IT-SIKKERHET ELVERUM KOMMUNE

Transkript

1 IT-SIKKERHET I ELVERUM KOMMUNE Hedmark Revisjon IKS Kildevegen LØTEN Tlf.: Endelig rapport av

2 INNHOLDSFORTEGNELSE FORORD SAMMENDRAG... 4 BAKGRUNN... 4 PROBLEMSTILLINGER... 4 ANBEFALINGER INNLEDNING BAKGRUNN FOR PROSJEKTET HJEMMEL FOR FORVALTNINGSREVISJON FORMÅL, PROBLEMSTILLINGER OG AVGRENSNINGER FORMÅL PROBLEMSTILLINGER AVGRENSNINGER METODE OG GJENNOMFØRING METODE OM METODEVALGET UTVALG REVISJONSKRITERIER FAKTABESKRIVELSE OG REVISORS VURDERINGER OG KONKLUSJONER ELVERUM KOMMUNES RUTINER OG RETNINGSLINJER FOR IT-SIKKERHET MED BAKGRUNN I RISK MANAGER Rutiner og retningslinjer for informasjonssikkerhet Egenkontroll Nyheter Datatilsynet Lover Avvik ELVERUM KOMMUNES RUTINER OG RETNINGSLINJER FOR IT-SIKKERHET MED BAKGRUNN I INTERVJUER Organisering av IT-miljøet og IT-sikkerhet Organisering av IT-avdelingen Teknisk organisering av nettverk Rutiner for IT-sikkerhet Post arkiv og servicekontor- IT-sikkerhet NAV-Elverum IT-sikkerhet Socio LOV OG FORSKRIFT OM BEHANDLING AV PERSONOPPLYSNINGER Sikkerhetskopiering av data, kriseløsninger Personvern ANBEFALINGER RÅDMANNENS UTTALELSE KILDER OVERSIKT OVER VEDLEGG TIL RAPPORTEN Hedmark Revisjon IKS 2

3 Forord Denne rapporten er et resultat av forvaltningsrevisjonsprosjektet: IT-sikkerhet i Elverum kommune. Rapportutkastet har vært sendt til høring til rådmannen i Elverum kommune. Rådmannens kommentarer fremkommer i rapporten. Revisjonsrådgiver Tommy Pettersen har vært utøvende revisor for prosjektet. Fagansvarlig for forvaltningsrevisjon Laila I. Stenseth og revisjonssjef Morten Alm Birkelid har vært oppdragsansvarlig revisor for prosjektet og har kvalitetssikret arbeidet og rapporten. Hedmark Revisjon IKS ønsker å takke kommunens administrasjon og utvalgte enheter for tilrettelegging og bistand i forbindelse med prosjektet. Hedmark Revisjon IKS vil også takke kontrollutvalget i Elverum for oppdraget. Løten 30. mars Morten Alm Birkelid Tommy Pettersen Hedmark Revisjon IKS 3

4 0. Sammendrag Bakgrunn Hedmark Revisjon IKS har gjennomført revisjonsprosjektet IT-Sikkerhet i Elverum kommune. Bakgrunnen for prosjektet er en bestilling fra kontrollutvalget i Elverum kommune. I henhold til forskrift om kontrollutvalg av 15. juni 2004, skal kontrollutvalget påse at kommunens virksomhet årlig blir gjenstand for forvaltningsrevisjon i samsvar med bestemmelsene i forskriften. Valg av prosjekt er basert på plan for forvaltningsrevisjon vedtatt av kontrollutvalget i Elverum sak 16/08 og kommunestyret i sak 51/08. Kontrollutvalget vedtok i sak 11/09 at det skal gjennomføres forvaltningsrevisjonsprosjekt som vurderer IT sikkerhet i Elverum kommune. Bestilling ble oversendt revisjonen i brev datert 1. april 2009, referanse 09/26-ebu. Kontrollutvalget bestiller et forvaltningsrevisjonsprosjekt: IKT, drift- sikkerhet, back-up, personvern, kriseløsninger med mer hos Hedmark Revisjon IKS i 2009, innenfor en ramme på kr Problemstillinger som ønskes belyst: Hvilke IKT-sikkerhetstiltak er etablert? Tilfredsstiller sikkerhetstiltakene lov, forskrift og annet regelverk med tanke på backup, personvern, kriseløsninger med mer? I hvilken grad fungerer de fastlagte rutinene rundt IKT-sikkerhet i praksis? Prosjektplan fremlegges i kontrollutvalgets møte i mai I møte den 12. juni 2009 vedtok kontrollutvalget endelig prosjektplan for prosjektet sak 016/09; Kontrollutvalget gir sin tilslutning til den framlagte prosjektplan for forvaltningsrevisjonsprosjektet IT-sikkerhet i Elverum kommune. Før vi utarbeidet endelig rapport fikk rådmannen rapporten til uttalelse. Rådmannens kommentarer fremgår i kapittel 7. Det var ingen uenighet mellom rådmannen og revisjonen. Rådmannen ga sin tilslutning til revisjonens anbefalinger. Vår kontaktperson i kommunen i forbindelse med prosjektet har vært service- og IT-sjef Heidi Nordermoen. Problemstillinger Formålet med prosjektet er å kartlegge hvilke IT - sikkerhetstiltak kommunen har etablert, om etablerte sikkerhetstiltak er i samsvar med gjeldende regelverk, og om tiltakene fungerer som forutsatt. Problemstillingene som ønskes besvart er delt i tre hovedspørsmål; Hedmark Revisjon IKS 4

5 1. Hvilke IT - sikkerhetstiltak har kommunen etablert? 2. Tilfredsstiller sikkerhetstiltakene lov, forskrift og regelverk? a. sikkerhetskopiering av data, kriseløsninger b. personvern 3. I hvilken grad fungerer de fastlagte rutinene rundt IT sikkerhet i praksis? Problemstillingene er utledet av kontrollutvalgets bestilling og fremgår av prosjektplanen. Anbefalinger På bakgrunn av gjennomførte intervjuer, revisjonens vurderinger og konklusjoner, har revisjonen følgende anbefalinger knyttet til problemstillingene; Problemstilling 1. Hvilke IT - sikkerhetstiltak har kommunen etablert? Det er ingen anbefalinger knyttet til denne problemstillingen. Problemstilling 2. Tilfredsstiller sikkerhetstiltakene lov, forskrift og regelverk? a. sikkerhetskopiering av data, kriseløsninger m.v. b. personvern Vi har følgende anbefalinger knyttet til problemstilling 2; Rutiner for sikkerheten rundt taper/bacup og taperobot må bedres og bringes i samsvar med sikkerheten i lukket nett. Rutinene ved bruk av taperobot må tas inn i RiskManager slik at det blir samsvar mellom etablert rutine og hvordan rutinen er i praksis Rutinene vedrørende backup må skriftliggjøres iht. forskriftens Kommunens oversikt over behandling av personopplysninger oversikt bør dateres mht. når den er utarbeidet og når den sist er revidert. Videre må den være fullstendig mht. alle databehandlingene som foretas av personopplysninger. I avviksrapporteringen må det etableres en rutine for rapportering til Datatilsynet ved uautorisert utlevering av konfidensielle personopplysninger. Det bør vurderer om alle journalnotatene og personsensitive opplysninger som vedrører sosialhjelp bør skrives i Socio. Ved føring av journalnotater i Arena blir Hedmark Revisjon IKS 5

6 personsensitive opplysninger som vedrører kommunen lagret utenfor kommunens nett og sikker sone. Dokumentet Sikkerhetsutvalg bør rettes i RiskManager slike at det viser utvalgets medlemmer. Dokumentet systemansvarlig oversikt må være fullstendig og innarbeides med alle kommunens systemer og systemansvarlige. Dokumentet sikkerhetstiltak oversikt bør ha en henvisning fra det enkelte sikkerhetstiltak til eventuell underliggende sikkerhetsdokumentasjon. Alle dokumentene i RiskManager bør ha utfylt felt for godkjenning, slik at det fremgår av det enkelte dokument at det er godkjent og hvem som har godkjent det. Det må utarbeides rutiner som sikrer at all autorisert bruk av informasjonssystemet registreres. Det må vurderes om IT-utstyr skal merkes og registreres. Det bør etableres brannvarsling i IT-avdelingens lokaler. Den fysiske sikkerheten knyttet til IT-avdelingen generelt og spesielt sikkerhetskopier og taperobot bør undergis økt sikkerhet. Det må etableres skriftlige rutiner for sletting fra lagringsmediet når lagringsmediet ikke lenger benyttes for behandling av slike opplysninger. Det må etableres skriftlige rutiner mht, oppbevaringstid på minimum 5 år for kommunens dokumentasjon som har betydning for informasjonssikkerheten. Det må etableres skriftlige rutiner for merking av backup mht. sikring og konfidensialitet for lagringsmedier som inneholder personopplysninger hvor konfidensialitet er nødvendig. Det må etableres skriftlige rutiner for registrering/logging av uautorisert bruk og forsøk på uautorisert bruk og lagring av registreringene i minst 3 måneder. Problemstilling 3. I hvilken grad fungerer de fastlagte rutinene rundt IT sikkerhet i praksis? Vi har følgende anbefalinger knyttet til problemstilling 3; Det må jobbes videre med pålegg fra Datatilsynet om sletting av personnummer fra backup for å finne tekniske løsninger som gjør det mulig å oppfylle Datatilsynets pålegg. Hedmark Revisjon IKS 6

7 Sikkerhetsstrategi- og sikkerhetsmål må gjennomgås av ledelsen jevnlig, minimum årlig. Det bør vurderes om risiko- og sårbarhetsanalysen skal utføres hyppigere enn det som har vært praktisert f. eks. årlig. Egenkontroller bør utføres årlig for alle ansatte og danne grunnlag for ledelsesgjennomganger og ledelsens overordnede styring med sikkerheten. Det bør tas inn i de skriftlige rutinene at egenkontrollene skal utføres årlig. Videre må rutinene for beskrivelsen av hvem som skal gjennomføre egenkontroller bringes i samsvar med realitetene. Sikkerhetsrevisjoner bør gjennomføres årlig. Disse bør bla. hensynta egenkontrollene. Ledelsen må sette fokus på at alle avvik skal rapporteres i RiskManager. RiskManger bør gjøres bedre kjent i organisasjonen. Det bør jobbes videre med implementeringen av RiskManager slik at denne er godt kjent blant alle ansatte også både kommunalt og statlige ansatte på NAV Elverum. Det er viktig at det settes fortsatt fokus på at alle tilganger slettes når ansatte slutter og at den enkeltes tilganger til enhver tid er iht. den enkeltes arbeidsoppgaver og behov. Generelt vil vi anbefale at færrest mulig personer har tilgang til Socio. Det bør derfor vurderes om antall tilganger til Socio på NAV kan reduseres. Adgangskort bør kun utgis mot kvittering iht. Prosedyre nytilsatt pkt. 2. Det må foretas en vurdering av om ikke innmeldte systemer er meldepliktige til datatilsynet. Dette for å sikre at innmeldingen hos Datatilsynet er fullstendig. Hedmark Revisjon IKS 7

8 1. Innledning 1.1 Bakgrunn for prosjektet Hedmark Revisjon IKS har gjennomført revisjonsprosjektet IT-Sikkerhet i Elverum kommune. Etter kontrollutvalgets bestilling ble prosjektet nedfelt i revisjonsselskapets virksomhetsplan for perioden 1. juni mai I henhold til forskrift om kontrollutvalg av 15. juni 2004, skal kontrollutvalget påse at kommunens virksomhet årlig blir gjenstand for forvaltningsrevisjon i samsvar med bestemmelsene i forskriften. Valg av prosjekt er basert på plan for forvaltningsrevisjon vedtatt av kontrollutvalget i Elverum sak 16/08 og kommunestyret i sak 51/08. Kontrollutvalget vedtok i sak 11/09 at det skal gjennomføres forvaltningsrevisjonsprosjekt som vurderer IT sikkerhet i Elverum kommune. Bestilling ble oversendt revisjonen i brev datert 1. april 2009, referanse 09/26-ebu. Kontrollutvalget bestiller et forvaltningsrevisjonsprosjekt: IKT, drift- sikkerhet, back-up, personvern, kriseløsninger med mer hos Hedmark Revisjon IKS i 2009, innenfor en ramme på kr Problemstillinger som ønskes belyst: Hvilke IKT-sikkerhetstiltak er etablert? Tilfredsstiller sikkerhetstiltakene lov, forskrift og annet regelverk med tanke på backup, personvern, kriseløsninger med mer? I hvilken grad fungerer de fastlagte rutinene rundt IKT-sikkerhet i praksis? Prosjektplan fremlegges i kontrollutvalgets møte i mai I møte den 12. juni 2009 vedtok kontrollutvalget endelig prosjektplan for prosjektet sak 016/09; Kontrollutvalget gir sin tilslutning til den framlagte prosjektplan for forvaltningsrevisjonsprosjektet IT-sikkerhet i Elverum kommune. Følgende problemstillinger ønskes besvart og er nedfelt i prosjektplanen: 1. Hvilke IT - sikkerhetstiltak har kommunen etablert? 2. Tilfredsstiller sikkerhetstiltakene lov, forskrift og regelverk? a. sikkerhetskopiering av data b. personvern c. kriseløsninger m.v. 3. I hvilken grad fungerer de fastlagte rutinene rundt IT sikkerhet i praksis? Formålet med prosjektet er å kartlegge hvilke IT - sikkerhetstiltak kommunen har etablert, om etablerte sikkerhetstiltak er i samsvar med gjeldende regelverk, og om tiltakene fungerer som forutsatt. Hedmark Revisjon IKS 8

9 1.2 Hjemmel for forvaltningsrevisjon Kontrollutvalget skal i følge Kommuneloven 77 pkt. 4 påse at det føres kontroll med at den økonomiske forvaltning foregår i samsvar med gjeldende bestemmelser og vedtak, og at det blir gjennomført systematiske vurderinger av økonomi, produktivitet, måloppnåelse og virkninger ut fra kommunestyrets eller fylkestingets vedtak og forutsetninger (forvaltningsrevisjon). Kontrollutvalget skal i følge Forskrift om kontrollutvalg 9 påse at kommunens eller fylkeskommunens virksomhet årlig blir gjenstand for forvaltningsrevisjon. Dette innebærer å gjennomføre systematiske vurderinger av økonomi, produktivitet, måloppnåelse og virkninger ut fra kommunestyrets vedtak og forutsetninger. Herunder om: forvaltningen bruker ressurser til å løse oppgaver som samsvarer med kommunestyrets vedtak og forutsetninger, forvaltningens ressursbruk og virkemidler er effektive i forhold til målene som er satt på området, regelverket etterleves, forvaltningens styringsverktøy og virkemidler er hensiktsmessige, beslutningsgrunnlaget fra administrasjonen til de politiske organer samsvarer med offentlige utredningskrav, resultatene i tjenesteproduksjonen er i tråd med kommunestyrets forutsetninger og/eller om resultatene for virksomheten er nådd. Hedmark Revisjon IKS 9

10 2. Formål, problemstillinger og avgrensninger 2.1 Formål Formålet med prosjektet er å kartlegge hvilke IT - sikkerhetstiltak kommunen har etablert, om etablerte sikkerhetstiltak er i samsvar med gjeldende regelverk, og om tiltakene fungerer som forutsatt. 2.2 Problemstillinger Følgende problemstillinger ønskes besvart: 1. Hvilke IT - sikkerhetstiltak har kommunen etablert? 2. Tilfredsstiller sikkerhetstiltakene lov, forskrift og regelverk? a. sikkerhetskopiering av data, kriseløsninger b. personvern 3. I hvilken grad fungerer de fastlagte rutinene rundt IT sikkerhet i praksis? Problemstillingene er utledet av kontrollutvalgets bestilling og fremgår av prosjektplanen. Pkt. 2 hadde opprinnelig kriseløsninger mv. i et eget pkt. c. Dette har vi av praktiske hensyn slått sammen med pkt. a. 2.3 Avgrensninger Prosjektet fokuserer på kommunens sikring av IT-løsninger (tekniske anlegg, utstyr, nettverk og programvare/applikasjoner), tilgangskontroller samt etterlevelse av krav i lov og forskrift. Elverum kommune er en stor organisasjon med en rekke IT-løsninger. For å unngå at prosjektet blir for omfattende, må prosjektet avgrenses. Det anses hensiktsmessig å ha med enheter som har strenge krav til sikring av personopplysninger og en enhet som har stor grad av åpenhet og kontakt med publikum. Det anses videre som hensiktsmessig å fokusere på et utvalg av it-løsninger/applikasjoner. Hvilke it-løsninger og applikasjoner som burde velges ut ble vurdert i første fase av prosjektet. Med bakgrunn i ovenstående ble det i prosjektplanen av foreslått å avgrense prosjektet til å omfatte følgende enheter: Sosiale tjenester/nav Barnevern Service- og IT avdelingen, herunder: o Post og arkiv o Servicekontoret o IT I forbindelse med vårt arbeid har det fremkommet at Barnevern bytter IT-system fra Med bakgrunn i dette ser vi ikke noe poeng i hverken å teste det gamle eller det nye systemet. Barnevern har derfor ikke vært omfattet av vår gjennomgang. Kontrollutvalget er orientert om denne endringen i forhold til planlagt utvalg. Hedmark Revisjon IKS 10

