Rapport - hoveddel Klassifisering av informasjonssystemer i Bergen kommune

Transkript

1 Rapport - hoveddel Klassifisering av informasjonssystemer i Bergen kommune Bergen kommune 2015

2 1 Sammendrag Formålet med prosjektet "Kartlegging og analyse av IKT-systemer" har vært å kvalitetssikre informasjon om det enkelte informasjonssystem, og å få gjort en klassifisering av systemer basert på hvor kritiske de kan sies å være for kommunens tjenesteleveranser. Prosjektet har hatt som målsetning å kartlegge, klassifisere og verdivurdere kommunens informasjonssystemer, og har derfor gjennomført en gap-analyse, risikovurdert kritiske systemer, nedfelt funn, og til slutt kommet med noen anbefalte tiltak. Prosjektet har for øvrig hatt fokus på å bevisstgjøre alle deltakere i de ulike arbeidsgruppene underveis. Prosjektet har avdekket at det er tre typer informasjons- og kommunikasjonssystemer som særlig skiller seg ut ved å innføre sårbarheter i de kommunale tjenestene. Dette gjelder de som understøtter: Tjenester/prosesser med svært høyt transaksjonsvolum Tjenester/prosesser som er avhengig av fysiske styringssystemer (eks vann og avløp) Tjenester/prosesser som benytter store mengder sensitive opplysninger Dersom det oppstår hendelser som bortfall eller alvorlige feil i informasjonsgrunnlaget til de to førstnevnte typene informasjonssystem, får dette gjerne umiddelbare og store konsekvenser for kommunen ved at de kommunale tjenestene blir betydelig forringet eller står i fare for å stanse helt opp, med påfølgende alvorlige konsekvenser for økonomien eller i ytterste konsekvens for liv/helse blant innbyggere og/eller ansatte. For informasjonssystemer med særlig sensitive opplysninger vil konsekvenser ved en uønsket hendelse i hovedsak komme til uttrykk gjennom omdømmetap/tillitsbrudd når informasjon kommer på avveier. Tjenesteproduksjonen blir ikke nødvendigvis direkte påvirket av en slik hendelse, men kommunen blir indirekte rammet av kostnader knyttet til opprydding, etterforskning, utredninger og kostbare reaksjonære sikringstiltak. I tillegg kan en slik hendelse få store ringvirkninger i samfunnet for øvrig, og i tillegg til kommunen også få store konsekvenser for innbyggere, næringsliv og organisasjoner. Denne rapporten gir anbefalinger om rangering av informasjonssystemer ut fra kritikalitet i tjenesteproduksjonen, målt i et samfunnssikkerhetsperspektiv. Den gir anbefalinger om videre arbeid med tiltak rundt de systemene som er rangert som "kritisk", og konkluderer med at kommunen ikke har etablert et driftsregime som kan håndtere de kravene som bør stilles til informasjonssystemer som understøtter samfunnskritiske tjenester. Til slutt anbefales det noen tiltak for å ta arbeidet videre på et mer generelt grunnlag, også for de øvrige systemene i kartleggingen. Nr Anbefalte tiltak for å redusere risiko Ansvar 1 For å sikre et stabilt driftsregime for systemer som er rangert som IKT Konsern «kritisk» skal det utredes mulige løsninger for å etablere alternativt driftssted/-avtale. 2 Det skal etableres beredskapsplaner for alle informasjonssystemer IKT Konsern i Bergen kommune der dette ansees nødvendig. 3 Beredskap på IKT-området skal integreres med kommunens IKT Konsern øvrige beredskapsarbeid. 4 Beslutte en grunnleggende prioritering av kritiske informasjonssystemer i tilfeller hvor to eller flere systemer er involvert i en hendelse. Kommunaldirektørgruppen 1

3 Innhold 1 Sammendrag Innledning Tjenesteproduksjon og kritikalitet Kritiske informasjonssystemer Avhengigheter (tjeneste, system og infrastruktur IKT) Klassifisering av informasjonssystemene og informasjonen i disse Hva klassifiseringen innebærer Klassifisering av informasjonssystemer pr byrådsavdeling Konsekvenser og anbefaling Veien videre (overføring til linjen) Vedlegg A: Om prosjektet Kort om prosjektet Prosjektdeltakere og styringsgruppe Utført arbeid/gjennomførte vurderinger Produkter

