2007 Rapport sv 0903 - Lycksele kommun

ABCD 

Lycksele kommun 

Informationssäkerhet 

Granskningsrapport 

Revision 

KPMG AB 

13 januari 2010 

Antal sidor: 9 

© 2010 KPMG AB, a Swedish limited liability company 

and a member firm of the KPMG network of independent member firms 

affiliated with KPMG International, a Swiss cooperative. All rights reserved.

ABCD 

Innehåll 



affiliated with KPMG International, a Swiss cooperative. All rights reserved. 




2010-01-13 

1. Sammanfattning 1 

2. Bakgrund 2 

2.1 Allmänt 2 

2.2 Risk och väsentlighet 2 

2.3 Förtydligande av begreppet informationssäkerhet 2 

3. Syfte 3 

4. Metod 3 

5. Noteringar från granskningen 3 

5.1 Finns det en av kommunfullmäktige fastställd informationssäkerhetspolicy 

för kommunen? 3 

5.2 Hur införs, kommuniceras och underhålls styrande dokument? 4 

5.3 Finns det fastställda systemsäkerhetsanalyser för de system som 

klassificerats som väsentliga för verksamhetens bedrivande, de 

samhällsviktiga systemen? 5 

5.4 Är personer med ansvarsroller för informationssäkerheten medvetna om 

detta? 6 

5.5 Vilka generella/särskilda kontroller finns för att säkerställa efterlevnaden 

och finns det dokumentation på att de är utförda? 6 

5.6 Kan man hänföra, oplanerade driftstopp, problem med planering samt 

störningar i verksamheten p g a av uppgraderingar och byten av system, 

till brister i informationssäkerheten 7 

5.7 Får förvaltningarna behövligt stöd från etablerade stödfunktioner för att 

säkerställa informationssäkerheten 7

ABCD 

1. Sammanfattning 







2010-01-13 

Revisionen bedömde att det fanns risk för att det förelåg brister i de rutiner som skall säkerställa 

en god informationssäkerhet. Därför har KPMG av Lycksele kommuns revisorer erhållit i uppdrag 

att granska kommunens rutiner för hur den styr, utreder, inför, upprätthåller och kontrollerar 

informationssäkerheten i sin verksamhet. 

Granskningen visar bland annat att: 

Det finns vid gransakningstillfället en av kommunfullmäktige år 2005 fastställd IT-säkerhetspolicy. 

Det finns dock en ambition att kommunfullmäktige under december 2009 skall anta en 

informationssäkerhetspolicy med tillhörande styrande dokument. Den yttersta konkretiseringen av 

informationssäkerhet, systemsäkerhetsplaner, finns framtagna för verksamhetssystemen inom 

socialtjänsten. Vi saknar planer för telefonin och infrastrukturen. Det uppges dock finnas en plan 

för kommunens nätverk och servrar. 

Vi ser inga tydliga spår av en organisation av informationssäkerheten vare sig övergripande eller 

förvaltningsspecifik fram till att en informationssäkerhetssamordnare utsetts under senare delen 

av 2009. 

Vi finner ingen organiserad och ordnad kontroll av att uppsatta informationssäkerhetsregler 

efterlevs. Detta gäller generellt likväl som för de systemsäkerhetsplaner som är införda. 

Vi noterar att det tas initiativ till en omstart av informationssäkerhetsarbetet. En samordnare är 

tillsatt, chefsgruppen skall involveras via särskilda möten, utbildning av personal planeras och 

systemsäkerhetsplaner skall revideras. 

Rekommendationer 

Det krävs åtgärder för att kommunen skall lyckas med att leva upp till sina egna satta mål för 

informationssäkerheten. Vi välkomnar den nystart som planeras under ledning av den nytillträdda 

informationssäkerhetssamordnaren. Vi förutsätter att kommunfullmäktige antar den nya informationssäkerhetspolicyn 

Vidare anser vi att chefsgruppen agerande har en avgörande betydelse om 

medarbetare i kommunen tillsammans skall lyckas etablera en effektiv och ändamålsenlig 

informationssäkerhetskultur. Samordnaren måste ges stöd och dignitet så att nödvändiga åtgärder 

respekteras och får genomslag. Per definition så upphör aldrig informationssäkerhetsarbetet i en 

organisation. 