11 3. Metode og gjennomføring 3.1 Metode Datainnsamlingen er i hovedsak gjennomført ved; intervju dokumentanalyse tester og observasjoner av rutiner De innsamlede data er vurdert mot revisjonskriteriene. Vår gjennomgang bygger på kommunens egne interne kontrollrutiner for IT-sikkerhet og samtale med relevante nøkkelpersoner. I noen tilfeller har vi foretatt tester og kontroller for å verifisere fakta, i andre tilfeller har vi lagt verifiserte referater fra intervjuobjektene til grunn. Etter en samlet vurdering er det gjennomført kvalitative intervjuer. Informasjon om rutiner for IT sikkerhet, herunder fysisk sikring, tilgangskontroller og etterlevelse av lov og forskrift på området, ble innhentet ved å intervjue service- og IT sjef, samt ansatte med ansvar for aktuelle områder i service- og IT avdelingen. Vi intervjuet også ansatte med systemansvar for utvalgte it-systemer/applikasjoner. Kommunen benytter Risk Manager som kvalitets-/ sikkerhetssystem. Intervju ble gjennomført iht. spørreskjema utarbeidet på forhånd. Skriftlige referater ble utarbeidet og verifisert av intervjuobjektet. I forbindelse med prosjektet ble det gjennomført fire slike intervjuer. Vi intervjuet service- og IT-sjef, IKT-driftsleder og serviceog IT-sjef, prosjektleder IT-/sikkerhetsleder og systemansvarlig Socio på NAV. I tillegg har vi hatt en løpende dialog med intervjuobjektene og andre relevante personer i kommunen på telefon og e-post. Dokumentanalysen bygger på gjennomgang av etablerte skriftlige rutiner for å undersøke om disse tilfredsstiller regelverket. Analyse av dokumentasjon fra systemet ble vurdert opp mot lov, forskrift, retningslinjer og anbefalt praksis. Tester og observasjoner ble utført for å kontrollere om de etablerte rutinene var gjennomført og fungerte i praksis. Det ble gjennomført tester av at kommunens etablerte retningslinjer og rutiner etterleves i praksis. De innsamlede data er vurdert mot revisjonskriteriene. 3.2 Om metodevalget Det er problemstillingen som bør avgjøre valget av metode. Valget mellom kvalitativ- eller kvantitativ metodetilnærming bør således avgjøres etter en pragmatisk vurdering. I prosjektet måtte vi ta stilling til bruk av kvalitative og kvantitative metoder for intervju. Den kvalitative metoden vektlegger detaljer, nyanserikdom og det unike ved hver enkelt respondent (Jacobsen: 2005). En styrke ved metoden er at den er egnet til å oppnå nærhet og dybde på et avgrenset område (Ryen: 2002). Metoden kan være egnet til å undersøke komplekse problemer (Dahler-Larsen: 2002). En mulig svakhet med metoden er imidlertid at den kan være lite egnet til generalisering. Ofte deltar det kun et fåtall (f.eks ) personer i kvalitative intervjuundersøkelser. Gjennomføring av intervjuer er en omfattende og tidkrevende prosess. En konsekvens er at det kan bli problemer med representativiteten og dermed også muligheten til å generalisere (Bryman: 2004). Den kvantitative tilnærmingen har på sin side interesse for det som er felles, for det som er gjennomsnittelig (Holme og Solvang: Hedmark Revisjon IKS 11

12 1996). Ofte deltar det mange hundre personer i kvantitative undersøkelser. Respondentene gis standardiserte spørsmål og svar. Dette gir igjen et godt grunnlag for generalisering og representativitet. Dette er således en styrke ved denne metoden. Den kvantitative metoden har imidlertid også sine mulige svakheter. En mulig svakhet er at dataene kan bli for overfladiske. Dette kommer av at mange enheter undersøkes og da gjerne med de samme standardiserte spørsmålene. I alminnelighet er også en kvantitativ undersøkelse mindre fleksibel enn en kvalitativ. Om det skulle oppstå behov for å gjøre endringer i undersøkelsesspørsmålene, er det ofte meget vanskelig å forandre et allerede utsendt spørreskjema (ibid.). I en kvalitativ undersøkelse kan imidlertid spørsmålene endres på i fra intervju til intervju. For å få frem rikelig med nyanser og detaljer stilles det ofte ulike spørsmål til forskjellige respondenter. Vi har derfor basert oss på kvalitative intervjuer i vår gjennomgang. 3.3 Utvalg Vår kontaktperson i kommunen i forbindelse med prosjektet har vært service- og IT-sjef. I undersøkelsen er det gjennomført 4 separate intervjuer, det vil si undersøkelsens totale antall respondenter. Ved utvalg av respondenter er det lagt vekt på å ha med seg respondenter som har et overordnet ansvar eller er en nøkkelperson på sitt område. Hedmark Revisjon IKS 12

13 4. Revisjonskriterier Revisjonskriterier skal begrunnes i/utledes av autoritative kilder innenfor det reviderte området. Autoritative kilder kan være lover, forskrifter, forarbeider, rettspraksis, politiske vedtak/mål/føringer, administrative retningslinjer/mål/føringer, statlige føringer/veiledere, andre myndigheters praksis, teori og reelle hensyn som vurderinger av hva som er rimelig/ formålstjenlig/effektivt. Revisjonskriteriene utledes med utgangspunkt i problemstillingene, og danner grunnlaget for hva de innsamlede data vurderes opp mot. I og med at revisjonskriteriene er uttrykk for en norm eller et ideal for hvordan tilstanden bør være på området, danner kriteriene også utgangspunkt for revisjonens anbefalinger. I dette prosjektet har vi definert følgende revisjonskriterier: 1. Lov om behandling av personopplysninger av o Kap. 1 Lovens formål og virkeområde o Kap. 2 Alminnelige regler for behandling av personopplysningsloven, herunder spesielt 13 Informasjonssikkerhet 14 Intern kontroll 2. Forskrift om behandling av personopplysninger av nr o Kap. 2 Informasjonssikkerhet 2-1 Forholdsmessig krav om sikring av personopplysninger 2-2 Pålegg fra Datatilsynet 2-3 Sikkerhetsledelse 2-4 Risikovurdering 2-5 Sikkerhetsrevisjon 2-6 Avvik 2-7 Organisering 2-8 Personell 2-9 Taushetsplikt 2-10 Fysisk sikring 2-11 Sikring og konfidensialitet 2-12 Sikring og tilgjengelighet 2-13 Sikring og integritet 2-14 Sikkerhetstiltak 2-15 Sikkerhet hos andre virksomheter 2-16 Dokumentasjon o Kap. 3 Intern kontroll 3-1 Systematiske tiltak for behandling av personopplysninger 3. Datatilsynets retningslinjer og veiledere (foretrukket praksis) 4. Elverum kommunes rutiner og retningslinjer, jf. Risk Manager Rutiner og retningslinjer -Ansvar -Mål og strategier -Retningslinjer -Rettigheter og plikter -Lover og forskrifter -Administrative dokumenter -Skjema Egenkontroll Nyheter Datatilsynet Lover Avvik Hedmark Revisjon IKS 13

14 5. Faktabeskrivelse og revisors vurderinger og konklusjoner Våre faktabeskrivelser og vurderinger har vi valgt å strukturere i forhold til problemstillingene i kapittel Problemstilling 1: Hvilke IT-sikkerhetstiltak har kommunen etablert? Problemstilling 1 retter seg direkte mot kommunens etablerte IT-sikkerhetstiltak og er gjennomgått i kapittel 5.1 og 5.2. Problemstilling 2: Tilfredsstiller sikkerhetstiltakene lov, forskrift og regelverk? a) Sikkerhetskopiering av data, kriseløsninger b) Personvern Problemstilling 2 retter seg mot om kommunens etablerte rutiner for IT-sikkerhetstiltak tilfredsstiller de gjeldende kravene som stilles i lov, forskrift og regelverk med tanke på sikkerhetskopiering av data, kriseløsninger og personvern. Disse er vurdert i kapittel 5.3. Sikkerhetstiltak regulert ved lov fremgår av Lov om behandling av personopplysninger av Sikkerhetstiltak regulert ved forskrift fremgår av Forskrift om behandling av personopplysninger av nr Loven har overordnede bestemmelser vedrørende sikkerheten, mens forskriften som bygger på loven er mer utdypende og detaljert. Det er derfor mest relevant å vurdere kommunens rutiner mot bestemmelsene i forskriften. Lovverket er utformet slik at det fremgår hvilke sikkerhetskrav som stilles, men det er i mindre grad lagt føringer på hvordan kravene skal oppfylles. Det er således i stor grad opp til kommunen selv å etablere nødvendige sikkerhetstiltak i systemene og rundt systemene for å oppfylle lovverkets krav. Vår gjennomgang er strukturert i forhold til problemstillingene og ikke teknisk oppbygging av lov og forskrift. Problemstilling 3: I hvilken grad fungerer de fastlagte rutinene rundt IT sikkerhet i praksis? Problemstilling 3 stiller spørsmålet om hvordan kommunens fastlagte rutiner vedrørende ITsikkerhet fungerer i praksis. Disse er også vurdert i kapittel 5.3. Vi har begrenset vår vurdering til de problemstillinger som ble vurdert under problemstilling 2. De krav som stilles i lov og forskrift om behandling av personopplysninger er omfattende og detaljert. Kommunens etablerte rutiner vedrørende IT-sikkerhet er i hovedsak dokumentert i RiskManager. Det vil være for omfattende å teste om all etablerte rutiner fungerer i praksis. Hedmark Revisjon IKS 14

15 Derfor har vi gjennomført tester av om et utvalg av rutinene fungerer i praksis. Av praktiske og pedagogiske grunner er problemstilling 3 vurdert rett etter problemstilling 2 i hver enkelt avsnitt i kapittel Elverum kommunes rutiner og retningslinjer for IT-sikkerhet med bakgrunn i Risk Manager Dette kapitlet er en ren beskrivelse av kommunens skriftlige etablerte rutiner. Elverum kommune har en egen sikkerhetsportal om kvalitetssikring og internkontroll innen personvern og informasjonssikkerhet. Denne ligger på; Vår beskrivelsen av Elverum kommunes rutiner og retningslinjer for IT-sikkerhet vil således bygge på det som ligger i RiskManager. I tillegg vil vi bygge på det som er fremkommet i intervju og våre tester og kontroller. Åpningssiden i RiskManager inneholder meny med egne valg for; Rutiner og retningslinjer Egenkontroll Nyheter Datatilsynet Lover Avvik I tillegg inneholder åpningssiden generell informasjon om at kommunen har ansvar for mange omfattende oppgaver, og alle har målsetting om å yte god service med høy kvalitet innen egen tjenesteområde. Informasjonssikkerhet er en svært viktig del av kvalitetssikringen. Kommunen har flere registre over personopplysninger, både om de som mottar kommunale tjenester, og om medarbeidere og ansatte. Disse opplysningene registreres og lagres innen ulike områder. Denne type opplysninger krever behandling etter spesielle bestemmelser. Regelverket er gitt i personvernlovgivningen, og det er Datatilsynet som er tilsynsmyndighet. Programmet, RiskManager, inneholder kommunens sikkerhetsdokumentasjon som alle skal være kjent med. Det er spesielt viktig for ansatte å sette seg inn, og etterleve kommunens sikkerhetstiltak. Den enkelte medarbeider skal delta med å registrere avvik i informasjonshåndteringen. Dette skal sikre en kontinuerlig forbedring i sikkerhetsarbeidet. Minimum en gang pr. år skal det gjennomføres egenkontroll og sikkerhetsrevisjon. Oppgaver i denne forbindelse, er å svare på spørsmål under egenkontrollen. Andre spørsmål til innholdet i RiskManager, eller forhold vedrørende den praktiske behandlingen av personopplysninger, kan tas opp med nærmeste leder Rutiner og retningslinjer for informasjonssikkerhet Fra åpningssiden i RiskManager kan man trykke seg inn på rutiner og retningslinjer for informasjonssikkerhet. Deretter må man velge enhet i kommunen. Disse enhetene er; Hedmark Revisjon IKS 15

16 Elverum kommune Staben Skolefaglig rådgiver Eiendom Kultur Næring Familie og helse Barnehage Pleie, rehabilitering, omsorg Plan og kommunalteknikk Kvalifisering og levekår Skoler Rådmannskontoret De valg som kommer etter valg av enhet er like for alle enheter. Etter at enhet er valgt kommer en ny side med følgende valgalternativer; Ansvar Mål og strategier Retningslinjer Rettigheter og plikter Lover og forskrifter Administrative dokumenter Skjema Ved alle disse valgene fremgår en standard tekst til brukeren; Rutiner og retningslinjer for informasjonssikkerhet De fleste medarbeidere i kommunen behandler personopplysninger. Alle må derfor være kjent med sikkerhetstiltak for denne typen informasjon, og hvordan vi i vår kommune har organisert dette arbeidet. Kommunens sikkerhetsarbeid er avhengig av både tekniske tiltak som backup, antivirusprogram etc. men like viktig er det at alle kjenner til de retningslinjer som er besluttet, og har nødvendige kunnskaper om informasjonssikkerhet. Retningslinjene må være godt kjent for alle som i det daglige håndterer ulike personopplysninger. Her finner du godkjente rutiner og retningslinjer du som medarbeider skal være kjent med. Det er viktig at du setter deg inn i disse og forstår hva de innebærer. Alle er ansvarlig for å holde seg oppdatert på endringer, og du må søke hjelp hos nærmeste leder dersom noe er vanskelig eller uklart. Hedmark Revisjon IKS 16

17 For å lette oversikten er informasjonen delt inn i disse hovedområdene: Ansvar: Gir informasjon om organisering av informasjonssikkerheten, og ansvarsfordeling i sikkerhetsarbeidet Mål/strategi: Her finner du kommunens sikkerhetsmål og strategier Retningslinjer: Inneholder sikkerhetsrutiner og retningslinjer Rettigheter og plikter: Gir oversikt over hvordan vi skal sikre at den registrertes rettigheter ivaretas Lover og forskrifter: Her finner du oversikt over personvernlovgivningen og annet aktuelt lov og -regelverk Administrative dokumenter: Angir kommunens felles overordnede prosedyrer i sikkerhetsarbeidet Skjema: Ulike skjema som benyttes i sikkerhetsarbeidet De fleste dokumentene i Riskmanager har versjonnummer 1.0, har siste revisjonsdato i juni eller juli i 2004 og er revidert av K.S og det er avkrysset for intern publisering og gradering offentlig iht. Offentlighetsloven 2. Feltet for godkjenning/sign er ikke utfylt Ansvar Velger man boks ansvar kan det velges mellom 9 forskjellige bokser. Disse er beskrevet i det følgende. Prosedyre - Driftsansvarliges ansvar og myndighet Ved valg av boksen, Prosedyre - Driftsansvarliges ansvar og myndighet, kommer man direkte til det interne dokumentet, IKT-driftsansvarliges ansvars- og myndighetsområde. Av dokumentet fremgår IKT-driftsansvarliges ansvars- og myndighetsområde. Dokumentet følger som vedlegg 2 til rapporten. Prosedyre - Sikkerhetsleders ansvar og myndighet Ved valg av boksen, Prosedyre Sikkerhetsleders ansvar og myndighet, kommer man direkte til det interne dokumentet, Sikkerhetsleder ansvars- og myndighetsområde. Av dokumentet fremgår Sikkerhetsleders ansvars- og myndighetsområde. Dokumentet følger som vedlegg 3 til rapporten. Daglig ansvarlig Ved valg av boksen, Daglig ansvarlig, kommer man direkte til dokumentet, Daglig ansvarlig ansvars- og myndighetsområde. Dokumentet har versjonnummer 1.0. Feltene for siste revisjonsdato, revidert av, intern publisering og godkjenning/sign, er ikke fylt ut. Av dokumentet fremgår ansvar og myndighet for daglig ansvarlig innen hver enhet. Dette ansvaret er tillagt enhetslederne. Gradering er offentlig iht. Offentligehtsloven 2. Dokumentet følger som vedlegg 4 til rapporten. Sikkerhetsorganisering Ved valg av boksen, Sikkerhetsorganisering, kommer man direkte til dokumentet, Sikkerhetsorganisering. Under organisering av informasjonssikkerheten henvises det til vedlegg, Organisasjonskart sikkerhet. Under periode står det fra til Under organisajsonkart-fase1 henvises det til vedlegg, Organisasjonskart-fase 1. Under periode står det fra Under organisering av Elverum kommune henvises det til vedlegget, Org.kart nytt 1. sept Under periode står det fra Under Hedmark Revisjon IKS 17

18 organisering av informasjonssikkerheten henvises det til vedlegget, Sikkerhetsorganisering. Under periode står det fra Under fagsjefer i Elverum kommune henvises det til vedlegg, Fagsjefer i Elverum kommune Dokumentet om sikkerhetsorganisering følger som vedlegg 5 til rapporten. Behandlingsansvarlig Ved valg av boksen, Behandlingsansvarlig, kommer man direkte til dokumentet, Behandlingsansvarlig. Det fremgår at Elverum kommune, organisasjonsnummer , er behandlingsansvarlig virksomhet. Behandlingsanvarlig er rådmann (Guri Ulltveit Moe, fra ). Delegert behandlingsansvarlig fra er Stabsjef Irene Evenstad Midtlund. Dokumentet følger som vedlegg 6 til rapporten. Daglig ansvar - oversikt Ved valg av boksen, Daglig ansvar - oversikt, kommer men direkte til dokumentet, Daglig ansvarlig innen den enkelte enhet/avdeling. Her fremgår fra dato, navn, telefon, stilling og enhet. Dokumentet følger som vedlegg 7 til rapporten. Sikkerhets- og driftsledelse Ved valg av boksen, Sikkerhets- og driftsledelse, kommer man til dokumentet, Sikkerhetsog IT-driftsleder. Det fremgår at IT-driftsleder fra er Heidi Nordermoen. Hun er Service- og IT sjef. Det henvises til vedlegg, Prosedyre driftsansvarliges ansvar og myndighet. Videre fremgår det at sikkerhetsleder fra er Karin Schulstadsveen. Hun er prosjektleder IT. Det henvises til vedlegg, Prosedyre sikkerhetsleder ansvar og myndighet. Dokumentet sikkerhets- og IT-driftsleder følger som vedlegg 8 til rapporten. Sikkerhetsutvalg Ved valg av boksen, Sikkerhetsutvalg, kommer man til dokumentet, Sikkerhetsutvalg. Rådmann (Guri Ulltveit Moe er fra ) behandlingsansvarlig. I tillegg er valgstyret ført opp. Dokumentet følger som vedlegg 9 til rapporten. Systemansvarlig - oversikt Ved valg av boksen, Systemansvarlig oversikt, kommer man til dokumentet, Systemansvarlig samlet oversikt. Her fremgår systemansvarlige for systemet BVRPO og HSPRO, Familie og helse og Extens, Barnehage og skoler. Dokumentet følger som vedlegg 10 til rapporten Mål og strategier Velger man boks mål og strategier kan man velge mellom 3 forskjellige bokser. Disse er beskrevet i det følgende. Kommunens sikkerhetsmål Under boksen, Kommunens sikkerhetsmål, ligger dokumentet, Sikkerhetsmål ved behandling av personopplysninger. Dokumentet følger som vedlegg 11 til rapporten. Kommunens sikkerhetsstrategi Under boksen, Kommunens sikkerhetsmål, ligger dokumentet, Sikkerhetsstrategi ved behandling av personopplysninger. Dokumentet følger som vedlegg 12 til rapporten. Hedmark Revisjon IKS 18