4 2 Innledning En av de aller viktigste oppgavene en kommune har, er å sørge for trygghet og forutsigbarhet for sine innbyggere. Kommunene etablerer en rekke tjenester for å håndtere dette. Disse tjenestene blir ofte omtalt som samfunnskritiske, og innebærer eksempelvis helsetjenester, vann- og avløpstjenester, brannvern, redningstjenester med mer. Informasjonsteknologi understøtter i stadig større grad kommunenes tjenesteproduksjon. På det administrative området har informasjonsteknologi fått stor utbredelse. Eksempel her er lønn- og personal, økonomi, byggesak og pasientadministrasjon. På slike områder har det blitt vanlig med systemstøtte for å gi innbyggerne og de ansatte de tjenestene de har krav på. I noen tilfeller er også støtte i form av informasjonssystem forutsetning for at kommunen skal være i stand til å produsere tjenesten overhodet. Dette gjelder spesielt transaksjonstunge tjenester som lønn, saksbehandling og informasjonstjenester. På områder som tidligere har vært forbeholdt teknisk isolerte styringssystemer har det skjedd en dreining mot tettere integrering i større nettverk, noe som har gitt store praktiske fordeler for kommunene. Eksempler her er styring av vann og avløp, automatisk innalarmering av brann og digital røntgen ved legevakt. Dette har samtidig åpnet de tekniske styringssystemene for omverdenen med den økte risikoen dette medfører. Bergen kommune har gjennom mange år bygget opp en omfattende infrastruktur og en kompleks arkitektur av IKT-systemer for å understøtte kommunens tjenesteproduksjon. Noen av disse systemene har over tid fått en langt mer sentral rolle enn de var tiltenkt når de ble innført. For eksempel har noen informasjonssystemer blitt en forutsetning for å kunne produsere enkelte tjenester. De uttalte og oppfattede kravene til tilgjengelighet, konfidensialitet og integritet har i mange tilfeller endret seg betydelig uten at dette er tilstrekkelig hensyntatt i den implementerte løsningen. Dette er spesielt alvorlig i et kontinuitets- og beredskapsperspektiv, siden kommunens tjenesteproduksjon i mange tilfeller er forutsatt og forventet å fungere nærmest uansett situasjon. 3

