSTESKRIVELSE

Revisionsrapport - Granskning av Informationssäkerhet

Förslag till beslut

Förvaltningen för Service godkänner svaret på Granskningen av Informationssäkerhet -

Grundläggande granskning 2017, daterat 2019-12-11 och överlämnar sitt svar till Kommunstyrelsen.

Tjänsteskrivelsen är gemensam för Kommunstyrelsen och Nämnden för Service enligt Kommunrevisionens önskemål.

Sammanfattning av ärendet

Kommunrevisionen genomförde sin fördjupade granskning av informationssäkerhet i kommunen under maj-juni 2019 som har resulterat i ett antal observationer där man begär att Kommunstyrelsen och nämnden för Service inkommer med ett samordnat svar som tydliggör vilka åtgärder som planeras, vem som ansvarar och när åtgärder ska vara genomförda. Ansvaret för åtgärder delas mellan

Kommunstyrelsen och nämnden för Service samt de nämnder som använder systemet Combine (nämnden för Vård och Omsorg, Individ och Familj, samt Gymnasium och Arbetsmarknad).

Beslutsunderlag

Kungsbacka kommuns tjänsteskrivelse, 2019-11-12

Revisionsrapport ”Granskning av informationssäkerhet”, september 2019 med tillhörande följebrev.

Beslutet skickas till Kommunstyrelsen Kommunrevisionen Nämnden för Service

Nämnden för Individ och Familjeomsorg Nämnden för Vård och Omsorg

Nämnden för Gymnasium och Arbetsmarknad

(3)

Datum

2019-12-12

Diarienummer

SE 1.2.2.3 2019- 00191

Kungsbacka kommun Namita Magnusson 0300-83 46 58

1 (4)

Kungsbacka kommun 434 81 Kungsbacka Besöksadress Stadshuset, Storgatan 37 Telefon 0300-83 40 00

www.kungsbacka.se Gemensamt svar från Service och Kommunstyrelsen gällande

Revisionsrapport - Granskning av Informationssäkerhet

Granskningen av informationssäkerhet är en fördjupad granskning enligt 2019 års revisionsplan.

Kommunstyrelsen ansvarar för att leda och styra kommunens arbete med informationssäkerhet. Varje nämnd ansvarar för informationssäkerheten inom sitt verksamhetsområde.

Ansvaret för kommunens infrastruktur och de kommungemensamma verksamhetssystemen fördelas mellan kommunstyrelsen och nämnden för Service. Vidare har respektive nämnd ansvar för sina unika (eller till viss del delade) verksamhetssystem. I denna granskning var Combine i fokus som används av nämnden för Vård & Omsorg, nämnden för Individ & Familjeomsorg samt nämnden för Gymnasium

& Arbetsmarknad. Systemets drift ligger hos upphandlad leverantör och inte i kommunens egen regi.

Granskningen har resulterat i ett antal åtgärdspunkter:

Revisionens observation Planerad åtgärd Ansvarig Planerat

färdigtidpunkt Det saknas mål och vision för

kommunens

informationssäkerhetsarbete

Ny säkerhetspolicy är färdig och under beslut.

Regler och riktlinjer för informationssäkerhet är under framtagande.

Framtagande övriga styrande dokument som behövs

Säkerhetschef

Specialist

informationssäkerhet

december 2019

kvartal 1 2020

löpande 2020

Det finns ingen tydlig plan för kommunikation och uppföljning

Kommunikationsplan tas fram i samband med implementering av ovan beskrivna styrande dokument.

Specialist

informationssäkerhet

kvartal 1 2020

Kontinuerliga och anpassade utbildningsinsatser bör accelereras

Framtagande av grundläggande utbildningsmaterial pågår.

Behovsanalys och riktade utbildningar planeras på längre sikt.

Specialist

informationssäkerhet

kvartal 1 2020

löpande 2020

(4)

KUNGSBACKA KOMMUN

2 (4)

Möjlighet till insyn i leverantörs arbete med IT och

informationssäkerhet är inte avtalat.

Kravanalytiker finns numera i organisationen.

Dokumenterad metodik för upphandling av IT-system införd under 2019. Metodiken innehåller mallar med krav på både IT-och

informationssäkerhet.

Obligatorisk klassning av informationsmängd ligger till grund för

informationssäkerhetskrav som ställs på leverantör.

Dokumenterad testmetodik för nya IT-system införd hösten 2019. Dokumenterad testmetodik är införd hösten 2019 och rekommenderas att användas både vid upphandling av nya IT-system men även vid uppgraderingar av befintliga.

Säkerhetsaspekter ska testas.

Enligt systemförvaltarmodellen ska följande dokumentation finnas (minimumnivå):

 Avtal med leverantör av verksamhetssystem eller digitalt verktyg (upprättas i samband med upphandling, ska överlämnas av projekt)

 Personuppgiftsbiträdesavtal (PUB-avtal)

 Service Level Agreement (SLA) i samband med upphandling

(Överenskommelse med leverantör av drift)

 Förvaltningsplan (upprättas och revideras årligen)

 Beskrivning av teknisk miljö, integrationer etc (SE DC Driftwiki)

Digitaliseringschef Uppföljning 2020

(5)

KUNGSBACKA KOMMUN

3 (4)

I Förvaltningsplanen beskrivs hantering av behörigheter för respektive system.