19 Organisering av Elverum kommune Under boksen, Organisering av Elverum kommune, ligger kommunens organisasjonskart Retningslinjer Velger man boks retningslinjer kan man velge mellom 15 forskjellige bokser. Disse er beskrevet i det følgende. Ansettelsesretningslinjer Under boksen, Ansattretningslinjer, ligger man til dokumentet, Retningslinjer ansatte. Dokumentet har versjonnummer. Dokumentet følger som vedlegg 13 til rapporten. Adgang til utstyr og programmer Under boksen, Adgang til utstyr og programmer, ligger intern dokument, Adgang til utstyr. Dokumentet følger som vedlegg 14 til rapporten. Brukerstøtte Under boksen, Brukerstøtte, ligger internt dokument, Brukerstøtte. Dokumentet følger som vedlegg 15 til rapporten. Dokumentsikring Under boksen, Dokumentsikring, ligger internt dokumentet, Dokumentsikkerhet. Dokumentet følger som vedlegg 16 til rapporten. Gjenbruk, makulering og avhenting av utstyr Under boksen, Gjenbruk, ligger dokumentet, Retningslinjer gjenbruk og avhenting av utstyr. Det er ingen felter for versjonnummer, revidert, publisering, gradering og godkjenning. Dokumentet følger som vedlegg 17 til rapporten. Hjemme PC fjernpålogging Under boksen, Gjenbruk, ligger dokumentet, Hjemme-PC-fjernpålogging. Det er ingen felter for versjonnummer, revidert, publisering, gradering og godkjenning. Dokumentet skal underskrives av den ansatte. Dokumentet følger som vedlegg 18 til rapporten. Låsing og adgangskontroll Under boksen, Låsing og adgangskontroll, ligger internt dokument, Adgang område. Dokumentet følger som vedlegg 19 til rapporten. Passord Under boksen, Passord, ligger internt dokument, Sikring ved hjelp av passord. Dokumentet følger som vedlegg 20 til rapporten. Prosedyre fratredelse av stilling Under boksen, Prosedyre fratredelse av stilling, ligger internt dokument, Fratredelse av stilling. Dokumentet følger som vedlegg 21 til rapporten. Prosedyre Nytilsatt Under boksen, Prosedyre Nytilsatt, ligger internt dokument, Nytilsatt. Dokumentet følger som vedlegg 22 til rapporten. Hedmark Revisjon IKS 19

20 Prosedyre innhenting av informasjon Under boksen, Prosedyre Innhenting av informasjon, ligger internt dokument, Sletting av personopplysninger. Dokumentet følger som vedlegg 23 til rapporten. Prosedyre Sanksjoner Under boksen, Prosedyre Sanksjoner, ligger internt dokument, Sanksjoner. Dokumentet følger som vedlegg 24 til rapporten. Retningslinjer Sikring av PC Under boksen, Retningslinjer Sikring av PC, ligger dokumentet, Sikring av PC. Det er ingen felter for versjonnummer, revidert, publisering, gradering og godkjenning. Dokumentet skal underskrives av den ansatte. Dokumentet følger som vedlegg 25 til rapporten. Sletting av lagringsmedie (Datamedie) Under boksen, Sletting av lagringsmedie (Datamedie), ligger internt dokumentet, Sletting av personopplysninger. Dokumentet følger som vedlegg 26 til rapporten. Sikkerhetstiltak - oversikt Under boksen, Sikkerhetstiltak - oversikt, ligger dokumentet, Sikkerhetstiltal - oversikt. Av dokumentet fremgår felles sikkerhetstiltak for Elverum kommune. Under tiltak er det henvist til de enkelte dokument. Dokumentet følger som vedlegg 27 til rapporten Rettigheter og plikter Velger man boks retningslinjer kan man velge mellom 3 forskjellige bokser. Disse er beskrevet i det følgende. Brosjyre Under boksen, Brosjyre, ligger dokumentet, Dine rettigheter og plikter etter personopplysningsloven. Det er ingen felter for versjonnummer, revidert, publisering, gradering og godkjenning. Dokumentet skal underskrives av den ansatte. Dokumentet følger som vedlegg 28 til rapporten. Innsynsrett Under boksen, Innsynsrett, ligger internt dokument, Innsyn ved henvendelse. Dokumentet følger som vedlegg 29 til rapporten. Retting og sletting av personopplysninger Under boksen, Retting og sletting av personopplysning, ligger internt dokumentet, Retting og sletting. Dokumentet følger som vedlegg 30 til rapporten Lover og forskrifter Her er det 4 bokser som leder direkte til Personopplysningsloven, personopplysningsforskriften og Helseregisterloven Administrative dokumenter Velger man boks ansvar kan man velge mellom 6 forskjellige bokser. Disse er beskrevet i det følgende. Hedmark Revisjon IKS 20

21 Systemansvar og myndighet Under boksen, Systemansvar og myndighet, ligger internt dokument, Systemansvarliges ansvars- og myndighetsområde. Dokumentet følger som vedlegg 31 til rapporten. Forholdet til databehandlere og leverandører Under boksen, Forholdet til databehandlere og leverandør, ligger internt dokument, Sikkerhetserklæring leverandør. Dokumentet følger som vedlegg 32 til rapporten. Kommunens organisering av informasjonssikkerheten Under boksen, Kommunens organisering av informasjonssikkerheten, ligger internt dokument, Rådmannens organisering og delegasjoner i sikkerhetsarbeidet. Dokumentet følger som vedlegg 33 til rapporten. Kommunikasjonspartnere Under boksen, kommunikasjonspartnere, ligger internt dokumentet, Sikkerhetserklæring kommunikasjonspartnere. Dokumentet følger som vedlegg 34 til rapporten. Sikkerhetsprofil Gerica Her foreligger et dokument fra Gerica på 115 sider. Gerica inngår ikke i de systemer som vi har valgt ut for kontroll. Dokumentet er derfor ikke gjennomgått og følger ikke som vedlegg til rapporten. Tilgangsstyring og autorisasjonstildeling Under boksen, tilgangsstyring og autorisasjonstildeling, ligger internt dokument, Prosedyre for autorisasjonstildeling. Dokumentet følger som vedlegg 35 til rapporten Skjema Det ligger ingen skjemaer under valg for skjemaer Egenkontroll Under valg for egenkontroll må man velge enhet. Deretter kommer man til en rekke spørsmål. Disse utgjør egenkontrollen. I personvernlovgivningen er kommunen pålagt å gjennomføre egenkontroller som grunnlag for sikkerhetsrevisjonen. Formålet med egenkontrollen er å undersøke om de beslutninger som er tatt om sikkerhetsmål, -strategi og retningslinjer etterleves i hele kommunen, og å skaffe seg oversikt over sikkerhetsnivået ute i organisasjonen. Dersom det er for lite kunnskaper om kommunens sikkerhetssystem, vil resultatet av egenkontrollen oftest føre til at det må gjennomføres mer opplæring innen dette området. Alle medarbeidere som jobber på IT-systemene skal delta i kommunens egenkontroll. Ansatte gjennomfører egenkontrollen ved å svare på spørsmål som bli tilgjengelig her i RiskManager i de periodene egenkontrollen skal gjennomføres. Oftest blir egenkontrollen gjennomført en gang pr. år. Den ansatte vil få beskjed fra sin nærmeste leder når det skal gjøres registreringer, og svare på disse spørsmålene i egenkontrollen Nyheter Under valg for nyheter kommer man til Dette er en hjemmeside for Risk Manager kvalitetssystem hos DigitalKvalitet AS. Her kan man bl.a velge aktuelt. Hedmark Revisjon IKS 21

22 5.1.4 Datatilsynet Under valg for Datatilsynet kommer man direkte til Datatilsynets hjemmeside, Lover Under valg for Lover kommer man direkte til Lovdatas hjemmeside, Avvik Under valg for avvik skal avvik registreres. Kommunen er pålagt å etablere avvikssystem for å sikre en kontinuerlig forbedring av kvaliteten og sikkerheten i all informasjonsbehandling. Dette gjelder både informasjon som ligger lagret i datasystem, og den papirbaserte sensitve informasjonen i egne register/arkiv. Rutinen for avviksbehandling skal iverksettes ved brudd på sikkerhetstiltak, dvs. når oppgaver er utført i strid med gjeldende rutiner, lov og forskrift. Registrering av avvik Alle medarbeidere er ansvarlig for å melde avvik ved å bruke avviksregistreringen i RiskManager web. Et registrert avvik vil bli behandlet av nærmeste leder, og det er den som oppdager avviket som har ansvar for å registrere hendelsen. Eksempler på avvik som skal meldes er: all utilsiktet utlevering av personopplysninger (både til medarbeidere uten et tjenstlig behov for informasjonen, eller til utenforstående), eller ved mistanke om slik utlevering. når medarbeidere benytter datasystemet (egne fagsystem) de ikke er gitt tilgang til (via andre). når medarbeidere benytter datasystemet (egne fagsystem) uten den opplæring som er forutsatt. ved behandling av personopplysninger i strid med lover, forskrifter og interne bestemmelser. repeterte feil i interne og eksterne system (dersom en kontinuerlig blir kastet ut, mister tilgang). virusalarmer (du ser et rødt kryss over ikonet for antivirusprogram nederst til venstre på skjermen). endringer som gjøres av bruker i maskinvare og program, spesielt i program for e-post og Internettleser. Slike endringer er ulovlig uten it-/driftsleders samtykke. 5.2 Elverum kommunes rutiner og retningslinjer for IT-sikkerhet med bakgrunn i intervjuer I intervjuene har vi forsøkt å utdype de skriftlige rutinene og i tillegg forsøkt å fange opp ikke skriftlige rutiner. Kommunens etablerte rutiner er etter vår vurdering både de skriftlige og de ikke skriftlige rutinene som er etablert. Hedmark Revisjon IKS 22

23 5.2.1 Organisering av IT-miljøet og IT-sikkerhet Rådmannen er systemeier for kommunens datanett, men rådmannen her delegert myndigheten videre til service- og IT-sjef for fellessystemer og til den enkelte fagsjefen for fagsystemene. Elverum kommune benytter RiskManager som styringssystem. Dette er sikkerhetsportalen for Elverum kommune for kvalitetssikring og internkontroll innen personvern og informasjonssikkerhet. Her finnes styrende dokumenter og forankring til ledelse. All informasjon om rutinene skal finnes/beskrives her. Systemet benyttes også til egenkontroll med tilhørende sjekkpunkter. Rutinene er laget i samarbeid mellom innleid konsulent, uteenheter, kommunal rådgiver (jurist), datatilsynet mv. Service- og IT-avdelingen (heretter kalt IT) opplyste at rutinene er utarbeidet og håndtert iht. lov og forskrift, og at RiskManager er bygd opp rundt lovverket. Hjemmel for unntak fra offentlighet påføres de aktuelle dokumentene. Personopplysninger, personnummer og bankkontonummer er tre viktige opplysninger som gir grunnlag for å unnta fra offentlighet. IT-avdelingen bruker ikke anbefaling til god IT-skikk fra ISACA i det daglige arbeidet. Regelverket har imidlertid vært styrende. Kommunens grunnverdier er Åpenhet, Ærlighet og Respekt. Alle som har ident med tilgang til kommunens datasystem må signere på skjema. Her presiseres det hva brukeren ikke skal gjøre og hvordan det forventes at brukeren skal opptre. Ved tilgang fra hjemme-pc påpekes det videre at brukeren skal sørge for oppdatert antivirusprogram, brannmur mv. Dette fremkommer av eget skjema som brukeren signerer på. Service- og IT-sjefen har ansvaret for fellessystemer, mens den enkelte fagsjef har ansvaret for fagsystemer på sitt ansvarsområde. Alle systemene driftes av IT-avdelingen. Alle anskaffelser av IT-utstyr i kommunen skal godkjennes av service- og IT-sjef. Den største datatekniske endringen i kommunen i løpet av de siste to årene er at kommunen ikke kjøper hosting hos ekstern leverandør, jf. tidligere avtale med EDB AS. Nå har kommunen gått over til å benytte Agresso og alle data ligger lagret på datalagringsenheter i serverrom. Fra ble Agresso lønn tatt i bruk. Dette innebærer at servere og lagring finnes i rådhuset Organisering av IT-avdelingen Organisering Kommunen har egen IKT-avdeling under ledelse av service- og IT-sjefen. Hun er sikkerhetsog IT-driftsleder. IKT driftsansvarlig leder driften av denne avdelingen. Ansvars- og myndighetsområde fremkommer i Risk Manager. IT-drift har ansvaret frem til de ansatte får program og/eller data opp på sine PC-er. IT-avdelingen jobber som et team. Det er 9 ansatte i 8 stillinger. Det er 3 ansatte som arbeider mot skoleportalen, 4 ansatte som jobber mot kommunens nett og en prosjektleder i 0,8 stilling (yter bla. brukerstøtte på WebSak mv.) og en ansatt i 0,2 stilling som jobber med skole/barnehage. Skoleportalen kan sammenlignes med et stort fagsystem og 3 ansatte jobber med å drifte og utvikle dette. Det er ikke utarbeidet stillingsbeskrivelser, men oppgavene følger rollen jf. rollebeskrivelse eksempel driftsansvarlig og dennes rolle. IT-avdelingen har ikke har egne systemer ut over HelpDesk, men avdelingen drifter alle systemer. Kommunen benytter ikke egenproduserte systemer, men kun såkalte Hedmark Revisjon IKS 23

24 standardsystemer. Det kan forventes en utvikling på helsesystemer som følge av utvikling av helsenett. IT påpekte egenkontroller og manglende sletting av tilganger som områder revisjonen kunne fokuseres nærmere på, blant annet mht. hva som gjennomføres og hva som følges opp mv. Det er risiko for at personer som slutter fortsatt ligger med tilganger pga manglende sluttmelding til IT. Organisering og oppgaver i forhold til ytre etat Service- og IT-avdelingen (og Elverum kommune) har 72 ytre enheter/utelokasjoner, som er knyttet opp i et nett. Linjer til utelokasjoner leveres av Eidsiva. Det er faste linjer med firewall (brannmur) i begge ender. Dette sikrer mot uautorisert bruk/at andre kan benytte/komme inn på linja. I tillegg er det et eget nett for brukere i rådhuset. Ytre etat har et sted å forholde seg til, et sted hvor de skal bestille tilgang eller lignende og et sted hvor de skal melde fra. IT skal inn i alle prosjekter som igangsettes. IT-avdelingen viste til rutiner i byggehåndbok. Disse er vanskelig tilgjengelig, men omhandler krav til hva som skal inn i bygget. Det er grenseoppgang mht. ventilasjonssystem, alarmsystem og telefoni som i større grad enn før krever tilgang til kommunens nett. Det stilles krav fra IT mht. hvem som skal få koble seg opp i nettet. IKT-driftsleder er kommunens kontaktperson overfor leverandører. Alt innkjøp/alle bestillinger knyttet til IT utstyr og programvare går via IT. Dette skjer skriftlig, og IT mener de har god kontroll på dette, og at det forhold at IT kommer tidlig inn i prosesser har gitt klar bedring på området. Kommunen har avtale med to leverandører (2-års avtaler) hvor utstyr kan anskaffes. Oppgaver IT-avdelingen yter intern IT-støtte for ansatte, dvs. å yte brukerhjelp ved problem med maskinvare/nettverk med mer. IT - support er inndelt slik: 1. Brukerstøtte 2. Fagapplikasjoner 3. Nettverk Nr. 1 og 3 gjelder såkalt førstelinje støtte (ytes av brukerstøtte) og den siste er andrelinje støtte. Drift- og vedlikehold av nettverk omfattet en rekke oppgaver, alt fra å sette opp servere, sjekke at de fungerer som de skal, feilsøke og løse feil mv. Dersom det er nødvendig/hensiktsmessig, så benyttes også eksterne konsulenter til feilsøking og feilretting. I teorien har IT ansvaret helt frem til brukeren har fått data opp på sin skjerm. IKT-driftsleder har ansvaret for drift og vedlikehold av nettet Teknisk organisering av nettverk Med unntak av noen vanlige maskiner i rådhuset benyttes det tynnklientløsning i hele kommunen. De har ingen data lagret/installert lokalt på PC-ene sine foruten klientprogramvare for å kunne logge seg på serveren. Revisjonen har mottatt prinsippskisse (kart) som viser kommunikasjonsveier i IT-nettverket. Kommunens nettverk er komplekst, men at de ikke alltid IT kan ha oppdaterte oversikter på papir over alt som skjer i nettverket. De har en konfigurasjonsfil hvor endringer registreres/ Hedmark Revisjon IKS 24

