2007 Rapport sv 0903 - Lycksele kommun

More documents

Recommendations

Info

ABCD 2. Bakgrund 2.1 Allmänt © 2010 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International, a Swiss cooperative. All rights reserved. Lycksele kommun Informationssäkerhet Granskningsrapport 2010-01-13 KPMG har av Lycksele kommuns revisorer fått i uppdrag att granska kommunens rutiner för hur den styr, utreder, inför, upprätthåller och kontrollerar informationssäkerheten i sin verksamhet. 2.2 Risk och väsentlighet Revisionen utesluter inte att det finns risk för att det föreligger brister i de rutiner som skall säkerställa en god informationssäkerhet och att det därför är väsentligt att klarlägga på vilket sätt och i vilken form kommunfullmäktige, -styrelse och -ledning samt operativt ansvariga styr informationssäkerhetsarbetet i kommunen. Det är även väsentligt att veta vilka riskbedömningar informationssäkerhetsarbetet vilar på, hur regler, anvisningar etc rörande säkerhetsarbetet implementeras, kommuniceras, underhålls samt hur efterlevnaden av beslutad säkerhet kontrolleras. 2.3 Förtydligande av begreppet informationssäkerhet För att klarlägga vad som menas med informationssäkerhet lämnas nedan en kortare förklaring med tillhörande illustration. Vi vill därmed tydliggöra begreppet så att avgränsningen av och syftet med förstudien skall bli så klar som möjligt. Personsäkerhet Fysisk säkerhet Administrativ säkerhet Säkerhet Administrativ säkerhet Informationssäkerhet ADB säkerhet Fysisk säkerhet IT-säkerhet Logisk säkerhet Kommunikations säkerhet Fysisk säkerhet Logisk säkerhet Informationssäkerhet är säkerheten vid hantering av information för önskad tillgänglighet, riktighet, sekretess och spårbarhet, den delas upp i administrativ säkerhet och IT-säkerhet. Administrativ säkerhet uppnås huvudsakligen med hjälp av administrativa regler och rutiner. IT-säkerhet innebär säkerhet i IT-systemen och delas upp i ADB-säkerhet (eller ännu hellre uttryckt – datasäkerhet), innebärande skydd av data och system mot obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling, och kommunikationssäkerhet. Det senare innebär säkerhet i samband med överföring av information och styrsignaler. Syftet med den är att förhindra att information inte kommer obehöriga till del, att informationen inte förvanskas eller inte når mottagaren men också att felaktig information inte introduceras i kommunikation och system. Med fysisk säkerhet i samband med data- och kommunikations- 2
ABCD 3. Syfte © 2010 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International, a Swiss cooperative. All rights reserved. Lycksele kommun Informationssäkerhet Granskningsrapport 2010-01-13 säkerhet menas skyddet av själva utrustningen och kommunikationsvägarna. Med logisk säkerhet menas skyddet av innehållet i systemen. Syftet med granskningen har varit att översiktligt bedöma informationssäkerheten i kommunen. Granskningen har genomförts genom att besvara följande frågeställningar: 4. Metod • Finns det en av kommunfullmäktige fastställd informationssäkerhetspolicy för kommunen? • Hur införs, kommuniceras och underhålls styrande dokument? • Finns det fastställda systemsäkerhetsanalyser för de system som klassificerats som väsentliga för verksamhetens bedrivande, de samhällsviktiga systemen? • Är personer med ansvarsroller för informationssäkerheten medvetna om detta? • Vilka generella/särskilda kontroller finns för att säkerställa efterlevnaden och finns det dokumentation på att de är utförda? • Kan man hänföra, oplanerade driftstopp, problem med planering samt störningar i verksamheten p g a av uppgraderingar och byten av system, till brister i informationssäkerheten? • Får förvaltningarna behövligt stöd från etablerade stödfunktioner för att säkerställa informationssäkerheten? Som metod har dokumentstudier och intervjuer använts. Vi har intervjuat, informationssäkerhetsansvarig, ekonomichef, IT-chef, socialchef samt medarbetare på socialförvaltningen, IT-avdelningen och inom gymnasieskolan under slutet av november och början av december månad 2009. Rapporten har saklighetsgranskats av IT-chefen. 5. Noteringar från granskningen Under respektive avsnitt nedan redovisar och kommenterar vi våra iakttagelser från granskningen. Varje avsnitt motsvaras av en punkt under rubriken syfte ovan. 5.1 Finns det en av kommunfullmäktige fastställd informationssäkerhetspolicy för kommunen? Svaret på rubricerad fråga är nej. Det finns dock en IT-säkerhetspolicy med tillhörande tillämpningsföreskrifter antagen av kommunfullmäktige 2005-12-12. Vid intervjuer framkommer att en informationssäkerhetspolicy med tillhörande styrande dokumentär finns utarbetad och framlagd för kommunstyrelsen i november i år (2009) med ambitionen att den skall kunna beslutas av kommunfullmäktige i december. Alla intervjuade har kunskap om detta. 3
Page 1 and 2: ABCD Lycksele kommun Informationss
Page 3: ABCD 1. Sammanfattning © 2010 KPMG
Page 7 and 8: ABCD 5.3 Finns det fastställda sys
Page 9: ABCD Kommentar © 2010 KPMG AB, a S

2007 Rapport sv 0903 - Lycksele kommun

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?