1

ABCD 

2. Bakgrund 

2.1 Allmänt 







2010-01-13 

KPMG har av Lycksele kommuns revisorer fått i uppdrag att granska kommunens rutiner för hur 

den styr, utreder, inför, upprätthåller och kontrollerar informationssäkerheten i sin verksamhet. 

2.2 Risk och väsentlighet 

Revisionen utesluter inte att det finns risk för att det föreligger brister i de rutiner som skall säkerställa 

en god informationssäkerhet och att det därför är väsentligt att klarlägga på vilket sätt och i 

vilken form kommunfullmäktige, -styrelse och -ledning samt operativt ansvariga styr informationssäkerhetsarbetet 

i kommunen. Det är även väsentligt att veta vilka riskbedömningar informationssäkerhetsarbetet 

vilar på, hur regler, anvisningar etc rörande säkerhetsarbetet implementeras, 

kommuniceras, underhålls samt hur efterlevnaden av beslutad säkerhet kontrolleras. 

2.3 Förtydligande av begreppet informationssäkerhet 

För att klarlägga vad som menas med informationssäkerhet lämnas nedan en kortare förklaring 

med tillhörande illustration. Vi vill därmed tydliggöra begreppet så att avgränsningen av och 

syftet med förstudien skall bli så klar som möjligt. 

Personsäkerhet 

Fysisk säkerhet 

Administrativ 

säkerhet 

Säkerhet 

Administrativ 

säkerhet 


ADB säkerhet 

Fysisk 

säkerhet 

IT-säkerhet 

Logisk 

säkerhet 

Kommunikations 

säkerhet 

Fysisk 

säkerhet 

Logisk 

säkerhet 

Informationssäkerhet är säkerheten vid hantering av information för önskad tillgänglighet, 

riktighet, sekretess och spårbarhet, den delas upp i administrativ säkerhet och IT-säkerhet. 

Administrativ säkerhet uppnås huvudsakligen med hjälp av administrativa regler och rutiner. 

IT-säkerhet innebär säkerhet i IT-systemen och delas upp i ADB-säkerhet (eller ännu hellre 

uttryckt – datasäkerhet), innebärande skydd av data och system mot obehörig åtkomst och 

obehörig eller oavsiktlig förändring eller störning vid databehandling, och kommunikationssäkerhet. 

Det senare innebär säkerhet i samband med överföring av information och styrsignaler. 

Syftet med den är att förhindra att information inte kommer obehöriga till del, att informationen 

inte förvanskas eller inte når mottagaren men också att felaktig information inte introduceras i 

kommunikation och system. Med fysisk säkerhet i samband med data- och kommunikations- 

2

ABCD 

3. Syfte 







2010-01-13 

säkerhet menas skyddet av själva utrustningen och kommunikationsvägarna. Med logisk säkerhet 

menas skyddet av innehållet i systemen. 

Syftet med granskningen har varit att översiktligt bedöma informationssäkerheten i kommunen. 

Granskningen har genomförts genom att besvara följande frågeställningar: 

4. Metod 

• Finns det en av kommunfullmäktige fastställd informationssäkerhetspolicy för kommunen? 

• Hur införs, kommuniceras och underhålls styrande dokument? 

• Finns det fastställda systemsäkerhetsanalyser för de system som klassificerats som väsentliga 

för verksamhetens bedrivande, de samhällsviktiga systemen? 

• Är personer med ansvarsroller för informationssäkerheten medvetna om detta? 

• Vilka generella/särskilda kontroller finns för att säkerställa efterlevnaden och finns det 

dokumentation på att de är utförda? 

• Kan man hänföra, oplanerade driftstopp, problem med planering samt störningar i verksamheten 

p g a av uppgraderingar och byten av system, till brister i informationssäkerheten? 

• Får förvaltningarna behövligt stöd från etablerade stödfunktioner för att säkerställa 

informationssäkerheten? 

Som metod har dokumentstudier och intervjuer använts. Vi har intervjuat, informationssäkerhetsansvarig, 

ekonomichef, IT-chef, socialchef samt medarbetare på socialförvaltningen, IT-avdelningen 

och inom gymnasieskolan under slutet av november och början av december månad 2009. 

Rapporten har saklighetsgranskats av IT-chefen. 

5. Noteringar från granskningen 

Under respektive avsnitt nedan redovisar och kommenterar vi våra iakttagelser från granskningen. 