25 legges inn, slik at øvrige ansatte på IT kan se hva som er gjort og av hvem. Her går de ansatte på IT inn og sjekker hva andre har gjort, og når det er gjennomført. IT har ikke detaljerte oversikter over IT-utstyr med serienummer, men de har oversikt over antallet enheter. Utstyr telles opp en gang pr. år og sjekkes mot lisensavtaler Microsoft. Det er IT som installerer. Unntaket er multifunksjonsmaskiner, hvor leverandør installerer. Vi fikk fremlagt en systemoversikt over alle IT-systemer som benyttes i Elverum kommune. Denne er inndelt i fellessystemer, fagsystemer og lukket nett. Her fremkommer hva systemet brukes til og hvor det brukes, navn på programvare, hendelser/utvikling og systemansvarlig. I tillegg er det spesifisert hvilke programmer og virksomheter som inngår i sikker sone, lukket nett. Dette er systemer for behandling av sensitive personopplysninger. Sikker sone benyttes for; PPT Sosialtjenesten/NAV Barnevern Helsestasjon Legevakt Pleie, rehabilitering og omsorg Vi fikk også fremlagt en oversikt/rapport over hvilke systemer som behandler personopplyninger. Oversikten spesifiserer hovedformål, informasjonstype, opplysninger om, format og system. Vi fikk også fremlagt et eget datakart over IT-miljøets tekniske organisering Rutiner for IT-sikkerhet Sikkerhetskopiering av data (kriseløsninger mv) Rutinene for håndtering av utilsiktet avbrudd, katastrofesituasjoner, gjenoppretting Service- og IT-sjef viste til Risiko og Sårbarhetsanalyse (ROS) med risikoreduserende tiltak. Denne ligger i Risk Manager. Service og IT-avdelingen opplyste den verst tenkelige situasjonen hadde vært brann i serverrommet, jf. brannsikring og brannslukking. Avdelingen har såkalt redundante løsninger, som innebærer at enheter som er i drift tar over for enheter (servere) som går ned. Systemet vil fortsatt fungere med noen ødelagte servere, men responstiden vil øke. Kommunen har ikke katastrofeløsning, men har en katastrofe beredskap. Hvis serverrommet og all maskinvare skulle bli ødelagt, må alt settes opp på nytt. Kommunen har backup som sikrer at de kommer i drift igjen, men det vil i tilfelle bli en periode med driftsstans. All datalagring skjer på servere/datalagringsenheter som alle er plassert i IKT-serverrommet i rådhuset. Serverrommet er sikret mot brann, tyveri, hærverk med alarm som går til 110- sentralen på beredskapssenteret. I tillegg er det brannslukking med gass i rommet. ITavdelingens vurdering er at den fysiske sikringen av servere og disker god. Rutiner for sikkerhetskopiering (backup) Service- og IT-avdelingen opplyste at det tas backup hver kveld/natt. Dette skjer automatisk og det kontrolleres av IKT-avdelingen morgenen etter. IKT-driftsleder har ansvaret for backuprutinen. Det kjøres backup av databaser og endringer hver natt. Større systemjobber kjøres i helger, dvs. backup av system (større, mer fullstendig backup). Backup er automatisert ved at Hedmark Revisjon IKS 25

26 en tape robot er satt opp slik at backup tas. Systemet er satt opp slik at IKT-driftsleder får smsvarsling mht backup, dvs. om backup er tatt og om de er utført som forutsatt. I etter tid sjekkes det nøyere at backup er ok. Oppbevaring av sikkerhetskopiering Backup oppbevares i et annet bygg enn rådhuset. Dersom det skulle skje en katastrofe i serverrommet, vil backup sikre mot at data går tapt. Maskinvare må imidlertid sette opp på nytt, noe som vil medføre driftsstans. Service- og IT-avdelingen mangler en god oppbevaringsplass for taper (backup) som er tatt og som oppbevares av IT. Det er vurdert om det skal bestilles safe til formålet. Det var også vurdert hvor lenge IT skulle ta vare på tapene. Hittil har de tatt vare på alle. Personvernlovgivningen stiller krav om hvor lenge personopplysninger kan lagres. Det lar seg ikke gjøre å slette deler av informasjonen som ligger på tapene (teknisk), se også omtale under søknadsadministrasjon. Det ble opplyst at for å få ut informasjon som er tatt ut fra sikker sone, som ligger på tapene, må en ha nødvendig programvare. IT opplyste at de benytter 5 12 disker(diskhyller) sammen slik at hvis noen får tak i en eller to disker, vil de bare får brøker av informasjonen Dokumentasjon og meldeplikt til Datatilsynet Dokumentasjon av alle IT-systemene IT opplyste at alle systemene er dokumenterte. Dette mottas fra leverandøren ved kjøp av systemet, i tillegg til kontrakt/avtale. Konsesjon- og meldeplikt Elverum kommune har ikke konsesjonspliktige systemer, kun meldeplikt. Det meldes årlig via datatilsynets portal. IT opplyste at det må sendes melding til Datatilsynet om systemer i lukket nett (systemer med personsensitive opplysninger). Dette gjøres over nett. For systemer i åpent nett er det ikke egenkontroll i forhold til Datatilsynet. Systemeier gir melding (egenkontroll) på nett til Datasystemet. Meldeplikt/egenkontroll gjelder alle systemer på lukket nett dvs. med personsensitive opplysninger. Dette skal være dokumentert i sikkerhetssystemet. Informasjon fra Datatilsynet IT mottar noe informasjon fra Datatilsynet. Kommunen har et selvstendig ansvar for å følge med og sørge for at de har nødvendig kunnskap og informasjon. IT må selv holde seg oppdatert om endringer ved å følge med på datatilsynets sider på nett. Her vil endringer i lov, forskrift mv. være omtalt. Kommunens juridiske rådgiver gir også beskjed om de endringene han fanger opp. IT abonnerer på en e-post tjeneste der det kommer melding om alle endringer på Datatilsynets side Sikkerhetsledelse Øverste ansvarlig for kommunens sikkerhetsledelse er rådmannen. Rådmannen har delegert ansvaret videre til stabssjefen som igjen har delegert utøvelsen til service- og IT-sjef som ITdriftsleder. Service- og IT-sjef har også sikkerhetsansvar, men prosessen og oppdateringer av ulike type dokumenter er delegert til sikkerhetsleder (prosjektmedarbeider). Kommune ønsket at sikkerhetsleder skulle være en annen person enn IT-sjefen. Hedmark Revisjon IKS 26

27 Sikkerhetsleders ansvars- og myndighetsområde Sikkerhetsleders ansvar og myndighet fremkommer av lover og forskrifter og er dokumentert i RiskManager. Service- og IT-sjef og sikkerhetsleder gjennomfører sikkerhetsrevisjoner årlig, og skriver rapport. Det skal også være gjennomgang av egenkontrollene og ledelseskontroller i sikkerhetsutvalg (nå: formannskapet/ tidligere: ledergruppa). Dette har ikke skjedd i de siste årene. Kommunen har hatt egenkontroller i , men den er ikke lagt frem for sikkerhetsutvalget (formannskapet). Da RiskManager ble igangsatt i 2004, ble det gjennomført et omfattende arbeid med å etablere og iverksette systemet. Egenkontroller og ledelseskontroller var iverksatt og fungerte. Det ble bestemt fra lederhold at Elverum kommune skulle satse på et kvalitetssystem (Kerbas) og bruken av RiskManager ble stoppet. Det ble satset på Kerbas i 1,5 2 år, men det benyttes ikke nå. Kommunen kom i gang igjen med RiskManager i Sikkerhetsansvarlig er ansvarlig for å melde nye behandlinger til Datatilsynet, samt endringsmeldinger og repetere meldeplikten hvert 3. år. Sikkerhetsleder opplyste å ha kontroll på disse rutinene. Datatilsynet følger opp kommunen og gir signaler, som hun mottar og tar videre opp med systemansvarlig. Kommunen har en portal mot datatilsynet, og at de får en kvittering når de har sendt meldinger. Systemansvarlig IT opplyste at systemansvarlig er den personen som er operativ på vegne av alle i et system, og som eksempelvis kan gi nye tilganger, fjerne tilganger, endre tilganger, registrere grunnlagsdata, endre i tabeller mv Sikkerhetsstrategi Risk Manager ble innført i Service- og IT-sjefen fortalte at kommunen har jobbet mye med sikkerhetsstrategi i forbindelse med innføring av Risk Manager. Service- og IT-sjef opplyste at det ikke har vært endringer i sikkerhetsstrategi etter Risikovurderinger Risikovurderinger skjer også i RiskManager. Risikovurderinger gjennomføres hvert 4. år. Det var ved den siste risikovurderingen at de lyktes med å få gjennomslag for brannsikring, alarm og brannslukking i serverrommet. IT opplyste at risikovurderinger ikke er gjennomført i 2009, trolig ikke etter IT antar at overordnede risikovurderinger har endret seg lite. Den største sikkerhetsrisikoen er i følge IT mennesker i miljøet, og at de er for lite flinke til å skjerme for innsyn, skrivere står i gang/fellesarealer mv, låsing, vite hvem som er hvor, gule lapper etc. Sikkerhetsmål Det er utarbeidet egne sikkerhetsmål ved behandling av personopplyninger. Disse er bekjentgjort i kommunen. Høsten 2008 fikk alle ansatte tilbud på e-post om sikkerhetskurs. Dette retter seg mot innretting av arbeidsplass, håndtering etc. Kurset vil bli gjentatt, men ikke årlig. Kurset er web-basert, og kjøpes av leverandør. Service- og IT har oversikt over hvem som har tatt kurset. Hvis få ansatte tar det, vil IT ta forholdet opp med leder. I sin ytterste konsekvens kan tilganger stenges. Hedmark Revisjon IKS 27

28 Egenkontroll Rutinen for egenkontroll er slik at dette skal gjøres av de ansatte årlig. Egenkontrollen gjennomføres i RiskManager. Her må den ansatte svare på spørsmål rettet mot overordnet informasjonssikkerhet, løpende kontrollaktiviteter, personellsikkerhet, fysisk sikkerhet, elektronisk samhandling og sikring av personopplysninger Sikkerhetsrevisjon Sikkerhetsrevisjon retter seg mot ledelsens gjennomgang av; Sikkerhetsmål Strategier Risikoforhold Organisering av informasjonssystemet Ledelsens gjennomgang skjer årlig og tas med i budsjettarbeidet dersom ledergruppen har konkludert med at det er forhold som må gjøres noe med. Fagsjef som har et fagsystem, skal ha egenkontroll på dette. Hvis dette ikke gjennomføres, blir det fulgt opp av service- og IT-sjef. I sin ytterste konsekvens kan tilganger/applikasjoner stenges. Fullstendig risiko- og sårbarhetsanalyse gjennomføres minimum hvert 4. år. Service- og IT-sjef viste til at en viss risiko vil en alltid måtte leve med, men ledelsen tar stilling til hva som er akseptabel risiko (hva er sikkert nok) Avviksbehandling Det finnes rutine for avviksbehandling i RiskManageren. Alle medarbeidere er ansvarlig for å melde avvik ved å bruke avviksregistreringen i RiskManager web. Et registrert avvik vil bli behandlet av nærmeste leder, og det er den som oppdager avviket som har ansvar for å registrere hendelsen. I følge IT har ikke vært enkelt å få dette til å fungere. IT opplyser at det ikke er meldt et avvik i 2009 mht. sikkerhet. Rutinen er at avvik skal meldes og håndteres i RiskManager. Service- og IT-avdelingens erfaringen er at rutinen for avvikshåndtering ikke fungerer tilfredsstillende. Erfaringen er at avvik meldes ikke ved innbrudd og pc eller lignende som stjeles, men forholdet anmeldes normalt. Utfordringen kan være at ansatte oppfatter det som sladring eller angiveri. Sikkerhetsrelevante hendelser skal registreres i et hendelsesregister, de viste til avvikshåndtering, Rutinen er tenkt benyttet til mer enn avvik på IT-området, men fungerer ikke slik pr. i dag Personalsikkerhet Kommunen har rutiner for sikkerhetsopplæring. Det er gjennomførte en del opplæring når de startet med Risk Manageren, men dette stoppet opp i forbindelse med Kerbas. Kerbas er et kvalitetssystem som kommunen brukte en kort tid.. Det fremkom i intervju at det er usikkert om det har vært noen opplæring som gikk spesielt på sikkerhet, og i hvilken grad fagsjefer fokuserer på dette i sine fagavdelinger. Service- og IT-avdelingen opplyste at kommunen kjører et prosjekt (fornyingsprosjektet) som retter seg mot hva den enkelte bør kunne for å utnytte IT-systemene. Prosjektet er ikke ferdig. Kommunen har i samarbeid med et eksternt firma utarbeidet to serier med e-postopplæring. Den ene serien går på bruk av e-post, og den andre serien går på sikkerhet i hverdagen. Hedmark Revisjon IKS 28

29 For å få autorisasjon til kommunens IT-system må alle ansatte skrive under på skjema som også underskrives av fagsjef eller leder. Skjemaet sendes til IT-avdelingen via servicekontoret. Skjemaet finnes i RiskManager. En del melder ikke fra om ansatte som slutter. IT må derfor gjennomføre jevnlige oppryddinger. Dette gjennomføres omtrent en gang pr. år. Autorisasjoner skal også endres dersom endringen i arbeidsoppgaver tilsier det. Systemteknisk sikkerhet Det er et eget skjema som benyttes for bestilling av tilganger. Skjema for ny tilgang leveres til servicekontoret, som gir det videre til IT. Skjemaet skal signeres av fagsjef, men i praksis er det nærmeste overordnede som signerer. Det skal sendes innmelding (ny tilgang) og utmelding (tilgang fjernes). Endring av rolle kan skje ved at det kommer sluttmelding fra en skole, og bestilling av ny tilgang på annen skole. Det forekommer at det ikke fylles ut skjema, ved endring i rolle, men ofte opprettes det ny tilgang. Ved ny tilgang skal det krysses for hva den ansatte skal ha tilgang til. IT-avdelingen mener at rutinene for ny tilgang fungerer bra, men at det kan være risiko knyttet til manglende sluttmelding. Når lønn mottar sluttmelding, skal de sende kopi til IT. Dette fungerer ikke alltid. Som oftest fanger IT opp at vedkommende har sluttet ved at en mobiltelefon ikke lenger er virksom, eller at identen ikke er i bruk (sperres dersom passord ikke endres etter 60 dager). Service- og IT-avdelingen opplyste at når leder har bestilt ny tilgang til en ansatt, vil brukerident og passord sendes til leder og ikke rett til bruker. Det kan unntaksvis være mulig for en bruker å ringe og si at han/hun ikke har fått brukerident og passord fra leder, og få det muntlig. Det kan forekomme at bruker da får det opplyst, forutsatt at bruker er kjent for IT. I motsatt fall får brukeren beskjed om å kontakte sin leder. Rutiner for tilgang til kommunens datanett, sikker sone IT opplyste at for å komme inn mot lukket nett, må den ansatte gå via åpent nettverk og videre inn mot fagapplikasjon på lukket nett. IT opplyste at ordningen er godkjent som sikker nok av Datatilsynet. Dataene er kryptert. Rutinene er slik at det er tre ledd, før ansatt får tilgang til sikret sone: IT må opprette brukeren med tilgang til Elverum kommunes nett (åpen sone). IT må angi at brukeren skal ha tilgang til fagapplikasjon innenfor sikret sone Systemansvarlig for fagapplikasjonen må gi tilgang For å komme inn på sikker sone, må bruker logge seg på Elverum kommunes åpne nett med brukerident og passord. For å komme inn mot sikker sone, må bruker logge seg på fagapplikasjon med brukerident og passord for fagapplikasjonen. Det varierer hvordan brukerident og passord er bygget opp i de ulike fagapplikasjonene. Service- og IT-avdelingen opplyste at Socio er inndelt med roller som gir tilgang til det den ansatte har behov for å se. Sikker sone tilsvarer lukket nett. Det ikke er mulig å bruke klipp og lim fra lukket nett. Det er ikke teknisk mulig å sende e-post med data fra lukket nett. Det er lagt inn kontroller i systemet slik at en bruker/ansatt ikke ubevisst eller ved en feiltakelse kan sende data ut fra sikker sone. IT gir bistand slik at det er mulig å få dokumenter ut fra sikker sone. I slike tilfeller har bruker aktivt tatt stilling til at dokumentet kan oversendes, og vurdert at det ikke er problematisk i forhold til personsensitive opplysninger. IT går ikke inn i dokumentet og vurderer/kontrollerer den ansattes vurdering. Det er mulig å ta ut opplysninger fra sikker sone på utskrift, skanne og sende pr. e-post. I begge tilfellene må den ansatte gjøre en bevisst, fysisk handling. Hedmark Revisjon IKS 29

30 Den ansatte som skal ha tilgang fra hjemme-pc orienteres om retningslinjer og sikkerhetsinstruks, og skriver under på avtale. Brukeren forplikter seg til å ha oppdatert virusprogram, brannmur mv. IT-avdelingen viste videre til sikkerhetskurset (web-basert, omtalt tidligere) og at ansatt skal få opplæring mht. sikkerhet ved ny tilgang. Det er den enkelte fagsjef som er ansvarlig for at ansatt får/har nødvendig kunnskap mht. sikkerhet. IT-avdelingen opplyste at det er viktig å kontrollere at sikkerheten mht. lukket nett er god. IT har utført slik kontroll. Dersom slik kontroll skal gjennomføres, kreves det teknisk bakgrunn. Dersom ekstern konsulent skal inn i systemet må den aktuelle konsulenten få kode og nummer fra IT-avdelingen. I tillegg må han/hun melde fra om hva som er gjennomført/utført etter at arbeid er utført. Alle konsulenter har skrevet under sikkerhetserklæring i tilknytning til kontrakten med leverandøren(e). Uautorisert bruk Det er ikke fremlagt noen rutine som sikrer at forsøk på uautorisert bruk registreres og lagres i 3 måneder. IT opplyste at kommunen ikke logger denne typen hendelser. IT har oversikt over hvem som har vært inne til enhver tid. Ved uheldige hendelser har kommunen klart å finne hvem som har vært inne på dette tidspunktet og hva brukeren har gjort. IT opplyste at dokumenterte forsøk på uautorisert pålogging på kommunens nett logges. I tillegg gis det beskjed til systemansvarlig. Logging IT-opplyste at rutinen for logging kan variere for de ulike systemene, men generelt logges endringer i systemet. Det logges alltid hvem som er inne når (logger når de går inn og ut). Denne loggen har vært benyttet og de har funnet ut av forhold på bakgrunn av den. Når det gjelder logging av endringer er dette IKT-driftsleders ansvar, men det utføres i praksis av andre ansatte på IT. Systemendringer logges ikke. IT opplyste at de i liten grad blander roller, dvs. at endringer knyttet til fagapplikasjoner utføres av bestemte ansatte. Programmene er normalt hyllevare som de kan gjenanskaffe/finne tilbake til. Endringer vil normalt innebære oppgradering til ny versjon. IT gjennomfører ikke endringer i program. IT opplyste at eksterne konsulenter kan sitte i egne lokaler med fjernpålogging og feilsøke eller utføre jobb mot IT-nettverket. For å komme inn må de kontakte IT for å få koblet seg opp. IT har dermed oversikt over hvem som er inne. Alle konsulentene har avtaler og er sikkerhetsklarert. Alle har egen bruker som er knyttet til en gitt person. I forbindelse med oppstart/overgang til Agresso lønn, har en konsulent at tilgang til nettverket. Tilgangen er tidsbegrenset. IT opplyste at konsulentene normalt ber kommunen ta backup før de starter jobben. Undervegs tar konsulenten selv backup. Konsulentene som har et gitt oppdrag, må kontakte IT før oppkobling. Leverandøren løser problemet og gir tilbakemelding. IT får ikke detaljer dersom det ikke påvirker avdelingen og den jobben de skal gjøre fremover. Administrators endringer i programmer og databaser logges på eget område hvor IKT drift har tilgang. Her ligger beskjeder/logger over hva de andre på IKT drift har gjort/hva som er endret. Hedmark Revisjon IKS 30