5 3 Tjenesteproduksjon og kritikalitet Parallelt med de store trekkene som er beskrevet over skjer det også en endring i trusselbildet for kommunene. Naturhendelser kan få stadig større konsekvenser og sannsynligheten for større ulykker øker, spesielt til havs. Sannsynligheten for tilsiktede hendelser (terrorisme, sikkerhetspolitiske kriser og cyberangrep) er svært vanskelig å forutsi, men er i aller høyeste grad til stede. De siste årene har vi observert et stadig økende antall hendelser på disse områdene. Selv om særlig terrorisme og sikkerhetspolitiske kriser har vært høyt oppe på agendaen, har også cyberangrep blitt stadig mer vanlig. Bergen kommune ble rammet av et tjenestenektangrep høsten 2014, og både nasjonalt og internasjonalt er man enige om at cyberangrep i økende grad vil være utfordring i tiden fremover. Bergen kommune må forvente cyberangrep av både mer sofistikert og alvorlig i virkning enn det som har vært observert til nå. For å sikre kontinuitet i de samfunnskritiske tjenestene etableres det krise- og beredskapsplaner. Disse planene beskriver handlinger kommunen må gjennomføre i en gitt krise eller katastrofe. Planene oppdateres på basis av endringer i trusselbildet, konkrete hendelser eller erfaring gjennom øvelser. Det er en betydelig utfordring at slike planer i liten grad tar høyde for avhengighet til spesifikk informasjon og informasjonsteknologi. Av den grunn blir behovene sjelden synliggjort, og kravene til IKT-teknisk side sjelden dekkende i forhold til det faktiske behov den enkelte leder i virksomheten har. Parallelt med dette blir også den daglige tjenesteproduksjonen av samfunnskritiske tjenester mer og mer avhengig av IKT. Dette betyr at enhver kommune vil stå overfor situasjoner hvor både tjenesteproduksjon under normale forhold, og ved krise eller beredskap kan ha betydelig økt sårbarhet gjennom sin avhengighet til IKT. Denne avhengigheten blir synlig når IKT er blitt så sentralt at det kan være direkte årsak til en kritisk hendelse, men blir også tydelig gjennom hvor avhengig den enkelte tjeneste er av IKT for sikring av kvalitet og kontinuitet. Bergen kommune gjennomførte et stort arbeid med overordnet ROS innen samfunnssikkerhet i løpet av I det arbeidet er risikoen for brudd på informasjonssikkerhet ivaretatt gjennom risikoer både på teknologisk og på operasjonell side (jf. Overordnet ROS 1 ). 3.1 Kritiske informasjonssystemer Informasjonssystemer som underbygger samfunnskritiske tjenester kan anses som kritiske dersom informasjonen i dem blir utilgjengelig, eksponert for uvedkommende eller har feil kvalitet, og dersom dette videre fører til at de samfunnskritiske tjenestene ikke kan produseres eller ikke kan produseres med tilstrekkelig kvalitet. Dette tilsier at det er det totale informasjonsbehovet i den kritiske tjenesteproduksjonen som er bestemmende for hvilke informasjonssystemer som kommer i kategorien "kritisk informasjonssystem". For Bergen kommune sin del er dette ofte en samling informasjonssystemer; systemer som henger sammen for å produsere en bestemt kommunal tjeneste Avhengigheter (tjeneste, system og infrastruktur IKT) 1 ROS på nivå 1 ("Bergen ROS 2014") omfatter hele kommunens ansvarsområde både administrativt og geografisk. Denne rapporten ("Klassifisering av informasjonssystemer") avgrenset til tjenester/prosesser som har avhengighet til informasjonssystemer og er således å anse som en ROS på nivå 2. 4

6 Et informasjonssystem fungerer ikke uten underliggende IKT-infrastruktur i form av servere, lagring, nettverk, klienter og alle tjenester og funksjoner som må til for å holde denne infrastrukturen tilgjengelig. I forbindelse med konsekvens- og risikovurderingene har det blitt utviklet en modell for å illustrere dette (Eksempelet er hentet fra BFEE): Figur 1 - Øverst er tjenestene i byrådsavdelingen beskrevet, deretter følger informasjonssystemene som understøtte tjenestene. Nederst er infrastrukturen som er nødvendig for at informasjonssystemene skal fungere Dette innebærer at dersom kun ett informasjonssystem i kommunens portefølje regnes som kritisk må hele infrastrukturen som understøtter dette systemet ha samme klassifisering. En slik klassifisering vil derfor måtte få implikasjoner på kompetansebehov, beredskap, prioritering og tekniske løsninger i all nødvendig IKT-infrastruktur. 5