Brist på formella rutiner för uppföljning av efterlevnad av kommunens policy och riktlinjer för personuppgiftshantering.

Planen för årlig granskning av nämndernas arbete med dataskydd ses över att omfatta även policy och riktlinjer för personuppgiftshantering.

Säkerhetschef 2020

Brist på kommunövergripande kontinuitetsplanering och periodiskt genomförande av en övergripande analys (specifik utifrån

informationssäkerhetsrelaterade risker)

Plan för återkommande analys av

informationssäkerhetsrelaterade risker införs.

Riktlinjer för krisberedskap (under beslut) kräver att varje nämnd tar fram

kontinuitetsplaner för samhällsviktig verksamhet.

Former för planering av kommungemensamt arbete och uppföljning av nämndernas arbete i frågan ses över inför 2021.

Specialist

informationssäkerhet

Specialister för informationssäkerhet respektive krisberedskap

Enligt riktlinjer informationssäkerhet

december 2020

Det saknas riktlinjer för uppföljning och övervakning av extern leverantör

(Pulsen/Combine)

Se svar på observationen

”Möjlighet till insyn i leverantörs arbete med IT och informationssäkerhet är inte avtalat” som anger vägen framåt. Uppföljning av befintligt avtal med Pulsen/Combine sker inom ramen för

systemförvaltarmodellen

Respektive systemägare och förvaltare

december 2020

Riktlinjer och policies för behörighetshantering är inte definierade och kritiska kontroller saknas (Combine)

Kraven för

behörighetshantering regleras av befintlig klassningsmodell och systemförvaltarmodell.

Enligt systemförvaltarmodellen ska behörighetshantering beskrivas utifrån klassning i förvaltningsplanen för systemet, vilken tas fram av systemförvaltaren.

Följsamhet till befintliga rutiner är en del av intern

kontrollplanen 2019.

Uppföljning av resultat och

Respektive systemägare och förvaltare

december 2020

(6)

KUNGSBACKA KOMMUN

4 (4)

åtgärd av eventuella brister under 2020.

Ny rutin för avslut av anställning och motsvarande avslut av behörigheter införd 2019

Kungsbacka kommun saknar insikt i extern leverantörs testning Combine)

Se tidigare punkt ang avtal.

Insyn i testning ingår vid behov i kravställning.

För Combine specifikt sker diskussion med berörd leverantör

Systemägare och förvaltare

december 2020

Christer Blomqvist

Verksamhetschef Digitalt center

References

Download now ( PDF - 6 Page - 409.48 KB )

Related documents

Tekniska nämnden och kommunstyrelsen

• Vi bedömer att tillgång till information löpande under projekttiden är avgörande för att nämnden ska kunna utöva den insyn och kontroll som nämnden har ansvar för enligt

Nämndbudget 2021 Nämnden för Vård & Omsorg

Nämnden för Vård & Omsorg har fastställt ett ledningssystem för det systematiska kvalitetsarbetet i förvaltningen, med syfte att säkerställa att nämnden för Vård &

Tekniska nämnden Investeringsbudget Samhällsuppdraget samt plan Bilaga 4 Dnr Ten 2015/329

Syftet med vattendatabas är att effektivisera vattenarbetet i kommunen. Data och dokument samlas i en gemensam databas med koppling till GIS.. Vattenundersökningar behövs för

Nämndbudget Nämnden för Gymnasium & Arbetsmarknad

För Gymnasium & Arbetsmarknad är det mycket viktigt att kunna attrahera och rekrytera rätt kompetens och förvaltningen strävar efter att vara en attraktiv arbetsgivare, och

NÄMNDEN FÖR OMSORG OCH HÄLSA

kommande förutsättningar och viktiga frågor. Planeringen är att redogörelsen ska innehålla information om framtidens äldreomsorg, viktiga framgångsfaktorer för att nå målen

NÄMNDEN FÖR OMSORG OCH HÄLSA

helårsprognosen per augusti visar en negativ avvikelse mot budget på 5.7 mkr. Nämnden ser inte möjlighet till realiserbara förändringar i år utöver redan beslutade och

Riktlinjer för avgifter inom Vård och omsorg samt Stöd och omsorg

Med förbehållsbelopp avses det belopp som den enskilde har rätt att behålla av sina egna medel innan avgift får tas ut för hemtjänst, dagverksamhet och kommunal hälso- och

Avgifter inom Vård och omsorg samt Stöd och omsorg

Det gäller i de fall den enskilde inte har en utgift som ingår i det angivna förbehållsbeloppet därför att kostnaden ingår i avgiften för vård och omsorg och socialt stöd enligt