31 Taushetsplikt Fra service- og IT-avdelingen fikk vi opplyst at alle medarbeiderne med tilgang til sensitive opplysninger skal skrive under på skriftlig taushetserklæring. Ansvaret for dette ligger på den enkelte leder på fagavdelingene Fysisk sikring Rutine for fysisk adgangskontroll av område og utstyr serverrom IT opplyste at de som har tilgang til serverrommet er service- og IT-sjef, de ansatte på IKT drift og vaktmester. Man må ha nøkkel og kode for å låse seg inn. Dersom du låser deg inn uten å slå kode, går alarmen, og den er koblet rett til 110-sentralen på beredskapssenteret. IT opplyste at alle servere og lagringsenhet står i serverrommet. Sikkerhetstiltakene i serverrommet er brannsikring, alarm, brannslukking med gass, ingen vannrør i rommet, lokalene ligger i kjelleretasje uten vindu eller innsyn. IT opplyste at det ikke er nødstrømsaggregat knyttet til serverrommet. Det er UPS i alle deres enheter, slik at de er sikret mot korte stopp i strømtilførsel. Dersom strømmen blir borte over lengre tid skal det være nok strøm til i UPSene til å ta maskinene ned kontroll. Slik unngår IT en bråstopp i systemet. En USB er en avbruddsfri strømforsyning, en enhet som opprettholder kontinuerlig leveranse av kraft til datautstyret en periode, selv når den eksterne strømforsyningen svikter. Hensikten er å sikre at viktig utstyr ikke mister strømmen hvis strømnettet faller ut, samt å filtrere urenheter i nettet, slik at sensitivt utstyr ikke kollapser. IT-avdelingen, oppbevaring av backup IT benytter en tape robot ved backup, og at backupene oppbevares av IT. Backup oppbevares i et annet bygg enn serverrommet, hos IT. Her er det alarm tilsvarende den i serverrommet. Alarmen der backup oppbevares reagerer på varme. Det er ikke brannvarsling eller slukking der backup oppbevares. IT opplyste at det ikke er fysiske adgangsbegrensninger i IT-avdelingens egne lokaler når kontoret er bemannet. De ansatte sitter i kontorlandskap slik at de vil ha oversikt over hvem som kommer inn og hvor de går/befinner seg. Når de ikke er der, låses døren og det er alarm som går direkte til Securitas. Gjenbruk og avhending av utstyr Rutinen for gjenbruk og avhending av utstyr er at alt IT-utstyr som ikke er i bruk, skal leveres til driftssentralen for gjenbruk. Dersom servere eller harddisker kastes, blir de skrudd ut og slått i stykker. Dette gjelder spesielt for harddisker fra serverrom. Det ikke føres logg over utstyr som kasseres/kastes. Det foreligger således ingen oversikt over utstyret og at det faktisk blir ødelagt og at alt blir levert inn til IT Intern og ekstern dataoverføring IT opplyste at alle data overføres på leide linjer hvor andre ikke skal kunne komme inn, det er firewall i begge ender av linjen. Linjene leies av Eidsiva. Ved bruk av såkalt Token hjemmefra/andre steder blir data kryptert Innsynsrett Rutinene sikrer brukeren nødvendig innsyn. IT viste til bestemmelsen om partsrettigheter, jf. forvaltningsloven. Dette håndteres i SAK/ARKIV. Hedmark Revisjon IKS 31

32 5.2.5 Post arkiv og servicekontor- IT-sikkerhet IT-sikkerhet generelt er omhandlet i punktene i rapporten. Dette kapitlet omhandler IT-sikkerhet for fagsystemene og fellessystemene vedrørende post, arkiv og servicekontor Organisering av IT-miljøet Vår gjennomgnag av IT-sikkerheten i Elverum kommune har vi valgt ut systemene for post, arkiv og servicekonto for nærmere gjennomgang. Post, arkiv og servicekontor benytter følgende systemer; ACOS WebSak. ACOS møtebehandling ACOS internett/intranett ACOS søknadssenter søknad på stillinger, barnehageplass, sfo mv. Outlook, portal/intranett Exchange internstøtte (e-post og kalender) Trio present sentralbordsystem, Pc-system for kasse og tilgang til kinosystemet i tilknytning til billettsalg. Skjemaene hentes opp via internett. Post arkiv og servicekontor opplyste at alle systemer fra ACOS er integrert med hverandre slik at det som registreres i digitale skjemaer (9 stk) overføres inn i SAK/ARKIV. Dette gjelder ikke registreringer med personvernkonsekvens. Systemene er levert av ACOS i Bergen. IT opplyste at de leier Internetthotell hos ACOS for å sikre at internett er oppe. Det diskuteres tilsvarende løsning for digitalisering av byggesaksarkiv. Det ble presisert at systemer innenfor lukket nett, ikke er integrert med andre systemer. Alle systemene fra ACOS er integrert/koblet mot WebSak slik at når en person søker jobb via søknadsadministrasjon så vil opplysningene i søknaden overføres til WebSak. Opplysningene kontrolleres slik at rett opplysning kommer inn på rett sted, men opplysninger må ikke registreres på nytt. Datatilsynet har hatt en kontroll systemene, ved besøk i Elverum kommune. Personnummer finnes på utrolig mange dokumenter og i mange sammenhenger. Det har derfor forekommet at et dokument med personnummer har blitt lagt ut med tilgang for allmennheten på postlista. Dersom slike dokumenter ikke er relevant i forhold til saken, eksempelvis svenne- eller fagbrev som følger søknader etter plan og bygningsloven, så skannes de ikke. Videre skal skanneren kunne blanke ut felt med personnummer, slik at det ikke blir lesbart. Postlista for dagens post legges ut kl eller før de ansatte går hjem for dagen. Postlista inneholder post mottatt samme dagen. Saksbehandler er ansvarlig for at utgående post graderes der dette er hjemlet i offentleglova. Her forekommer det en del feil, slik at ansatte på post/arkiv må sjekke all utgående post, før de legger ut postliste for dagen. For inngående post er det ansatte på post/arkiv som fører på hjemmel, men saksbehandler har også et ansvar for å kontrollere denne. Systemansvarlig Systemansvarlig for fagsystemene for post, arkiv og service er service- og IT-sjef, i praksis samme person som er sikkerhetsleder. Systemansvarlig kan være en sikkerhetsrisiko og kan teoretisk tildele seg selv (eller andre) tilganger de ikke skal ha. IT opplyser at dette aldri har vært noe problem. Hedmark Revisjon IKS 32

33 Avviksbehandling Post, arkiv og servicekontor opplyste at rutinen for avviksrapportering ikke fungerer som forutsatt. Avvik meldes normalt ikke Personalsikkerhet Systemteknisk sikkerhet Rutiner for tildeling av tilgang og rettigheter i systemene. Den enkelte fagsjef bestiller/gir melding til IT om tilgang for den ansatte. Den ansatte tildeles rolle i systemet. Rollen samsvarer med hva den ansatte skal kunne utføre. For fellessystemene har den ansatte tilgang, når IT har opprettet brukeren. For fagsystemene må systemansvarlig i tillegg gi den ansatte tilgang. Fagsjef for service- og IT er service- og IT-sjef. Hun har ansvaret for tilganger, men i praksis utføres arbeidet av prosjektleder IT/sikkerhetsansvarlig. Arkivleder gir tilgang i post og arkivsystemet, etter at ident er opprettet av IT. Ansatte tildeles tilgang etter hvilken rolle han/hun skal ha i systemet (saksbehandler/arkivansvarlig/leder). Rollen styrer hva du får gjort og hva du kan se. Alle brukere har egne brukerident og eget passord i systemet. Du har identifisert deg når du logger på systemet. Når bruker logger på med sin brukerident og passord, kommer han/hun inn i websak og får åpnet og ser det som følger av tildelt rolle. Offentlige dokumenter kan alle se. For graderte dokumenter vil ansatt kun se det som gjelder egen avdeling. Koder styrer også hvem som ser hva, og kode P = personalsak. Disse kan kun leder se. Kode E =Elevsaker som kun leder på skole kan se. Alle fagsystemer i lukket nett gir meget begrenset tilgang. Her ligger de mest personsensitive opplysningene. I NLP (lønns- og personalsystem) må IT gi tilgang. I tillegg gir systemansvarlig tilgang til de enkelte bildene i systemet Taushetsplikt Rutine er at alle ansatte skal skrive under på taushetserklæring Fysisk sikkerhet Rutinene for fysisk adgangskontroll av område og utstyr. I servicekontoret er det alltid bemanning bak skranken. Dette gir god kontroll og oversikt over hvem som oppholder seg der og hva de gjør. Dette kan være annerledes andre steder i rådhuset. Politikerne ønsker såkalt åpen dør. Dette innebærer en sikkerhetsrisiko, eksempelvis ved at ansatte går til pause uten å låse dører, logge ut av IT-system etc Annen databehandler Det er egen databehandlingsavtale mht. søknadsadministrasjon Innsyn Det er fult innsyn på alt som legges ut på nett, dersom det ikke er gradert. Partsrettigheter iht. forvaltningsloven gir rett til innsyn. Ved tvil bistår kommunens egen juridiske rådgiver NAV-Elverum IT-sikkerhet Socio IT-sikkerhet generelt er omhandlet i punktene i rapporten. Dette kapitlet omhandler IT-sikkerhet for fagsystemet (sosialsystemet) Socio. Hedmark Revisjon IKS 33

34 Den statlige lokale sikkerhetsinstruksen som gjelder for NAV kontorer benyttes. Den statlige lokale sikkerhetsinstruksen bygger på avtaler mellom KS og stat. NAV opplyser at de forholder seg både til statlige og kommunale dokumenter når det gjelder risikovurderinger og beredskap. I intervju med systemansvarlig ble det opplyst av systemansvarlig at NAV-Elverum forholdt seg til de statlige og ikke de kommunale retningslinjene/instruksene for IT-sikkerhet. Dette ble verifiser av systemansvarlig i referatet fra møtet. Senere tok systemansvarlig kontakt og opplyste at opplysningen ikke medførte riktighet. Etter samtaler med ledelsen hadde det fremkommet at denne opplysningen var feil. Systemansvarlig fikk referatet til ny verifikasjon, hvor forholdet ble endret til at de ansatte på NAV-kontoret i Elverum forholder seg til den statlige Lokale sikkerhetsinstruksen. I e-post fra NAV fikk vi utdypet dette; NAV er et likeverdig partnerskap mellom stat og kommune, vi forholder oss til begge etaters sikkerhets og beredskaps rutiner og dokumenter. Vi har alle ansatte tilganger til de enkelte ikt-systemer men med forskjellige tilgangsnivåer ut i fra roller vi har og de rammer som er satt av kommune og nav på dette. Hver av etatene forholder seg selvsagt til rammer for personvern og ikt-sikkerhet er det generelt veldig stort fokus på. Risk manager til kommunen styrer selvsagt håndtering av personopplysninger i IKT-systemer og det gjør også NAVs sikkerhetsdokument for personopplysninger i IKT-systemer som alle må skrive under på at de er kjent med. Kommunen har ikke noe underskriftsdel på dokumentene sine men ligger bundet opp i taushetserklæring som omfatter alle NAVs arbeidsområder og som alle ansatte må skrive under på. Det blir derfor feil å sette i rapporten at Nav Elverum ikke forholder seg til kommunens sikkerhets- og beredskapsdokumenter. Videre er det kommunens egen IT-avdeling som har vedlikehold og oppdatering av deres utstyr og systemer på lik linje med at det er statlige rammer for vedlikehold og oppdateringer av de systemene. Ikke noe av dette håndteres på Nav Elverum sitt kontor men i spesial avdelinger Organisering av IT-miljøet Vi fikk utdelt et organisasjonskart over NAV-Elverum. Vår gjennomgang retter seg mot ITsikkerhet i kommunens nett. Socio og kø-systemet er de eneste kommunale IT-systemet som benyttes. Dette er standard systemer. Vi har begrenset prosjektet til sosialsystemet Socio. NAV-Elverum opplyste at fagsystemet Socio er saksbehandlingsverktøyet som brukes for sosialhjelp. Dette ligger i kommunens nett. Kø-systemet i mottaket ligger også på kommunens nett. Øvrige systemer er statlige og ligger på statlig nett. Disse systemene inngår i følge IT i kommunens felles IT-sikkerhetstiltak. Team-leder for mottaksteamet er ansatt i kommunen. Vedtak om økonomisk sosialhjelp fattes både av veiledere i mottaksteamet og oppfølgingsteamet. Forvaltningsavdelingen for sosialhjelpssaker ligger i mottaksteamet. Teamet består av ca. 18 ansatte. Vi fikk opplyst at NAV kontoret i Elverum har skrevet under på en lokal sikkerhetsinnstruks. Denne heter Internkontrollsystem" for personvern, informasjonssikkerhet og beredskap. Denne instruksen er utarbeidet av staten sentralt. Vi fikk et eksemplar av denne instruksen. Det er denne instruksen de forholder seg til når det gjelder IT-sikkerhet og ikke kommunens rutiner i RiskManager. NAV forholder seg til både statlige og kommunale sikkerhets- og beredskapsplaner. Saksbehandler kan ha behov for å skrive ned journalnotater. Dette kan være ved telefonsamtaler etc. Disse notatene ble tidligere skrevet i Socio, men skrives nå inn i det statlige systemet Arena. Arena er et statlig hovedverktøy i NAV(oppfølgingsverktøyet i NAV). Alle pengeutbetalinger foregår over Socio. Kontoplanen til kommunen ligger inne i Socio. Hedmark Revisjon IKS 34

35 Personkortet, viser sosialhjelpsutbetalinger, statlige trygdeutbetalinger etc. Journalnotater som legges inn i Arena hakes av for kontorsperret og dermed er det kun ansatte ved NAV Elverum som ser informasjon, dvs. det som vedrører Elverum. Alle saksbehandlere i NAV er tilsluttet Arena som er oppfølgingsverktøyet i NAV. Dette ligger på statens nett. Elverum kommune har en databehandlingsavtale med NAV Elverum (kommunal) sosial. Alle kommunalt ansatte og statlig ansatte i NAV Elverum skal kunne gjøre alle oppgaver, både statlige og kommunale. Dette innebærer at tilnærmet alle ansatte hos NAV Elverum har brukerkonto og tilgang til IT-systemet i Elverum kommune. All pengehåndtering (økonomisk sosialhjelp) skjer i Socio. Remitteringsfilen i Socio, sendes til kommunekassen som sender denne videre til banken for utbetaling. I tillegg produseres det en papirversjon, manuell remitteringsliste med ev. vedlegg som brukes som bilag i kommunens regnskap. To personer skriver under på denne, dvs. anvisning og attestasjon. Det er en deling av utgifter til NAV-kontoret mellom kommune og stat iht. avtale. Forbindelsen til kommunen er tynnklientløsning. Alt IT-utstyr anskaffet ved statlige rutiner og kommunens IT-avdeling er ikke inne i bildet. Det er kun programmet Socio og KØ-systemet i kundemottaket som ligger på kommunens nett. IT leverer bare tynn klient på sikker sone. Det er to kommunale pc-er i mottaket. Disse brukes til Kø-systemet i mottaket. Det er både et statlig og et kommunalt nettverk i veggene. Det er eget fysisk nettverk for å drifte Socio og køsystemet. Systemansvarlig Tre personer er systemansvarlig for fagsystemet Socio. Dette er leder for mottaksteamet ved NAV Elverum og to saksbehandlere i NAV Elverum. Systemansvarlig er også orientert om at service- og IT-sjefen er leder for kommunens IT avdeling og har ansvaret for kommunens sikkerhet og beredskapsplaner Avviksbehandling Rutine for avvikshåndtering virker lite kjent i NAV Elverum Personalsikkerhet Systemteknisk sikkerhet Den enkelte fagsjef bestiller/gir melding til IT om tilgang for den ansatte. Den ansatte tildeles rolle i systemet. Rollen samsvarer med hva den ansatte skal kunne utføre. For fellessystemene har den ansatte tilgang, når IT har opprettet brukeren. For fagsystemene må systemansvarlig i tillegg gi den ansatte tilgang. Fagsjef for Socio er leder for NAV-Elverum. Hun har ansvaret for tilganger, men i praksis utføres arbeidet av systemansvarlig. Årsaken til at alle ansatte skal ha tilgang til alle systemer er at de skal se brukeren som helhet. Av service- og IT-sjefen fikk vi opplyst at ingen av de ansatte på NAV har tilgang til Socio fra hjemmepc. Alle fagsystemer i lukket nett gir meget begrenset tilgang. Her ligger de mest personsensitive opplysningene. Alle NAV-ansatte i Elverum har tilgang til Socio. Dette gjelder både statlige og kommunalt ansatte. Tilgangene er differensiert. De fleste har kun saksbehandlertilgang. Kun de veilederne som jobber med sosialhjelpssaker har godkjenningsfullmakt for vedtak i Socio. Alle brukere har egne brukerident og eget passord i systemet. Du har identifisert deg når du logger på systemet. NAV-Elverum er på statlig datanett. For å kunne bruke Socio må det trykkes på valg av kommunal desktop for å komme inn på kommunens nett. Først må de ha Hedmark Revisjon IKS 35