7 4 Klassifisering av informasjonssystemene og informasjonen i disse Prosjektet har utviklet en oversikt over informasjonssystemer som benyttes i kommunen (se vedlegg C). Denne oversikten inneholder nå 350 grupperte informasjonssystemer, men prosjektgruppen har klare indikasjoner på at ytterligere informasjonssystemer benyttes i kommunen. Oversikten inneholder også en beskrivelse av hvilken type informasjon som behandles i systemene, samt en del annen nøkkelinformasjon om systemene. Oversikten inneholder også en klassifisering av informasjonssystemene. I denne klassifiseringen er informasjonssystemene plassert i kategorier fra "lav" til "kritisk". Der hvor samme system har blitt ulikt av kommunens enheter har systemet blitt klassifisert i den kategorien som møter det høyeste behovet 1. Disse kategoriene er laget på basis av KOBI-rapporten 2 og har følgende definisjoner: Klasse/Område Tilgjengelighet Konfidensialitet Integritet Kritisk Systemet understøtter funksjoner og tjenester som er tidskritisk for kommunen i en krisesituasjon. Eksponering av informasjon i systemet vil være ødeleggende for funksjoner og tjenester som er kritisk for kommunen i en krisesituasjon. Feil eller mangler i opplysninger i systemet vil være ødeleggende for funksjoner og tjenester som er kritisk for kommunen i en krisesituasjon. Høy Systemet understøtter funksjoner og tjenester som er tidskritisk for kommunens daglige drift. Eksponering av informasjon i systemet vil være ødeleggende for funksjoner og tjenester som er kritisk for kommunens daglige drift. Feil eller mangler i opplysninger i systemet vil være ødeleggende for funksjoner og tjenester som er kritisk for kommunens daglig drift. Middels Systemet understøtter funksjoner og tjenester som er viktig for kommunen, men ikke tidskritisk. Eksponering av informasjon i systemet vil kunne skade kommunens funksjoner og tjenester i daglig drift. Feil eller mangler i opplysninger i systemet vil kunne skade kommunens funksjoner og tjenester i daglig drift. Lav Systemet understøtter ikke funksjoner eller tjenester som er tidskritiske for kommunens daglige drift. Eksponering av informasjon i systemet vil ikke påvirke kommunens funksjoner og tjenester i daglig drift. Feil eller mangler i opplysninger i systemet vil ikke påvirke kommunens funksjoner og tjenester i daglig drift. Krisesituasjon En alvorlig situasjon eller hendelse som avviker fra de som kan betraktes som normalt. Daglig drift Tjenester og funksjoner som kommunen normalt utøver Tidskritiske hendelsen får umiddelbar negativ effekt for liv, helse, økonomi, effektivitet osv. Prosjektet har hatt som utgangspunkt at disse kriteriene også kan kobles til konsekvensmatrisen til Bergen kommune. Konsekvensmatrisen er 5-delt (Svært alvorlig/katastrofalt til ubetydelig/ufarlig), hvor de to mest alvorlige konsekvensene kan kobles til "kritisk" i matrisen over. 1 Et eksempel er hvor en enhet vurderer et system til "Middels", mens en annen vurderer samme system som "Høy". Systemet vil da bli plassert i kategorien "Høy". 2 Koordineringsutvalg for informasjonssikkerhet (KIS): "Klassifisering Og Beskyttelse av Informasjon", KIS bestod av FAD, JD, FD, SD, NSM, Datatilsynet, Finanstilsynet m.fl. og hadde som oppgave å være et tverrsektorielt koordineringsorgan. 6

8 4.1 Hva klassifiseringen innebærer Bergen kommunes systemer har frem til nå blitt klassifisert etter tjenestekatalogen som tilbys av IKT. Denne er inndelt i 3 deler; nivå 1-3. I tillegg kommer en rekke "uklassifiserte" systemer; systemer som driftes av eksterne leverandører og som det er satt opp individuelle avtaler for. Kommunens regime for drift av IKT-infrastruktur og systemer er i dag tilpasset driftsnivåer i daglig bruk. Dette vil si at driftsnivå 1 (i praksis ingen proaktiv oppfølging fra IKT) til driftsnivå 3 (overvåking, vaktordning, mulighet for å avtale spesifikke ytelser) kan tilpasses behovet til informasjonssystemer som er klassifisert fra "lav" til "høy". Gjennom prosjektets arbeid har det blitt klart at det over tid har eksistert et udekket behov for de informasjonssystemene som har blitt klassifisert som "kritisk" i KOBI-klassifiseringen. Disse systemene har ikke hatt et driftsnivå for IKT som er tilpasset behovet. Et slikt driftsnivå vil kreve tilpasset kompetansebehov, beredskap og tekniske løsninger i nødvendig IKT-infrastruktur som i dag ikke er på plass. Dette innebærer at systemer som er plassert i denne kategorien nå vil utløse nye investerings- og driftskostnader for å etablere et tilstrekkelig driftsnivå. 7