Varje avsnitt motsvaras av en punkt under rubriken syfte ovan. 

5.1 Finns det en av kommunfullmäktige fastställd informationssäkerhetspolicy 

för kommunen? 

Svaret på rubricerad fråga är nej. Det finns dock en IT-säkerhetspolicy med tillhörande tillämpningsföreskrifter 

antagen av kommunfullmäktige 2005-12-12. Vid intervjuer framkommer att en 

informationssäkerhetspolicy med tillhörande styrande dokumentär finns utarbetad och framlagd 

för kommunstyrelsen i november i år (2009) med ambitionen att den skall kunna beslutas av 

kommunfullmäktige i december. Alla intervjuade har kunskap om detta. 

3

ABCD 

Kommentar 







2010-01-13 

Det är väsentligt inte minst för efterlevnaden att formalisera styrdokument av den dignitet som en 

informationssäkerhetspolicy representerar. Det får rimligtvis inte råda någon osäkerhet om hur 

information i kommunen skall hanteras säkert och effektivt. 

5.2 Hur införs, kommuniceras och underhålls styrande dokument? 

Enligt uppgift så har kommunen sedan 2004 tagit stöd av tillhandhållen nationell och regional 

kunskap för att säkerställa en ändamålsenlig informationssäkerhet. Dåvarande Krisberedskapsmyndighetens 

(sedan första januari 2009 genom sammanslagning med ytterligare två myndigheter 

”Myndigheten för samhällsskydd och beredskap”) koncept för informationssäkerhet BITS 

(basnivå för informationssäkerhet) bildar grund för kommunens syn på och förhållande till 

informationssäkerhet. Enskilt och tillsammans med andra kommuner i länet har en konsult, vars 

tjänster tillhandahållits via länsstyrelse och regionförbund, använts. 

Vi bedömer att IT-säkerhetsarbetet de första åren inte fick totalt genomslag i verksamheten trots 

de ansvarigas ambitioner. Vi kan dock se att socialtjänsten konkretiserade sitt informationssäkerhetsarbete 

genom att under 2005 och 2006 upprätta och besluta om systemsäkerhetsplaner 

för sina tre viktigaste verksamhetsstöd. 

Det omtag i informationssäkerhetsarbetet som gjorts på senare tid och som resulterat i en 

reviderad och utvidgad policy skall nu införas och kommuniceras med början i en detaljerad 

information för kommunens s k chefsgrupp. För att undvika att IT-chefen som hittills ansvarat för 

informationssäkerheten på central nivå inte skall hamna i en valsituation när resurser skall 

fördelas mellan IT-drift och säkerhet har en central resurs som informationssäkerhetssamordnare 

skapats. Vi noterar även de planer som finns för den webbaserade utbildning under 2010 som 

skall fungera upplysande och lärande för kommunens personal. 

Kommentar 

Arbetet med att i kommunen införa informationssäkerhet på bred front och på en ändamålsenlig 

nivå har tagit ny fart. Vi ser det som positivt att ytterst ansvariga för verksamheterna inser sitt 

ansvar för att säkerställa att informationssäkerhet blir en integrerad del av verksamheten. Ansvaret 

för informationssäkerhet är inget sidoordnat fenomen utan tillhör linjeansvaret. Respektive 

förvaltning eller lämpliga delar därav bör ha en person med särskilt ansvar för att gemensamma 

och specifika regler förstås och efterlevs. Notera att detta inte är en heltidstjänst. Det är viktigt att 

arbetet hålls levande så att en effektiv säkerhetskultur tillåts slå rot och fortleva. Vi rekommenderar 

att informationssäkerhet regelbundet dryftas på det övergripande planet genom att den får 

bli en egen regelbundet återkommande punkt i lämpliga agendor på förvaltningsnivån likväl som 

centralt. Det är vår förhoppning att den centralt placerade samordnaren bereds möjlighet att 

utforma och kommunicera strategier för hur policyn över tid skall hållas aktuell och att tillämpningsföreskrifterna 

förblir ändamålsenliga och efterlevda. Under vår granskning har vi till de 

intervjuade lämnat ett antal konkreta tips på hur detta kan åstadkommas. 

4

ABCD 

5.3 Finns det fastställda systemsäkerhetsanalyser för de system som 

klassificerats som väsentliga för verksamhetens bedrivande, de 

samhällsviktiga systemen? 