36 tilgang til kommunens nett, deretter til lukket nett i Socio. Det er ikke mulig å kopiere fra lukket nett til statlig nett. Dette på grunn av datasikkerhet. Det er ikke mulig å ta ut opplysninger fra lukket nettverk til en usb-penn. Det lar seg heller ikke gjøre å bruke klipp og lim inn funksjonen fra lukket nett. Ansatte med tilgang til lukket nett, har tilgang også hjemmefra. IT-avdelingen i Elverum kommune har ingen rolle i forhold til det statlige nettverket. Endringer i tilganger til Socio foregår løpende etter behov. Ved vikariater legges ofte passord inn med en tidsbegrensing tilsvarende arbeidskontrakten. Det foretas en ryddejobb noen ganger i løpet av året av systemansvarlige som går inn og passiviserer ansatt som har sluttet inne i Socio. I tillegg har systemansvarlig opprydding i tilganger to ganger pr. år hvor hun går bort til kommunens it avdeling og sletter identer. Når veiledere ved NAV-Elverum slutter sperres det første passordet (brukerident på nivå 1) som brukes for å logge seg inn på systemet, dermed sperres også all tilgang til kommunal desktop og Socio. Sperringen skjer fra den datoen veilederen slutter. Inn- og utmeldinger av tilganger foretas løpende av de med systemansvar. Systemansvarlig oppgir at hun har egne gjennomganger 2 ganger pr. år for å sikre at det er de rette personene som har tilganger. Slettede tilganger vises som grå i systemet, men blir ikke borte fra systemet. Alle tilgangene er rettigheter iht. behov. Egne skjemaer på kommunens internettside tas ut på papir og benyttes ved inn- og utmeldinger av tilganger. NAV-Elverum er i følge IT knyttet til kommunens nett som tynnklient. Det brukes såkalt terminalserverløsning (tynnklient) som løsning i hele kommunen med unntak av noen vanlige maskiner i rådhuset. Ved tynnklien er det ingenting lagret/installert på de enkelte PC-ene foruten klientprogramvare for å kunne logge seg på serveren. Alle ansatte ved NAV Elverum har tilgang på Socio. Det er mange forskjellige tilganger til systemet. Det er tre mest relevante typer tilganger i Socio for ansatte på NAV-Elverum er; Systemansvarlig Har alle rettigheter (ikke godkjenningsmyndighet). Saksbehandler Denne tilgangen gir adgang til å skrive vedtak, men de får ikke godkjent vedtakene. Mange bruker denne tilgang kun for å lese opplysninger om bruker. Konsulent Denne tilgangen gir adgang til å godkjenne vedtak iht. eget delegasjonsreglement utenfor Socio. Delegasjonsreglementet regulerer i forhold til nivået på sakene. Delegasjonsregelementet er en del av Risk Management. Merkantil Denne tilgangen gir adgang til å kjøre remitteringsrutinen. Kan godkjenne vedtak iht. eget delegasjonsreglement utenfor Socio. Delegasjonsreglementet regulerer i forhold til nivået på sakene. Hedmark Revisjon IKS 36

37 Taushetsplikt De ansatte skal ha skrevet under på taushetserklæring som omfatter NAV-loven, forvaltningsloven og sosialtjenesteloven og statlig sikkerhetsinstruks. Vi fikk fremlagt et eksempel på taushetserklæring som benyttes for NAV-ansatte i Elverum Fysisk sikkerhet Rutinene for fysisk adgangskontroll av område og utstyr. Mottaksrom/publikumsrom er det eneste rommet hos NAV Elverum hvor publikum i åpningstiden kan komme ved egen hjelp. Alle øvrige områder er fysisk sikret ved adgangskontroll med kort og kode. Dette gjelder også alle dører innenfor skallsikringen. Den enkeltes kontor låses ikke da skallsikringen er ansett for å være dekkende fysisk sikring Annen databehandler Annen databehandler enn kommunen benyttes ikke for Socio. 5.3 Lov og forskrift om behandling av personopplysninger Lov om behandling av personopplysninger (personopplysningsloven) har bestemmelser om formål og virkeområde i kapittel 1. Lovens 1 har som formål å beskytte den enkelte mot at personvernet blir krenket av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Når det gjelder definisjoner og begreper henvises det til rapportens vedlegg 1 1. I følge lovens 3 er virkeområdet behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, og annen behandling av personopplysninger når disse inngår eller skal inngå i et personalregister. Loven gjelder ikke behandling av personopplysninger som den enkelte foretar for rent personlig eller andre private formål. Lovens kapittel 2 har alminnelige regler for behandling av personopplysninger. Personopplysningslovens 13 omhandler informasjonssikkerhet. Her pålegges den behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet ved behandling av personopplysninger. For å oppnå tilstrekkelig sikkerhet skal behandlingsansvarlig og databehandler dokumentere informasjonssystemet og sikkerhetstiltakene. Dette omfatter å sørge for at tilstrekkelig sikkerhetsfaglig kompetanse er tilgjengelig hos den behandlingsansvarlige. I tillegg til ansvar for sikkerheten i egen organisasjon, må den behandlingsansvarlige også forsikre seg om at informasjonssikkerheten er tilfredsstillende hos kommunikasjonspartnere og leverandører. Begrepet informasjonssikkerhet omfatter: Sikring av konfidensialitet, dvs. beskyttelse mot at uvedkommende får innsyn i opplysningene. Sikring av integritet, dvs. beskyttelse mot utilsiktet endring av opplysningene. Sikring av tilgjengelighet, dvs. sørge for at tilstrekkelige og relevante opplysninger er til stede. I lovens 14 omhandler internkontroll. Tilfredsstillende informasjonssikkerhet skal oppnås ved hjelp av etablering av og holde vedlikeholde planlagte og systematiske tiltak. Begrepet innebærer at kjente teknikker og anerkjente standarder for kvalitetsstyring, internkontroll, og 1 Vedlegg 1: Definisjoner og begreper Hedmark Revisjon IKS 37

38 informasjonssikkerhet, skal legges til grunn ved sikkerhetsarbeidet. De tiltak som etableres, skal være både organisatoriske og tekniske. Sikkerhetstiltakene og selve informasjonssystemet skal dokumenteres. Dokumentasjonen skal omfatte beskrivelse av organisering, rutiner for bruk samt registrering av hendelser. Dokumentasjonen skal være tilgjengelig hos den behandlingsansvarlige og databehandleren. Som beskrevet i Ot.prp. nr. 92 ( ) side 114 i merknadene til personopplysningsloven 13, er det ikke mulig å pålegge uttømmende og detaljerte regler for informasjonssikkerhet. Sikkerhetstiltak må etableres etter en konkret vurdering av de personopplysninger som behandles i forhold til de trusler mot informasjonssikkerheten som er til stede. Denne vurderingen skal utføres av den behandlingsansvarlige med utgangspunkt i et styringssystem for sikkerhet. Det er kravene til dette styringssystemet som beskrives i kapittel 2 i forskriften. Forskrift om behandling av personopplysninger (personopplysningsforskriften) har bestemmelser om informasjonssikkerhet i kapittel 2. Vår gjennomgang tar utgangspunkt i de enkelte paragrafene i forskriften. Kommentarene under de enkelte paragrafene bygger på Datatilsynets egne kommentarer til forskriften og anses å være foretrukken praksis. Forskrift 2-1 Forholdsmessig krav om sikring av personopplysninger Reglene i dette kapittelet gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet er nødvendig å sikre konfidensialitet, tilgjengelighet og integritet for opplysningene. Der slik fare er til stede skal de planlagte og systematiske tiltakene som treffes i medhold av forskriften, stå i forhold til sannsynligheten for og konsekvens av sikkerhetsbrudd. Bestemmelsen avgrenser reglene i dette kapittelet til kun å gjelde behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. For manuelle behandlinger som omfattes av personopplysningsloven, gjelder kun de generelle reglene om informasjonssikkerhet i loven 13. Bestemmelsen avgrenser sikkerhetsreglene til kun å gjelde for behandlinger der det av hensyn til den enkeltes personvern er nødvendig å sikre konfidensialitet, tilgjengelighet eller integritet for opplysningene. Videre skal sikkerhetstiltak implementeres i forhold til sannsynlighet for og konsekvens av sikkerhetsbrudd. Avgrensningene er viktig for å unngå at det etableres for omfattende sikkerhetstiltak. I vurderingen av om sikkerhetstiltak er nødvendig, er opplysningenes art og den fare for tap av liv og helse, økonomisk tap, eller tap av anseelse og personlig integritet behandlingen kan medføre, avgjørende. Det faktum at sensitive personopplysninger behandles, gir ikke alene en anvisning av hvilke sikkerhetstiltak som er nødvendig. Videre vil også andre opplysninger enn sensitive personopplysninger kunne være omfattet av taushetsplikt og dermed ha behov for sikring av konfidensialitet. Som eksempler på vurdering av sikkerhetsbehovet, kan nevnes at konfidensialitetssikring normalt vil være mindre nødvendig ved behandling av opplysninger om fagforeningstilhørighet enn for behandling av sensitive personopplysninger for øvrig. Videre vil det for enkelte spesielle behandlinger av helseopplysninger være like nødvendig å sikre opplysningenes tilgjengelighet som konfidensialitet, for å hindre fare for tap av liv og helse. I kapittel og har vi vurdert kommunens etablerte rutiner i forhold til om de tilfredsstiller lov, forskrift og regelverk. I kapittel har vi også vurdert om et utvalg av de etablerte rutinene fungerer i praksis. Hedmark Revisjon IKS 38

39 5.3.1 Sikkerhetskopiering av data, kriseløsninger Forskrift 2-12 Sikring og tilgjengelighet Det skal treffes tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Sikkerhetstiltakene skal også sikre tilgang til annen informasjon med betydning for informasjonssikkerheten. Alternativ behandling skal forberedes for de tilfeller informasjonssystemet er utilgjengelig for normal bruk. Personopplysninger og annen informasjon som er nødvendig for gjenoppretting av normal bruk, skal kopieres. Bestemmelsen pålegger den behandlingsansvarlige å sikre nødvendig innsyn i opplysninger slik at behandling av personopplysninger kan gjennomføres som besluttet. Det skal også sikres tilgang til informasjon om informasjonssystemet og om sikkerhetstiltak når dette er nødvendig for sikkerhetsarbeidet. Valg av hvilke opplysninger som det skal sikres tilgjengelighet for, og hvilke sikkerhetstiltak som må etableres, følger av resultatet av risikovurderingen. For personopplysninger som det skal sikres tilgjengelighet for, må den behandlingsansvarlige forberede alternativ behandling for de tilfeller informasjonssystemet ikke er tilgjengelig. Alternativ behandling kan gjennomføres ved duplisering av utstyr/ program, eller ved hjelp av manuelle behandlingsrutiner. Den behandlingsansvarlige skal reservekopiere (ta backup av) personopplysningene. Kravet til reservekopiering gjelder også for annen informasjon når dette er nødvendig for sikkerhetsarbeidet, eksempelvis for program og innstillinger av program, benyttet i sikkerhetstiltak Etablert rutine Rutinen for sikkerhetskopiering er ikke fullt ut tatt inn i et eget dokument i RiskManager. Av rutinen for IKT-ansvarliges ansvars- og myndighetsområde fremgår det at IKT-ansvarlig bl.a har ansvar for backuprutiner. I RiskManager ligger dokumentet retningslinjer for personvern og IT-sikkerhet. Under punkt for backup er det rutiner for sikkerhetskopiering. Det skal tas backup av serveren daglig. Det skal være 2 ukesett og 12 måneders sett. Dette innebærer at kommunen i verste tilfelle ikke vil miste mer enn 1 dags arbeid. Det tas ikke backup av noen data på den enkelte arbeidsstasjon og ingen data skal lagres her. Vi har i samtaler med Service- og IT-sjefen og IKT-driftsleder fått en beskrivelse av rutinene de praktiserer vedrørende backup- og sikkerhetskopiering. Service- og IT-avdelingen opplyste at det tas backup hver kveld/natt. Dette skjer automatisk og det kontrolleres av IKTavdelingen morgenen etter. IKT-driftsleder har ansvaret for backuprutinen. Det kjøres backup av databaser og endringer hver natt. Større systemjobber kjøres i helger, dvs. backup av system (større, mer fullstendig backup). Backup er automatisert ved at en tape robot er satt opp slik at backup tas. Systemet er satt opp slik at IKT-driftsleder får sms-varsling mht. backup, dvs. om backup er tatt og om de er utført som forutsatt. I etter tid sjekkes det nøyere at backup er ok. Back-up oppbevares i et annet bygg enn rådhuset. Dersom det skulle skje en katastrofe i serverrommet, vil backup sikre mot at data går tapt. Maskinvare må imidlertid settes opp på nytt, noe som vil medføre driftsstans. Service- og IT-avdelingen mangler en god oppbevaringsplass for taper (backup) som er tatt og som oppbevares av IT. Det er vurdert om det skal bestilles safe til formålet. Det var også vurdert hvor lenge IT skulle ta vare på tapene. Hittil har de tatt vare på alle. Personvernlovgivningen stiller krav om hvor lenge personopplysninger kan lagres. Det lar seg ikke gjøre å slette deler av informasjonen som ligger på tapene (teknisk), se også omtale Hedmark Revisjon IKS 39

40 under søknadsadministrasjon. Det ble opplyst at for å få ut informasjon som er tatt ut fra sikker sone, som ligger på tapene, må en ha nødvendig programvare. IT opplyste at de benytter 5 12 disker(diskhyller) sammen slik at hvis noen får tak i en eller to disker, vil de bare får brøker av informasjonen Test av etablert rutine Vi har valgt å kontrollere hvordan rutinene for sikkerhetskopiering (backup) fungerte i praksis. Sammen med sikkerhetsleder og IKT-driftsleder observerte vi hvilke sikkerhetskopier som forelå og sikkerheten rundt sikkerhetskopiene og IT-avdelingen generelt. Det forelå ikke 2 ukesett og 12 månedsett med backup fra serveren. IKT-driftsleder opplyste at de siste backupene lå på taperoboten. Denne sto i et eget rom. IT tar ut månedstaper når taperoboten er full. Rutine stemmer derfor ikke med RiskManager, men skal være dekkende for kravet der. IT kan ikke ta ut noe fra taperoboten uten passord. Det er ingen rutine for makimal oppbevaringstid av sikkerhetstaper. Backup oppbevares på IT-avdelingen som er i et annet bygg enn serverrommet. Sikkerhetskopiene på tape lå løst i en hylle i det åpne kontorlandskapet. De var merket med hva de inneholdt, men ikke gradert mht. sikkerhet. Det ble opplyst at det nå var bestilt brannsikkert skap/safe for sikkerhetskopiene Revisors vurdering og konklusjoner Vi har vurdert kommunens rutiner for sikkerhetskopiering og oppbevaring av sikkerhetskopier mot bestemmelsene i forskriften 2-12 sikring og tilgjengelighet. Kommunen har etablert rutiner slik at backup tas jevnlig. Backupene tas og oppbevares i et annen bygg en rådhuset. Dette er veldig bra for IT-sikkerheten. Backupene vil sikre at viktige data ikke går tapt dersom serverrommet skulle bli utsatt for en katastrofe. Rutinene for backup er delvis skriftlige. Forskriftens 2-16 krever at rutiner av betydning for informasjonssystemet og annen informasjon med betydning for informasjonssikkerheten, skal dokumenteres og oppbevares i 5 år. Vår vurdering er at skriftlige rutiner for hele backup-rutinen bør etableres iht. forskriftens Videre konstaterer vi at backup, også de som vedrører sikker sone, oppbevares i hyller i IT-avdelingen. Det er høy grad av sikkerhet rundt sikker sone/lukket nett i IT-systemet. Socio er på lukket nett og NAVs lokaler er skallsikret ved fysisk sikring. Skallsikringen innebærer at man må ha kort og kode for å komme inn i alle NAVs lokaler, med unntak av publikumsmottaket. Vår vurdering er at backup må undergis den samme sikkerheten som selve systemene. Backup vedrørende sikker sone må undergis de samme sikkerhetsreglene som selve behandlingen av disse i sikker sone. Dette kan løses ved at backupene oppbevares i et tilstrekkelig sikret brannsikkert skap/safe. Vi har vurdert kommunens rutiner for sikring og tilgjengelighet opp mot bestemmelsene i 2-12 sikring og tilgjengelighet. Med unntak av våre merknader er det vår vurdering at kommune har gode backuprutiner med kopiering av personopplysninger og annen informasjon som er nødvendig for å gjenopprette normal bruk. Våre undersøkelser viste at de etablerte rutinene som vi har testet vedrørende sikkerhetskopiering ikke fungerte fullt ut i praksis. Vårt inntrykk var at rutinene var gode, men at rutinene for bruk av taperoboten ikke var i samsvar med rutinene i RiskManager. Hedmark Revisjon IKS 40