9 5 Klassifisering av informasjonssystemer pr byrådsavdeling Prosjektet har utviklet en oversiktstabell for de ulike byrådsavdelingene der antall kritiske systemgrupper fremkommer. Med systemgrupper menes her et sett med systemer som hører tett sammen for å kunne ha tilstrekkelig funksjonalitet til å understøtte kommunal tjenesteproduksjon. Et eksempel på en slik systemgruppe er den andelen av systemene i BBKMs Gemini-portefølje av systemer som ikke kan fjernes uten av vesentlig funksjonalitet og dermed redusert tjenestestøtte vil oppstå. Hele systemlisten slik den fremstår pr januar 2015 ligger i vedlegg C. Oversikt over systemgrupper pr kategori, sortert etter hver byrådsavdeling: BLED BBKM BFEE BBS BHO BSBO BKNIK Bystyrets organer Kritisk Høy Middels Lav Kun informasjonssystemer klassifisert til "kritisk" er verdivurdert, det kan derfor være forskyvninger mellom de andre kategoriene. En rekke informasjonssystemer har i løpet av prosjektets fremdrift byttet kategori. I utgangspunktet hadde byrådsavdelingene beskrevet over 30 systemer som kritiske. Etter at det i samarbeid med arbeidsgrupper fra byrådsavdelingene er gjennomført risikovurderinger er dette tallet nå betraktelig lavere. Årsaken er at det er etablert alternativer eller uavhengige løsninger som gjør at det mulig å produserer de nødvendige tjenestene selv om informasjonssystemene ikke fungerer som forutsatt. De få områdene det ikke er mulig å innføre alternativer er normalt der hvor informasjonssystemet er direkte knyttet til den tjenesten som ytes, volumet av transaksjoner er høyere enn det som er mulig å gjennomføre manuelt eller tilganger til informasjonen som behandles er en forutsetning for å kunne levere tjenester med ønsket kvalitet. Tallene som fremkommer her viser at det er en rekke informasjonssystemer som er forutsatt å fungere selv om kommunen er i en krise/beredskapssituasjon. Disse informasjonssystemene er plassert i ulike driftsnivå hos IKT, men ingen tilbys i utgangspunktet det driftsnivået som i praksis etterspørres etter en slik kategorisering. Samtidig er det over 30 systemer som regnes i kategorien "høy", noe som i utgangspunktet burde utløse krav om drift på nivå 3 hos IKT. Prosjektgruppen har funnet at det er et stort avvik mellom de informasjonssystemene som regnes som svært viktige og som samtidig er definert til å være på driftsnivå 3 hos IKT. Det er også funnet avvik i forhold til at dagens tjenestenivåer ikke tilbyr tilstrekkelig spesifisering av konfidensialitets- og integritetssikring, men kun på sikring av tilgjengelighet. Dermed blir informasjonssystemer i noen tilfeller for lavt klassifisert, fordi de utelukkende er klassifisert etter tilgjengelighetsbehov. Det kun systemer som på et tidspunkt i prosjektet har vært klassifisert som "kritisk", som er vurdert nærmere av prosjektet. Dette innebærer at der er risiko for at de resterende systemene kan være feilklassifisert av både prosjektet og i tjenestekatalogen. Dette vil i så fall ha flere potensielle konsekvenser: 8

10 Det vil være systemer som er klassifisert for lavt og dermed ikke har tilstrekkelig med sikringstiltak ift behovet Det vil være systemer som er klassifisert riktig, men som ikke har tilpassede sikringstiltak Det vil være systemer som er klassifisert for høyt og dermed har for høye kostnader til sikringstiltak ift behovet Informasjonssystemer som kan plasseres i den første kategorien kjører med for høy risiko i forhold til behovet til de tjenestene som understøttes. Systemer som faller inn under den andre kategorien har muligens riktig driftsnivå (sikring i forhold til tilgjengelighet), men ikke nødvendigvis riktig sikring i forhold til behov for konfidensialitet og/eller integritet. Dette kan innebære både for høy og for lav sikring og dermed tilsvarende høyere eller lavere kostnader. I den siste kategorien vil vi finne systemer som har et for høyt sikringsregime og som derfor med stor sannsynlighet også har for høye kostnader knyttet til driften. 9

