• No results found

Granskning av

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Granskning av"

Copied!
5
0
0

Loading.... (view fulltext now)

Download now ( 5 Page )

Full text

(1)

Granskning av IT säkerhet

2017

Kommunstyrelsen

(2)

Sammanfattning

I denna rapport sammanfattas resultatet av granskning av IT säkerhet. Granskningen har avgränsats till kommunstyrelsen och kommunövergripande nivån. Granskningens syfte är att undersöka och bedöma internkontrollen genom det systematiska IT säkerhetsarbetet.

Riktlinjer i IT säkerhetspolicyn är inaktuella och håller på att revideras. Arbeten med införandet av ledningssystem för informationssäkerhet (LIS) pågår. Riktlinjer, förhållningssätt och dokumentationsstandarder kring säkerhetsarbetet kommer att kunna hanteras inom pågående arbeten.

I granskningen har risker kring att riktlinjer inte hålls aktuella eller följs upp uppmärksammats. Det gäller också risker vid avsaknad av en övergripande kontrollfunktion. Det är nödvändigt att ansvariga på respektive nivå är informerade om rutiner och de kontroller som faktiskt utförs i ett fungerande säkerhetsarbete. Brister i rutiner och dokumentation från utförda kontroller har framkommit. Bristande rutiner och kontroller kan leda till att avsikter och mål med säkerhetsarbetet inte uppnås.

Bedömning

Vi har bedömt att internkontrollen för det systematiska IT säkerhetsarbetet erfordrar väsentliga förbättringar.

Intern kontroll

Bedömningen grundas enligt följande Erfordrar väsentliga förbättringar Erfordrar förbättringar

Tillfredsställande mindre iakttagelser Tillfredsställande

(3)

IT Säkerhet

Granskning Resultat

IT säkerhetspolicy

Risk

Ansvarsfördelning

Riktlinjer för säkerhetsarbetet finns i IT-säkerhetspolicyn (2012). Befintliga underlag i IT säkerhetspolicy med tillhörande IT säkerhetsinstruktioner

saknar aktualitet (giltiga t o m 2016-12-31) och håller på att ses över enligt uppgifter.

Granskningen har omfattat frågor inom nedan områden:

• Riktlinjer, rutiner, anvisningar

• Ansvarsfördelningen

• Uppföljning

• Rapportering

Säkerhetsinstruktioner finns framtagna för förvaltning, kontinuitet och drift och användare. I dagsläget utförs inte någon uppföljning gällande

efterlevnad av riktlinjerna enligt uppgifter. Anvisningar/instruktion kring standardiserade tester (backup/restore) finns och efterlevnaden sägs variera beroende på system.

Vid avsaknad av uppföljning av efterlevnad i riktlinjer ökar risker för att kraven inte upprätthålls och efterlevs.

Ansvarsfördelningen är klarlagd och dokumenterad i policyn. IT chef är systemägare för det interna IT nätverket. IT tekniker vid IT enheten svarar tillsammans med systemägare och systemförvaltare för att den dagliga driften upprätthålls. Det övergripande ansvaret för IT-systemen vilar på respektive förvaltningschef som också utser systemägare för organisationens IT-system. Systemägaren ansvarar för att systemsäkerhetsanalyser för de egna informationssystemen genomförs.

(4)

IT säkerhet

Granskning Resultat

Uppföljning av mål

Risk

Informations- klassning

Något övergripande fora för system och erfarenhetsutbyte kopplat till kommunens IT-säkerhetsarbete finns inte. Någon ansvarig person vid IT enheten för övergripande kontroller avseende IT säkerhetsarbetet har inte utsetts.

Mål i policyn ska följas upp av respektive förvaltning. Det är idag inte klarlagt vilka årliga mål i policyn som fått genomslag i förvaltningarnas verksamhetsplanering kopplat till IT-säkerhetsarbetet.

Vid avsaknad av övergripande kontrollfunktion ökar risker att fastställda mål och krav inte följs/upprätthålls och efterlevs på avsett sätt.