41 5.3.2 Personvern Forskrift 2-2 Pålegg fra datatilsynet Datatilsynet kan gi pålegg om sikring av personopplysninger og herunder fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Bestemmelsen understreker Datatilsynets påleggskompetanse etter personopplysningsloven 46 når det gjelder informasjonssikkerhet. Datatilsynet kan gi pålegg om at bestemmelsene i dette kapittelet følges. Videre kan Datatilsynet stille sikkerhetsvilkår, og herunder pålegge etablering av konkrete sikkerhetstiltak for en bestemt behandling av personopplysninger. Den behandlingsansvarlige skal fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger, jf Av hensyn til et harmonisert og tilfredsstillende sikkerhetsnivå, kan slike beslutninger overprøves i de tilfeller der Datatilsynet ikke finner informasjonssikkerheten tilfredsstillende, jf. personopplysningsloven 13. I arbeidet med å beskrive nivåer for akseptabel risiko, bør Datatilsynet samarbeide med de berørte virksomheter, bransjeorganisasjoner og myndigheter Etablert rutine/oppfølging av Datatilsynets kontroll i 2008 Elverum kommune hadde tilsyn fra Datatilsynet i Vi henviser til endelig kontrollrapport av og vedtak av Bakgrunnen for kontrollen var at Datatilsynet hadde fått signaler om at det i digitale skjemaer ble sendt personopplysninger som personnummer, bankkontonummer mv. Elverum kommune ble plukket ut for kontroll. Kommunen fikk avvik mht. søknadsadministrasjon og lagring av data. Dette avviket er ikke lukket av tekniske årsaker. Rapport og vedtak fra datatilsynet følger som vedlegg 36 til rapporten. Når Elverum kommune fikk brev fra datatilsynet, hvor det sto varsel om vedtak, ble dette misforstått. Kommunen ventet på det endelige vedtaket, men dette var varselet om vedtak. Kommunen fikk derfor purring fra Datatilsynet. Revisjonen har mottatt kopi av svarbrevet til Datatilsynet, og fikk senere tilsendt kopi av sikkerhetsdokument for søknadsadministrasjon og databehandlingsavtale (behandler data utenfor rådhuset, på server hos ACOS, før det kommer til kommunen). Begge ble utarbeidet etter tilsynet fra datatilsynet. Datatilsynet hadde opprinnelig 6 punkter som de bemerket. Dette var; Oversikt over behandlinger og behandlingsgrunnlag. Mangler i avtalen med ACOS Internkontroll. Etablering av kvalitetssystemet for lite forankret i ledelsen i kommunen og for lite kjent hos de ansatt vedrørende bl.a. avvikshåndtering Fødselsnummer. Kommunen må vurder behovet for fødselsnummer i sitt saksbehandlingssystem og slette i de tilfeller bruken ikke tilfredsstiller lovens krav Informasjonsplikt. Dagens informasjon til brukerne er ikke tilfredsstillende. Krav om informasjonssikkerhet. o Sikkerhetskopiering. Manglende sletting av data fra sikkerhetskopier o Systematisk oversikt over informasjonssystem ikke verifisert o Avvikshåndtering. Slike rutiner er ikke implementerte Revisjon av skjemaer. På generelt grunnlag anbefalte Datatilsynet en gjennomgang av kommunes skjemaer. Datatilsynet var i følge sikkerhetsleder fornøyd med oppfølgingen kommunen gjennomførte, med unntak av at det ikke er mulig å slette personnummer på søkere fra backup. Det innebærer at personnummer på søkere oppbevares utover den tiden som er tillatt. Med dagens teknologi Hedmark Revisjon IKS 41

42 er det i følge sikkerhetsleder ikke mulig å gjennomføre sletting av utvalgte data i en backup. Datatilsynet er informert om forholdet, men opprettholder vedtaket om at kommunen må slette personnummer. ACOS har gitt signal om at teknologien ikke finnes på dette tidspunkt. De antar at teknologien vil komme som følge av teknologisk utvikling Test av etablert rutine Vi har ikke valgt å teste rutiner i dette avsnittet, ut over å konstatere resultatet av Datatilsynets gjennomgang og hvilke avvik som ikke er lukket Revisors vurdering og konklusjoner Vi har vurdert kommunens rutiner for oppfølging av Datatilsynets kontroll og pålegg i Pålegg fra Datatilsynet om sletting av fødselsnummer fra saksbehandlingssystemet der det ikke foreligger hjemmel for slik oppbevaring, jf Personopplysningsloven 12 og 11 jf 8 og 9, er ikke lukket. Kommunen opplyste at dette pr. i dag ikke var teknisk mulig å lukke. Dersom vi ved vår gjennomgang har funnet avvik som tidligere er påpekt av tilsynet, vil dette fremgå under det enkelte kapittel i vår gjennomgang Forskrift 2-3 Sikkerhetsledelse Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene i dette kapittelet følges. Formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi, skal beskrives i sikkerhetsmål. Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig gjennomgås for å klarlegge om den er hensiktsmessig i forhold til virksomhetens behov, og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Resultatet fra gjennomgangen skal dokumenteres og benyttes som grunnlag for eventuell endring av sikkerhetsmål og strategi. Bestemmelsen understreker at det er den behandlingsansvarlige, ved virksomhetens daglige ledelse, som skal sørge for tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13, og dermed har ansvar for at bestemmelsene i dette kapittelet følges. Virksomhetens ledelse skal utøve dette ansvaret blant annet ved å beskrive virksomhetens sikkerhetsmål. Sikkerhetsmål vil omfatte beslutninger om til hva, og hvordan informasjonsteknologi skal benyttes i virksomheten. Eksempler på slike beslutninger kan være valg av hvilke behandlinger av personopplysninger som skal skje med elektroniske hjelpemidler, hvordan virksomheten forholder seg til opplysninger som må sikres både med hensyn til konfidensialitet og tilgjengelighet, og føringer for medarbeideres eventuelle private bruk av informasjonssystemet. Videre skal virksomhetens ledelse beskrive valg og prioriteringer i sikkerhetsarbeidet i en sikkerhetsstrategi. Sikkerhetsstrategien vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet. Eksempler på slike beslutninger kan være fordeling av arbeidsoppgaver for drift og informasjonssikkerhet mellom ledelse, drifts- og sikkerhetspersonell og den enkelte bruker, eventuelt krav til at konfidensielle personopplysninger behandles i informasjonssystem uten tilkobling til eksterne datanett, og bruk av leverandører for å få utført sikkerhetsoppgaver. Virksomhetens ledelse skal jevnlig, eksempelvis årlig, gjennomgå sikkerhetsmål og strategi. Slik ledelsesgjennomgang vil ha som formål å vurdere hvorvidt de beslutninger som er tatt, er i samsvar med virksomhetens behov for informasjonsteknologi og informasjonssikkerhet. Gjennomgangen vil danne grunnlag for eventuelle endringer av sikkerhetsmål eller strategi. Praktisk kan ledelsesgjennomgang gjennomføres innenfor rammen av årlig økonomi- eller virksomhetsplanlegging. Hedmark Revisjon IKS 42

43 Etablert rutine Kommunen har etablert rutine vedrørende sikkerhetsstrategi i et eget overordnet dokument i sin RiskManager, sikkerhetsstrategi ved behandling av personopplysninger. Dette omhandler; Sikkerhetsstrategi knyttet til sikkerhetsledelse. Arbeidet med kommunens informasjonssikkerhet inngår som en integrert del av oppgavene til de enkelte fagavdelingene. Fagsjefene skal påse tilfredsstillende informasjonssikkerhet for sitt myndighetsområde. Driftsansvaret er tillagt kommunens driftsansvarlig. Overordnet sikkerhetsansvar for koordinering og praktisk etablering av kvalitetssystemer er tillagt kommunens sikkerhetsansvarlig. Ledelsen skal jevnlig, minimum årlig gjennomgå sikkerhetsmål- og strategi. Sikkerhetsstrategi knyttet til organisering av informasjonssystemet. Sensitive opplysninger skal registreres i egen fagsystemer uten tilkobling til andre fagsystem. Det skal være sikkerhetstiltak i forhold til utenforstående. Sikkerhetsstrategi knyttet til samarbeidspartnere og leverandørers ansvar. Det er et krav at informasjonssikkerheten skal inngå i kontrakt med leverandør. Sikkerhetsstrategi knyttet til sikkerhetstiltak for personell regulerer strategi i forhold til personell mht. taushetsplikt, opplæring, intern informasjon og rapportering av avvik. Sikkerhetstiltak knyttet til fysisk sikkerhet regulerer strategi vedrørende uautorisert adgang til systemer og lokaler. Sikkerhetsstrategi knyttet til systemteknisk sikkerhet regulerer skille mellom sensitive og ikke sensitive personopplysninger og personlig identifikasjon. Sikkerhet knyttet til arbeid fra hjemmekontor regulerer strategi i forhold til hjemmekontor. Sikkerhetsstrategi knyttet til sikring av dokument. Alle dokumenter med sensitive personopplysninger skal merkes. Sikkerhetsstrategi knyttet til å ivareta den registrertes rettigheter. Enhver som henvender seg til kommunen og ber om det, vil bli informert om de behandlinger av personopplysninger som foregår i kommunen. Dersom opplysninger om vedkommende inngår i behandlingen, vil det bli gitt innsyn i disse. Videre er kommunens sikkerhetsmål nedfelt i et eget dokument i RiskManager, sikkerhetsmål ved behandling av personopplysninger. Kommunens sikkerhetsmål er; beskytte Elverum kommunes investeringer i tekniske anlegg, utstyr, nettverk og innsamlede data mot feil, uhell, ulykker, tyveri, etc. forebygge uautorisert innsyn i IT-systemene ved kriminelle handlinger som tyveri, manipulering, datasnoking, osv Hedmark Revisjon IKS 43

44 gjennom forebyggende tiltak og kontrolltiltak sikre at Elverum kommune produserer informasjon som er nødvendig, relevant og riktig, samt sikre at informasjonen er tilgjengelig uten ekstraordinær ventetid og innsats hindre misbruk og urettmessig spredning av informasjon sikre tilfredsstillende forvaltning av IT-utstyr, -systemer og data sikre kvaliteten på og tilgjengeligheten til selve IT-systemene ved utnyttelse av intern og ekstern infrastruktur redusere konsekvensene og snarest sikre betryggende tilbakegang til normalsituasjon etter eventuelle feil og uhell - også eventuelle lengre driftsavbrudd/katastrofer ivareta kommunale krav samt lover og forskrifter vedrørende behandling og lagring av informasjon sørge for at det foretas en tilfredsstillende analyse og avveining mellom aktuelle trusler og kostnader forbundet med innføring av sikkerhetstiltak sikre at alle medarbeidere kjenner til og etterlever gjeldende lov- og regelverk sikre at ledelse er bevisstgjort sitt ansvar Målet for sikkerhetsarbeidet er tilgjengelighet, konfidensialitet og kvalitet/integritet. Videre fremgår det av sikkerhetsleders ansvars- og myndighetsområde at sikkerhetsleder har ansvar for bla. forberedelse av årlige ledelsesgjennomganger. Ledelsesgjennomgangenes innhold er ikke spesifisert Test av etablert rutine I kapittel har vi konstatert at kommunen har dokumenter for overordnet sikkerhetsstrategi og et dokument for sikkerhetsmål. Vi har således konstatert dokumentenes eksistens og innhold og ytterligere tester er ikke nødvendig Revisors vurdering og konklusjoner Vi har vurdert kommunens sikkerhetsstrategi og sikkerhetsmål mot bestemmelsene i forskriften 2-3 sikkerhetsledelse. Vår vurdering er at det er etablert tilfredsstillende og godt dokumenterte rutiner. Vi har gjennomført undersøkelser rettet mot overordnet sikkerhetsstrategi. Våre tester viste at rutinen fungerte som forutsatt Forskrift 2-4 Risikovurdering Det skal føres oversikt over hva slags personopplysninger som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko Hedmark Revisjon IKS 44

45 forbundet med behandling av personopplysninger, jf. første ledd og 2-2. Resultatet av risikovurderingen skal dokumenteres. Bestemmelsen pålegger den behandlingsansvarlige å holde oversikt over de personopplysninger som behandles med elektroniske hjelpemidler, sammen med angivelse av hvilke opplysninger det er nødvendig å sikre konfidensialitet, tilgjengelighet eller integritet for. Oversikten benyttes som del av grunnlaget for risikovurderingen. Den behandlingsansvarlige skal fastlegge kriterier for den risiko som kan aksepteres, eller eventuelt må reduseres ved hjelp av sikkerhetstiltak. Slike beslutninger kan overprøves i de tilfeller der Datatilsynet ikke finner informasjonssikkerheten tilfredsstillende, jf Den behandlingsansvarlige skal klarlegge sannsynlighet for, og konsekvens av sikkerhetsbrudd ved hjelp av risikovurdering. Begrepet risikovurdering er valgt i stedet for den mer formelle betegnelsen risikoanalyse. Dette for å signalisere at arbeidet med å avdekke risiko ikke bør være mer omfattende eller formalisert en strengt tatt nødvendig. Begrepet risikovurdering er også valgt i stedet for sårbarhetsanalyse som normalt benyttes kun til å beskrive vurdering av motstandsdyktighet mot uønskede hendelser. Risikovurdering skal gjennomføres før behandling av personopplysninger med elektroniske hjelpemidler settes i gang, og deretter ved endringer med betydning for informasjonssikkerheten. Dette kan være endringer som følger av beslutninger hos den behandlingsansvarlige, eller hendelser den behandlingsansvarlige ikke har herredømme over, eksempelvis endringer i trusselbildet, feil i standard programvare eller lignende. Risikovurdering kan utføres med utgangspunkt i norsk standard NS-5814, Krav til risikoanalyser. Resultat av risikovurdering skal sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Resultatet benyttes som del av grunnlaget for valg av de konkrete sikkerhetstiltak som må etableres Etablert rutine Med vår tilgang til RiskManager fikk vi ikke tilgang til kommunens oversikt over hva slags personopplysninger som behandles. Vi fikk derfor fremlagt en oversikt på papir av service- og IT-sjefen. Dokumentet heter behandling av personopplysninger oversikt. Dette viser hvilke personopplysninger som behandles i kommunen. Oversikten viser hovedformålet, informasjonstype, hva det er opplysninger om, format og system. Oversikten er ikke datert og har utskriftsdato Kommunens oversikt over behandling av personopplysninger følger som vedlegg 37 til rapporten. Med tilgangen vi til RiskManager fikk vi ikke tilgang til kommunens risiko- og sårbarhetsanalyse. Vi fikk derfor denne fremlagt på papir. Fremlagt risiko- og sårbarhetsanalyse besto av 6 skjemaer. Alle skjemaene beskriver uønsket hendelse, situasjon, årsak til hendelsen årsaksreduserende tiltak, sannsynlighet, konsekvensreduserende tiltak, konsekvensbeskrivelse, konsekvensgradering og risiko. Disse forholdene er vurdert for uønsket hendelse datainnbrudd, brann i rådhuset, oversvømmelse i serverrom, server, nett og maskinvarer stopper i lengre tid, telefonsentralen stopper i lengre tid og datavirus. RiskManager har en egen del for egenkontroller. Formålet med egenkontrollen er å undersøke om de beslutninger som er tatt om sikkerhetsmål, -strategi og retningslinjer etterleves i hele kommunen, og å skaffe seg oversikt over sikkerhetsnivået ute i organisasjonen. Alle medarbeidere med som jobber på IT-systemene skal delta i kommunens egenkontroll. Egenkontrollene gjennomførers ved å svare på spørsmål som bli tilgjengelig i RiskManager i de periodene egenkontrollen skal gjennomføres. Oftest blir egenkontrollen gjennomført en Hedmark Revisjon IKS 45

46 gang pr. år. Den ansatte skal få beskjed fra sin nærmeste leder når det skal gjøres registreringer, og svare på disse spørsmålene i egenkontrollen Test av etablert rutine Vi har vurdert rutinen for kommunens utarbeidelse av oversikt over behandling av personopplysninger, utarbeidelse av risiko- og sårbarhetsanalyse og gjennomføring av egenkontroller. Vi har gjennomgått innholdet i dokumentet behandling av personopplysninger oversikt. Vi har samholdt denne mot oversikten vi fikk fra IT over alle kommunens IT-systemer. Dokumentet er ikke datert med dato for når det er utarbeidet eller oppdatert. Vi har derfor ikke kunne vurdert om oversikten oppdateres jevnlig. Oversikten har felt for hovedformål, informasjonstype, opplysninger, format og system. Unntaksvis er feltet for opplysninger om, format og system ikke fylt ut. Det var noen systemer som ikke fremgikk av oversikten. Systemet Extens, BVPRO fremgikk ikke. IT opplyste at disse nå er byttet ut med henholdsvis Oppad og Familia. Risiko- og sårbarhetsanalysen for datainnbrudd, brann i rådhuset, og oversvømmelse i serverrom er datert Analysen for datavirus, server, nett og maskiner stopper i lengre tid og telefonsentralen stopper i lengre tid, er ikke datert. Dokumentet datavirus har 2008 i overskriften, men de to andre dokumentene har 2003 i overskriften. Det er ingen formelle krav om hyppigheten av risikovurderinger ut over forskriftens krav om at ny gjennomgang skal gjøres ved endringer som har betydning for informasjonssikkerheten. Vi ønsket å teste rutinen for egenkontroller. Vi fikk ikke fremlagt dokumentasjon som viste at det var utført egenkontroller. I følge service- og IT-sjef er det ikke utført egenkontroller i For 2008 ble det opplyst at det var utført egenkontroller. Det ble opplyst at det skal gjennomføres en egenkontroll pr. system av lederen. Lederen får tilbakemelding fra brukerne gjennom året. I følge IT-sjefen skal egenkontrollene gjennomføres hver høst Revisors vurdering og konklusjoner Kommunen har rutiner for utarbeidelse av oversikt over behandling av personopplysninger. Enkelte felter på listen er ikke fylt ut. Kommunen har foretatt risikovurdering og vurdert kritiske forhold som kan oppstå og vurdert sannsynligheten for og konsekvensen av sikkerhetsbrudd. Det fremgår ikke av rutinene om egenkontroller hvor ofte egenkontroller skal utføres. Vår vurdering er at de bør utføres årlig i forbindelse med de årlige ledelsesgjennomgangene. Vi har vurdert kommunens rutiner for risiko- og sårbarhetsanalyse, oversikt over behandling av personopplysninger og egenkontroller mot bestemmelsene i forskriften 2-4 risikovurdering. Med unntak av våre merknader er det vår vurdering er at det er etablert tilfredsstillende og godt dokumenterte rutiner. Vår vurdering er at kommunens oversikt over behandling av personopplysninger oversikt bør dateres mht. når den er utarbeidet og når den sist er revidert. Videre bør alle feltene med opplysninger fylles ut. Dokumentet er ikke datert med dato for når det er utarbeidet eller oppdatert. Vi har derfor ikke kunne vurdert om oversikten oppdateres jevnlig. Vår undersøkelse viste at de fleste systemene var med på oversikten. Av de større systemene som vi ikke fant på oversikten var Extens/Oppad og BVPRO/Oppad. Med unntak av dette er vår vurdering at kommunen har rutiner som sikrer en god oversikt over hvilke personopplysninger som behandles. Hedmark Revisjon IKS 46