11 6 Konsekvenser og anbefaling Prosjektet har klarlagt at det mangler tiltak som kan understøtte de drifts- og støttebehovene samfunnskritiske informasjonssystemer har. Underlaget for denne konklusjonen finnes i vedlegg B. Tiltak som vil redusere risiko og derfor bør vurderes for prosesser, informasjonssystemene og tilhørende IKT-infrastruktur er: Gjennomføre ROS på Nivå 3 1 for hvert av de systemene som er vurdert til å være kritisk Utrede nytt tjenestenivå (nivå 4) hos IKT basert på behovene til samfunnskritiske informasjonssystemer, med tilhørende tiltak/ytelser som o Etablering av alternativt driftssted ("second site") basert på faktisk behov ("hot/cold standby") o Tekniske overvåkningsløsninger tilpasset faktisk behov innen konfidensialitet og integritet o Vaktordninger og kompetansetilgang tilpasset behovet på dette nivået Presisere og tilpasse krav til sikring innenfor de ulike tjenestenivåene (1-4), inkludert krav til eksterne driftsmiljø Sørge for å innarbeide kontinuerlig overvåking av trusselbildet ("ikke-teknologiske tiltak") i form av etablering, evaluering og oppfølging av tilpassede indikatorer, herunder utvikle en instruks for (ledere og/eller system-/tjenesteeiere) som gir dem ansvar for og oppgaven med å overvåke sine informasjonssystemer mtp risiko Beskrive kompetanse- og ressursbehov og eventuelt behov for overlapp inn mot de kritiske informasjonssystemene i kommunen Utvikle en skriftlig rutine for vurdering av endring i risikobildet ved større endringer i bruk, utbredelse eller konfigurasjon for systemer som er merket "kritisk". Særlig i forbindelse med prosjekter som innebærer denne type endringer men som ikke regnes som IKT-prosjekter Utvikle prioriteringsliste av de kritiske informasjonssystemene for bruk ved reetablering etter en eventuell katastrofe (forslag til liste og rutine i vedlegg C) I tillegg foreslår prosjektet at følgende tiltak iverksettes: Kvalitetssikre hvilket nivå systemene som er plassert i kategorier fra "lav" til "høy" faktisk hører hjemme i, herunder evaluere eventuelle tiltak som bør iverksettes for de systemene er som er plassert feil Etablere eierskap og tilhørende oppdateringsrutine til oversikten over informasjonssystemer Prosjektet har iverksatt et arbeid med å overføre kompetanse og dokumentasjon som prosjektgruppen nå besitter over til linjen slik at fremtidige risikovurderinger og klassifiseringer kan gjøres mest mulig effektive. 6.1 Veien videre (overføring til linjen) Sammenlignet med det totale gjenstående arbeidet på dette området er den største arbeidsmengden allerede tatt. Implementering i linjen vil være langt mindre ressurskrevende enn det prosjektet har håndtert til nå. Dette betinger at vedlikehold av systemlisten blir gjennomført løpende som foreslått. 1 ROS Nivå 3 vil si en ROS med fokus på system og teknologi 10