Informationsklassning är en metod som hjälper verksamheten att välja rätt skyddsåtgärder för sin information, exempelvis personuppgifter. Ett arbete kopplat till införande av ledningssystem för informationssäkerhet (LIS)

pågår. Ett antal frågor kopplat till området har ställts. IT-chef har informerat om att samtliga frågor kommer hanteras inom ramen för detta arbete.

Nedan redovisas frågor som kommer hanteras inom pågående arbete (LIS)

• Informationsklassning, finns fastställd standard/dokumentation/riktlinjer för hur detta arbete genomförs?

• Finns någon standardiserad dokumentation/förhållningssätt som säkerställer att upprätthåller önskad säkerhet?

• Finns ett standardiserat förhållningssätt kopplat till driftgodkännande av systemägaren?

• Finns dokumentation kring när ett system validerats/godkänts för skarp drift?

(5)

IT säkerhet

Granskning Resultat

Incident/

Behörighet

Risk

Utbildning

Risk

Incidenter ska rapporteras till IT enhet eller närmaste chef. Systemägaren har att följa konsekvenserna av den och verka för att det inte uppkommer igen.

Systemägaren beslutar även om vem som ska få tillträde och med vilken behörighetsnivå till IT-systemen. Rutin för eskalering/incidenthantering finns och är bristfälligt beskriven enligt uppgifter. Utan tydliga eskaleringsvägar ökar risker för att olika incidenter inte rapporteras. Vi har noterat att det utförs sporadiska användargenomgångar på systemnivå.

Brister i eskaleringsrutin kan medföra att eventuell rapportering inte genomförs inom en för verksamheten acceptabel tidsram.

Ej konsistent användaradministration kan leda till att användare får felaktiga behörigheter eller har access till icke önskvärd systemfunktionalitet.

Av policyn följer att IT-säkerhetsutbildning för kommunens anställda är ett särskilt viktigt område. Alla användare skall ges kunskap om gällande dokument ”IT säkerhetsinstruktion för användare”. Vi har i vår granskning noterat att ingen dokumentation finns om kommunens anställda tagit del av någon av dessa områden.

Vid avsaknad av utbildning ökar risker för att fastställda krav inte upprätthålls och efterlevs på ett för verksamheten ändamålsenligt sätt.

References

Download now ( PDF - 5 Page - 216.61 KB )

Related documents

Granskning av IT-säkerhet

- KPMG rekommenderar kommunen att rutinmässigt säkerställa att IT-funktionen deltar i upphandlingar avseende IT-tjänster för att inte riskera att upphandlingar genomförs som

07.8. Bilaga 6. Uppföljande granskning generella IT-kontroller Visma

I samband med granskningen noterades att ingen formell process finns på plats för uppföljning och/eller övervakning av aktivitet som är utförd av användare med priviligierade

Granskning av IT-säkerhet

Forshaga kommun har lämpliga roller och ansvar för informations- och IT-säkerhet men behöver uppdatera, utveckla och formalisera styrande dokument avseende rutiner inom

Kommunstyrelseförvaltningen IT-enheten

Om ett meddelande tillhör ett ärende eller innebär att ett ärende anhängiggörs (en förfrågan, ansökan, ett klagomål eller något likande) skall meddelandet lämnas till

15.1. Yttrande över revisorernas rapport Övergripande granskning IT-driften

- Samarbetet mellan förvaltningarna, IT-avdelningen och driftsleverantören Tieto behöver tydliggöras för att förbättra transparensen kring befintliga processer och rutiner

26.1 Övergripande granskning av IT-driften

Kommunen behöver tydliggöra samarbetet mellan verksamheterna, IT-avdelningen och Tieto för att förbättra transparensen avseende befintliga processer och rutiner för drift av

Granskning av IT Säkerhetsarbete Härnösands kommun

Vi har noterat att det inte finns någon dokumentation kopplat till vilka specifika behörigheter en användare har utöver att utföra enskilda kontroller i respektive

Övergripande granskning av kommunens styrmodell för området IT- och inform- ationssäkerhet

Modellen bör bygga på tydligt definierade roller och ansvarsområden, processer för informationsklas- sificering och inventering, rutiner för riskanalys samt ändamålsenlig