2010-01-13 

Kommunen redovisar en uppfattning om vilka system som anses vara mer väsentliga än andra. 

Hur man än betraktar kommunens verksamheter ur ett informationssäkerhetsperspektiv så blir 

alltid bedömningen att socialtjänstens system är de mest väsentliga. Det är med tillfredställelse vi 

kan iaktta att det i Lycksele kommun upprättats en systemsäkerhetsplan för vart och ett av de tre 

viktigaste systemen inom socialtjänsten. Det hade även varit önskvärt att få notera att det funnits 

planer upprättade för telefonin och infrastrukturen. Det uppges dock finnas en plan för kommunens 

nätverk och servrar. 

Vi har tagit del av styrande dokument från systemsäkerhetsplanerna som avser ”Individ- familjeomsorgssystemet”, 

”LSS-systemet” och ”HSL-programmet” och noterar följande: 

• När planerna upprättades och beslutades så distribuerades rutinerna till de berörda. I dag finns 

de enligt uppgift på intranätet om än något undanskymt. 

• Planerna är daterade 2005 och 2006 och har inte varit föremål för revidering sedan dess. En 

revidering är dock enligt uppgift planerad att utföras under 2010. 

• Det har aldrig utförts några dokumenterade kontroller för att säkerställa att medarbetarna 

lever och verkar efter rutinerna. Enligt uppgift har odokumenterade stickprovskontroller 

utförts på loggar för journalhantering för att säkerställa att behörig informationshantering. Se 

även under avsnittet om generella/särskilda kontroller nedan. 

• Vi saknar tydliga rutiner för att säkerställa att integritetskänslig information inte kommuniceras 

och/eller lagras utanför verksamhetssystemen. 

• Vi bedömer att instruktioner och rutiner i några avsnitt är för allmänt hållna och öppnar för 

oönskad tolkning. 

• Angivna återstartsrutiner baserade på säkerhetskopior efterlevs inte. Se även under avsnittet 

om generella/särskilda kontroller nedan. 

• Behörighetsadministrationen med en effektivare hantering och kontroller kan fungera som en 

modell för ett kommungemensamt upplägg. Se även under avsnittet om generella/särskilda 

kontroller nedan. 

Kommentar 

Skall respektive medarbetare förväntas leva efter regler, rutiner och instruktioner krävs att de är 

kända, förstådda, tydliga, riktiga och aktuella. Om ingen kontroll utförs så säkerställs inte efterlevnaden. 

Utförda kontroller skall dokumenteras och rapporteras så att eventuella åtgärder kan 

genomföras utan onödig fördröjning. Vi vill särskilt framhålla vikten av att säkerställa att det inte 

finns integritetskänslig informationen utanför verksamhetssystemen (intranätet inklusive e-post 

samt gemensamma lagringsytor på servrar). Var i detta sammanhang uppmärksam på att enligt 

rådande och förslagen policy framgår att kryptering i kommunens system endast används för 

vissa lösenord. Under våra intervjuer har vi lämnat råd och uppslag till hur kontroller kan 

planeras och utföras. 

5

ABCD 







2010-01-13 

5.4 Är personer med ansvarsroller för informationssäkerheten medvetna 

om detta? 

Fram till granskningstillfället uppfattar vi det som att personer med ansvarsroller (linjeorganisationen 

konkretiserad i systemförvaltarorganisationen) inte i en ändamålsenlig omfattning varit 

medvetna om sitt informationssäkerhetsansvar och agerat därefter. Det finns undantag och det 

avser systemansvariga och systemförvaltare inom socialtjänsten. 

Kommentar 

Den informationssäkerhetspolicy som vi förväntar oss att kommunfullmäktige fasställer vid sitt 

decembermöte 2009 är mycket tydligt vad gäller roller och ansvar. Vi finner det ändamålsenligt 

att här påminna om vikten av ansvarstagande genom att citera underlaget för kommunfullmäktiges 

fastställande: ”Kommunchefen har det övergripande ansvaret för informationssäkerheten. 

Informationssäkerhetssamordnaren utses av och är direkt underställd kommunchefen 

samt har det operativa ansvaret för samordning av informationssäkerhetsarbetet. Systemägaren är 

den som har ansvaret för den verksamhet som aktuellt informationssystem stödjer.” 

5.5 Vilka generella/särskilda kontroller finns för att säkerställa 

efterlevnaden och finns det dokumentation på att de är utförda? 