12 7 Vedlegg A: Om prosjektet 7.1 Kort om prosjektet Prosjektet har gjennomført arbeidet sitt i perioden september 2013 til mars 2015, som er noe lenger enn opprinnelig plan. Fokus i prosjektet har hele tiden vært på kvalitet og økonomiske rammer, og ikke på kalender. Prosjektet har derfor gjennomført og levert med høy kvalitet og innenfor de økonomiske rammene. Parallelt med dette prosjektet har leder for informasjonssikkerhet også deltatt i arbeidet med å overordnet ROS for kommunen, og på den måten lagt til rette for at av dette prosjektet fungerer som en Nivå 2 ROS innen IKT og informasjonssikkerhet Prosjektdeltakere og styringsgruppe Styringsgruppen har bestått av de kommunaldirektørene som har ansvar for tjenester med tettest kobling mellom kritisk tjenesteproduksjon og understøttende informasjonssystemer: BHO: Nina Mevold BBKM: Anne Iren Fagerbakke BLED: Robert Rastad BFEE: Ove Foldnes Leder for informasjonssikkerhet i Bergen kommune har vært prosjekteier og -deltaker, og har i tillegg hatt støtte fra konsulentselskapet KPMG i gjennomføringen av prosjektet. I tillegg har sentrale aktører i BBKM, BOH, BLED og BFEE deltatt i arbeidsgrupper hvor det har blitt gjennomført scenariobaserte konsekvens- og risikovurderinger Utført arbeid/gjennomførte vurderinger Prosjektgruppen har i korte trekk utført følgende arbeid: Kvalitetssikret oversikten over informasjonssystemer i kommunen I Bergen kommune finnes det flere oversikter over informasjonssystemer. Oversiktene utvikles ofte for å ivareta spesifikke behov (kostnader, fakturering, mengde data, type opplysninger, eier o.a). Seksjon for IKT Konsern opererer med en, IKT Drift med en annen, mens de forskjellige byrådsavdelingene holder oversikt over sine informasjonssystemer. Siden noen av disse informasjonssystemene ikke involverer IKT Drift og/eller Seksjon for IKT Konsern er det sannsynligvis kombinasjonen av oversikter som er korrekt. Prosjektgruppen har derfor gjennomført møter med alle byrådsavdelinger og gjennomgått de ulike systemlistene som har eksistert med disse. Dette har vært et meget omfattende arbeid siden kommunen har godt over 400 systemer i sin portefølje. Identifisert og klassifisert alle informasjonssystemer iht KOBI-kriterier (kritisk, høy, middels, lav) 1 Jf. Bergen ROS 2014 overordnet ROS for Bergen, kap. 9 Utfordringer i arbeidsprosessen. 11

13 Oversikten ga et godt utgangspunkt for å klassifisere systemene i en ny dimensjon. De oversiktene som eksiterte før prosjektet gjorde sitt arbeid var fokusert på normal arbeidssituasjon og ikke på en grad av kritikalitet, selv om en rekke informasjonssystem hadde en klassifisering i forhold til IKTs driftsregime (nivå 1-3). Gjennomført 9 scenariobaserte konsekvens- og risikovurderinger for å avdekke ytterligere informasjonssystemer og samtidig kvalitetssikre klassifiseringen for informasjonssystemer i kategori "høy" Konsekvens- og risikovurderinger ble gjennomført på et nivå mellom overordnet ROS og systemteknisk risikovurdering. Dette ble gjort for å avdekke om informasjonssystemer som ble benyttet i kommunen ikke eksisterte i oversikten, og samtidig for å kunne vurdere hvor viktig den informasjonen som ble behandlet i systemene faktisk var for å kunne opprettholde kritisk tjenesteproduksjon i kommunen. Videreutviklet risikovurderingsmetodikken for risikovurdering av informasjonssystemer der aktørsentrerte/ønskede/intensjonsbaserte hendelser er relevante For å være i stand til å kunne gjennomføre risikovurderinger på et nivå der flere informasjonssystemer inngår og for samtidig kunne ta opp i seg et perspektiv som blir viktigere og viktigere ble den eksisterende risikovurderingsmetodikken i kommunen videreutviklet. Nå dekker den også intensjonsbaserte hendelser mer utførlig enn det som har vært vanlig til nå. Den største delen av det arbeidet som har blitt gjennomført har skjedd i første fase, altså innsamling, sammenstilling og kontroll av oversikten over informasjonssystemer, sammen med konsekvens- og risikovurdering på utvalgte områder. Dette arbeidet har vært grunnlaget for å kunne gi anbefalinger om konkrete og rettede handlinger på området. For første gang besitter kommunen nå en tilnærmet komplett oversikt over informasjonssystemer, der informasjonssystemene også er klassifisert ut ifra kritikalitet for tjenesteproduksjonen i kommunen Produkter Prosjektet har levert følgende produkter: Kvalitetssikret øyeblikksoversikt over informasjonssystemene i kommunen Risikovurderinger for kritiske tjenester med informasjonssystembehov Anbefalinger om tiltak for informasjonssystemer klassifisert som kritisk for tjenesteproduksjonen Ytterligere anbefalinger basert på erfaringer fanget opp gjennom prosjektet Høynet bevissthet rundt risiko i og med informasjonssystemer som benyttes i kommunen 12