Vi har i vår granskning under detta avsnitt inriktat oss på, behörighetsadministration, lösenordshantering, 

säkerhetskopiering och fysisk åtkomst till serverrum. I detta sammanhang har även 

kommunens ärendehanteringssystem berörts. Vi noterar följande: 

• Det saknas en dokumenterad och enhetlig process avseende aktivering, ändring och 

avveckling av användarkonton för generella resurser och system samt tillgång till intranätet 

(First Class). Det utförs inga regelbundet återkommande kontroller för att över tid säkerställa 

att det endast är behöriga användare med känd överordnad som har aktiva konton. 

• I gällande policy likväl som i underlaget till föreslagen saknas information om hur lösenord 

skall hanteras. Lösenordhanteringen för generella resurser och system skall med dagens inställningar 

ovillkorligen bytas var 90:e dag, innehålla 8 tecken utan uttalade krav på innehåll 

av siffror gemener, versaler och specialtecken. Det uppges att lösenorden inte får återanvändas 

och användaren har ett begränsat antal inloggningsförsök innan lösenordet 

diskvalificeras. För åtkomst till intranätet krävs vid granskningstillfället inte att lösenordet 

byts regelbundet. Detta medför att teoretiskt sett så har en stor mängd medarbetare aldrig bytt 

sitt lösenord. Jämför detta med att intranätet (inklusive mailfunktion) används av personal 

inom socialtjänsten vilka inte dokumenterat kontrollerat att upprättade systemsäkerhetsplaner 

efterlevs. 

• Vid granskningstillfället fanns inga rutinmässiga kontroller i drift för att säkerställa att utförda 

säkerhetskopieringar över tid alltid innehåller information och program av en kvalitet som 

säkerställer att systemen är återstartbara. 

• Fysisk åtkomst till serverrum var vid granskningstillfället inte reglerad av IT-avdelningen. En 

förteckning över vilka personer som har tillträde saknades likväl som att alla utfärdade 

passerkort inte kunde redovisas. 

6

ABCD 

Kommentar 







2010-01-13 

Utförs inga kontroller kan man aldrig vara säker på att uppsatta regler efterlevs. Efterlevs inte 

beslutade regler finns det risk för att verksamheten inte fungerar fullständigt och/eller riktigt. 

Överväg att upprätta en kontrollplan där det anges vilka förbyggande likväl som upptäckande 

kontroller som skall utföras. Ange metod, intervall, ansvarig och hur utförd kontroll skall dokumenteras. 

Det går alldeles utmärkt att infoga denna typ av kontroller i den internkontrollplan 

kommunen arbetar efter. 

5.6 Kan man hänföra, oplanerade driftstopp, problem med planering samt 

störningar i verksamheten p g a av uppgraderingar och byten av 

system, till brister i informationssäkerheten 

Vid intervjuerna framkommer att inget av ovan nämnda problem under innevarande verksamhetsår 

lett till väsentligt högre kostnader, lägre intäkter eller inneburit ett hinder för att uppnå 

uppsatta verksamhetsmål. 

Kommentar 

Av svaren drar vi slutsatsen att den centrala IT-funktionen i samarbete med representanter från 

verksamheten lyckats säkerställa en ändamålsenlig informationssäkerhetsnivå i IT-driften. Beakta 

i detta sammanhang även våra noteringar i föregående avsnitt. Vår bedömning är att om man även 

framgent vill uppnå en god informationssäkerhetsnivå i IT-driften så bör man säkerställa att de 

noterade bristerna i föregående avsnitt som har bäring på IT-driften åtgärdas. 

5.7 Får förvaltningarna behövligt stöd från etablerade stödfunktioner för 

att säkerställa informationssäkerheten 

Vi uppfattar av intervjusvaren att verksamheten har fått svar och stöd från centrala resurser. Vi 

kan samtidigt notera att de centrala resurserna inte belastats med vare sig ett stort antal eller 

kvalificerade frågor om informationssäkerhet under innevarande verksamhetsår. 

KPMG, dag som ovan 

Helen Sundström Hetta 

Kundansvarigt biträde 

Lars Anteskog 

Projektansvarig 

7

2007 Rapport sv 0903 - Lycksele kommun

Transform your PDFs into Flipbooks and boost your revenue!

Delete template?

Save as template ?