47 Vi har vurdert de fremlagte risiko- og sårbarhetsanalyser. Det bør vurderes om risiko- og sårbarhetsanalysen skal utføres hyppigere enn det som har vært praktisert f. eks årlig. Våre tester viste, med unntak av vår merknader, at rutinene fungerte som forutsatt. Egenkontroller er ikke dokumentert utført. Formålet med egenkontrollene er å undersøke om beslutninger som er tatt om sikkerhetsmål, -strategier og retningslinjer etterleves ute i kommunen og skaffe ledelsen oversikt over sikkerhetsnivået ute i organisasjonen. IT opplyste at det skal utføres en egenkontroll pr. system. Dette stemmer ikke helt med RiskManager som sier at alle brukerne skal gjennomføre egenkontroller. Vår gjennomgang viste et etablerte rutiner for egenkontroller ikke fungerte i praksis Forskrift 2-5 Sikkerhetsrevisjon Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf Resultatet fra sikkerhetsrevisjon skal dokumenteres. Bestemmelsen pålegger den behandlingsansvarlige jevnlig, eksempelvis årlig, å etterprøve sikkerhetsarbeidet for å verifisere at de sikkerhetstiltak som er besluttet etablert, faktisk er iverksatt og fungerer etter sin hensikt. Ved sikkerhetsrevisjon sammenlignes faktisk bruk av informasjonssystemet med de retningslinjer for slik bruk som er besluttet. Slik revisjon må ikke blandes sammen med ledelsens gjennomgang av sikkerhetsmål og strategi, jf. 2-3, hvor formålet er å vurdere ledelsens beslutninger opp mot virksomhetens behov for informasjonsteknologi og informasjonssikkerhet. Resultatet fra sikkerhetsrevisjonen vil imidlertid være del av grunnlaget for slike gjennomganger. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerheten. Praktisk kan sikkerhetsrevisjoner gjennomføres etter de samme fremgangsmåter som benyttes i HMS-arbeidet, jf. forskrift 6. desember 1996 nr om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter (internkontrollforskriften) Etablert rutine Vår tilgang til kommunens RiskManager ga oss ikke tilgang til kommunens sikkerhetsrevisjoner. Vi fikk derfor fremlagt denne på papir. Dokumentet heter Vurderingsskjema sikkerhetsrevisjon, versjonnumer 1.0 og er revidert av K.S. Dokumentet er under gradering unntatt offentlighet jf Offentlighetsloven 2. Det er krysset av for intern publisering. Det er ikke krysset av i felt for godkjenning/sign. Siste sikkerhetsrevisjon er datert Den nest siste er datert Vurderingsområder for sikkerhetsrevisjonen for den siste sikkerhetsrevisjon var overordnet informasjonssikkerhet, løpende kontrollaktiviteter, personalsikkerhet, fysisk sikkerhet, elektronisk samhandling, teknisk sikkerhetsløsning, sikring av informasjon. Kommunen har vurdert alle punktene fra svært tilfredsstillende til svært utilfredsstillende. Det er identifisert to tilfeller av uforutsett bruk av informasjonssystemet. Samlet vurdering av sikkerheten er vurdert til fortsatt god. Løpende kontrollaktiviteter er av kommunen vurdert som ikke tilfredsstillende. Øvrige punkter er vurdert til tilfredsstillende eller svært tilfredsstillende. Hedmark Revisjon IKS 47

48 Test av etablert rutine Vi har vurdert kommunens sikkerhetsrevisjoner pr og Kommunen har etablert rutine vedrørende sikkerhetsstrategi i et eget overordnet dokument i sin RiskManager. Dette dokumentet er vurdert ovenfor under kapittel Ledelsen skal jevnlig, minimum årlig gjennomgå sikkerhetsmål- og strategi. Dette fremgår av sikkerhetsstrategiens punkt om sikkerhetsstrategi knyttet til sikkerhetsledelse Revisors vurdering og konklusjoner Kommunen har fremlagt sikkerhetsrevisjoner pr og pr Forskriften 2-3 krever jevnlige sikkerhetsrevisjoner, jfr. Datatilsynets kommentarer f. eks årlig. Vår vurdering er at det bør være minimum årlige sikkerhetsrevisjoner, men dette er ikke et direkte krav i forskriftens 2-5. Vi har vurdert kommunens sikkerhetsstrategi og sikkerhetsmål mot bestemmelsene i forskriften 2-5 sikkerhetsrevisjon. Vår vurdering er at det er etablert tilfredsstillende og godt dokumenterte rutiner. Sikkerhetsrevisjonene og skjemaene som er benyttet er tilfredsstillende. Rutinene i kommunens egen sikkerhetsstrategi krever minimum årlige sikkerhetsrevisjoner. Det er derfor ikke i samsvar med etablerte retningslinjer at det ikke er utført sikkerhetsrevisjoner i 2008 og i Årlige sikkerhetsrevisjoner bør gjennomføres. Med unntak av disse merknadene viste våre undersøkelser at de etablerte rutinene risikoanalyser fungerte i praksis Forskrift 2-6 Avvik Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse. Dersom avviket har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles. Resultatet fra avviksbehandling skal dokumenteres. Bestemmelsen pålegger den behandlingsansvarlige å behandle uønskede hendelser i informasjonssystemet med formål å gjenopprette normal tilstand og å hindre med formål å gjenopprette normal tilstand og å hindre gjentagelse. Avviksbehandling iverksettes ved sikkerhetsbrudd og/eller når oppgaver er utført i strid med de rutiner som er besluttet. Avviksbehandling vil normalt omfatte rapportering, strakstiltak, permanent korrigering av avvik og oppfølging av korrigerende tiltak over tid for å vurdere om dette fungerer etter sin hensikt. For de tilfeller der avviksbehandlingen har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet meddeles resultatet fra avviksbehandlingen Etablert rutine Kommunens rutiner for avvikshåndtering ligger i RiskManager. Alle medarbeidere er ansvarlig for å melde avvik ved å bruke avviksregistreringen i RiskManager web. Et registrert avvik vil bli behandlet av nærmeste leder, og det er den som oppdager avviket som har ansvar for å registrere hendelsen. Eksempler på avvik som skal meldes er: all utilsiktet utlevering av personopplysninger (både til medarbeidere uten et tjenstlig behov for informasjonen, eller til utenforstående), eller ved mistanke om slik utlevering når medarbeidere benytter datasystemet (egne fagsystem) de ikke er gitt tilgang til (via andre) når medarbeidere benytter datasystemet (egne fagsystem) uten den opplæring som er forutsatt Hedmark Revisjon IKS 48

49 ved behandling av personopplysninger i strid med lover, forskrifter og interne bestemmelser repeterte feil i interne og eksterne system (dersom en kontinuerlig blir kastet ut, mister tilgang) virusalarmer (du ser et rødt kryss over ikonet for antivirusprogram nederst til venstre på skjermen) endringer som gjøres av bruker i maskinvare og program, spesielt i program for e-post og Internettleser. Slike endringer er ulovlig uten it-/driftsleders samtykke Test av etablert rutine Vi har vurdert rutine for melding av avvik. Vi har ikke fått fremlagt dokumentasjon på at det er meldt avvik verken i 2009 eller tidligere. Dette er bekreftet av IT-avdelingen Revisors vurdering og konklusjoner Vi har vurdert kommunens rutiner for avviksrapportering mot bestemmelsene i forskriften 2-6 avvik. Vi har ikke funnet noen rutine for rapportering av avvik til Datatilsynet ved uautoriserte utlevering av konfidensielle personopplysninger. Med unntak av våre merknader over er vår vurdering at kommunen har tilfredsstillende og godt dokumenterte rutiner for avviksrapportering. Våre undersøkelser viste at de etablerte rutinene for avviksrapportering ikke fungerte i praksis Forskrift 2-7 Organisering Det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. Ansvars- og myndighetsforhold skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder. Informasjonssystemet skal konfigureres slik at tilfredsstillende informasjonssikkerhet oppnås. Konfigurasjonen skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder. Bruk av informasjonssystemet som har betydning for informasjonssikkerheten, skal utføres i henhold til fastlagte rutiner. Bestemmelsen pålegger den behandlingsansvarlige å organisere arbeidet med informasjonssystemet slik at tilfredsstillende informasjonssikkerhet oppnås. Det skal etableres klare ansvars- og myndighetsforhold med utgangspunkt i beslutninger tatt av virksomhetens ledelse. Ansvars- og myndighetsforhold skal dokumenteres og gjøres kjent for virksomhetens medarbeidere. Det er viktig at ansvar og myndighet relatert til drift av informasjonssystemet (driftsledelse) og for oppfølging av sikkerhetsarbeid (sikkerhetsledelse), er klarlagt. Disse funksjoner er henholdsvis utøvende og kontrollerende og bør ideelt sett tillegges forskjellige medarbeidere i virksomheten. For mindre virksomheter kan det likevel være nødvendig å legge begge funksjoner til en og samme person. Arbeidsoppgaver for sikkerhetsleder vil normalt omfatte forberedelse av ledelsesgjennomganger, gjennomføring av sikkerhetsrevisjoner samt kontroll med risikovurdering og avviksbehandling. Den behandlingsansvarlige pålegges videre å konfigurere informasjonssystemet slik at tilfredsstillende informasjonssikkerhet oppnås. Med konfigurasjon menes informasjonssystemets utforming, det vil si utstyr og program samt sammenkoblinger mellom disse. Informasjonssystemet konfigureres med utgangspunkt i beslutninger tatt av virksomhetens ledelse. Konfigurasjonen skal dokumenteres. Ved valg av konfigurasjon skal virksomhetens behov for informasjonssikkerhet tillegges vekt, i tillegg til vurdering av økonomi og behov for funksjonalitet. Eksempelvis vil slik vurdering Hedmark Revisjon IKS 49

50 omfatte etablering av sikkerhetsbarrierer, bruk av nettverkssegmentering for å skille forskjellige behandlinger av personopplysninger fra hverandre i informasjonssystemet eller lignende. Den behandlingsansvarlige pålegges å beslutte hvordan arbeidet med informasjonssystemet skal foregå. Slike beslutninger må gjøres kjent for virksomhetens medarbeidere i form av rutiner for bruk. Rutiner må ha et omfang og en detaljeringsgrad som sikrer at arbeidsoppgaver utføres med tilfredsstillende sikkerhet som resultat, og at de utføres likt hver gang de repeteres Etablert rutine Kommunens rutiner og retningslinjer for IT-sikkerhet er dokumentert i egen sikkerhetsportal om kvalitetssikring innenfor personvern og informasjonssikkerhet. En oversikt over organiseringen av RiskManager fremgår av kapittel 5.3. Ansvars- og myndighetsforholdene er beskrevet og dokumentert i disse rutinene. De mest relevante dokumentene i denne sammenheng er IKT-driftsansvarliges ansvars- og myndighetsområde, sikkerhetsleders ansvars- og myndighetsområde, daglig ansvarliges ansvars- og myndighetsområde, systemansvarliges ansvars- og myndighetsområde og rådmannens organisering og delegasjon i sikkerhetsarbeid. Disse dokumentene beskriver ansvar- og arbeidsoppgaver for de forskjellige funksjonene. Organiseringen er beskrevet i egne dokumenter. I RiskManager er det et eget dokument som viser kommunens organsiering. Sikkerhetsorganisering er beskrevet i et eget dokument og henviser til organisasjonskart sikkerhetsorganiseringen og fagsjefer i Elverum kommune. Dokumentet behandlingsansvarlig viser at rådmannen har dette ansvaret, som er delegert til stabsjef. Dokumentet daglig ansvarlig innen den enkelte enhet/avdeling gir en oversikt over ansatte med enhetsansvar i kommunen. Det fremgår også fra hvilket tidspunkt de har hatt dette ansvaret. Hvem som er sikkerhets- og IT-driftsleder fremgår av et eget dokument. Dokumentet sikkerhetsutvalg beskriver hvem som sitter i sikkerhetsutvalget. Dokumentet Systemansvarlig samlet oversikt er et eget dokument som beskriver hvem som har systemansvar for de forskjellige systemene pr. enhet. Disse opplysningene fremgår for BVPRO for familie og helse, Extens for skoler og barnehage og HSPRO for familie og helse. De øvrige systemene i kommunen fremgår ikke. Dokumentet sikkerhetstiltak oversikt beskriver sikkerhetstiltak og når de er iverksatt. Det er ingen henvisning til hvor tiltaket er dokumentert. Det er et eget felt for ansvarlig. Dette feltet er imidlertid ikke utfylt. Rådmannens organisering og delegasjoner i sikkerhetsarbeidet har rutiner for delegering av organisert ansvar, roller og oppgaver innenfor arbeidet med sikkerhet til sikkerhetsleder, IKT-driftsleder, daglig ansvar, IT-sikkerhetsutvalg, systemansvarlig og arkivleder. Av service- og IT-sjefen fikk vi fremlagt en systemoversikt over alle kommunens systemer, fordelt på fellessystemer, fagsystemer, sikkersone lukket nett, programvare for NAV, digital plattform for barne- og ungdomsskolen, tekniske fellessystemer og systemer som bruker nettet. I tillegg fikk vi utdelt et datakart over den tekniske oppbyggingen av kommunens datanett. Systemoversikt over alle kommunens systemer følger som vedlegg 38 til rapporten. Ved gjennomgang av dokumenter og rutiner i RiskManager fremkom det at feltet for godkjenning ikke var signert. Under kartleggingen av rutinene knyttet til Socio opplyste NAV-Elverum at journalnotater som tidligere var gjort i Socio nå ble gjort i det statlige systemet Arena. Vurdering av ITsikkerheten rundt de statlige systemene er ikke en del av mandatet for dette prosjektet. Hedmark Revisjon IKS 50

51 Test av etablert rutine Vi har ikke valgt å gjennomføre noen praktiske detaljtester av rutinene vedrørende organisering, men kun foretatt en vurdering av overordnede forhold i RiskManager. Beskrivelsen av RiskManager fremgår av kapittel Revisors vurdering og konklusjoner Kommunens organisering av og dokumentasjon av rutiner og retningslinjer for IT-sikkerhet er godt dokument og beskrevet i RiskManager. Det er en omfattende beskrivelse av ansvars- og myndighetsforhold. Dette er de fastlagte gjeldende rutiner i kommunen ved bruk av informasjonssystemet. Kommunen har dokumentert hvordan nettet er satt opp og organisert med et datakart. Dokumentet systemansvarlig samlet oversikt henviser kun til et begrenset antall av kommunens systemer og systemansvarlige. Vår vurdering er at denne oversikten bør inneholde alle systemer og systemansvarlige i kommunen. Dokumentet sikkerhetstiltak oversikt viser felles sikkerhetstiltak i kommunen. Vår vurdering er at feltet for ansvarlig bør fylles ut. Videre ville det vært en styrke om det enkelte tiltak var linket til/hadde en henvisning til hvor den underliggende dokumentasjonen forefinnes. Vi tenker her på underliggende sikkerhetsdokumenter etc. Dokumentene i RiskManager er gjennomgående ikke utfylt i feltet for godkjenning. Alle dokumentene i RiskManager bør ha utfylt felt for godkjenning, slik at det fremgår av det enkelte dokument at det er godkjent og hvem som har godkjent det. I vår gjennomgang har vi konstatert at dokumentet Sikkerhetsutvalg i RiskManager ikke ligger inn med riktig sikkerhetsutvalg. Formannskapet er sikkerhetsutvalg. I RiskManager står valgstyret oppført som sikkerhetsutvalg, dette er ikke riktig. Vi fikk fremlagt ny oversikt av IT. Vi har konstatert at kommunen har omfattende og detaljerte rutiner for informasjonssikkerhet. Datatilsynets vurdering i tilsynsrapport av var at kommunen har etablert et kvalitetssystem. I følge tilsynet har uklar og ikke god nok forankring i ledelsen gjort det vanskelig å gjøre ansatte klar over systemet og dermed har det vært vanskelig å implementere rutinene, herunder avviksrapportering. Etter vår gjennomgang er vi usikre på hvor godt RiskManager er implementert hos den enkelte ansatte. Den virket godt kjent hos post, arkiv og service. På NAV Elverum virket den lite kjent hos systemansvarlig. NAV Elverum opplyste først at de ikke brukte kommunens rutiner vedrørende IT-sikkerhet, men de statlige rutinene. Disse opplysningene ble først verifisert. Etter drøftelse med ledelsen endret systemansvarlig fakta til at det var både statlige og kommunale rutiner som var gjeldende. Vårt inntrykk er at kommunens rutiner for IT-sikkerhet I RiskManager var lite kjent i NAV- Elverum og at rutinene ikke i særlig grad ble benyttet i praksis. Socio er i sikker sone i kommunens nett. Ved å skrive journalnotater i Arena vil personopplysninger som vedrører kommunen bli liggende i et statlig system som ikke er omfattet av kommunens rutiner for IT-sikkerhet. Vurdering av IT-sikkerhet i det statlige nettet er ikke en del av dette prosjektet. Vår vurdering er at det bør foretas en vurdering av om IT-sikkerheten på denne måten er godt nok ivaretatt. Ved føring av journalnotater i Arena blir personsensitive opplysninger som vedrører kommunen lagret utenfor kommunens nett og sikker sone. Vi har vurdert kommunens rutiner for organisering av sikkerhetsarbeidet mot bestemmelsene i forskriften 2-7 organisering. Vår vurdering er at det med unntak av våre merknader over Hedmark Revisjon IKS 51

52 og forhold som fremkommer under øvrige avsnitt i dette kapitlet, er etablert tilfredsstillende og godt dokumenterte rutiner Forskrift 2-8 Personell Medarbeidere hos den behandlingsansvarlige skal bare bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for slik bruk. Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt. Autorisert bruk av informasjonssystemet skal registreres. Den behandlingsansvarlige pålegges å begrense bruk av informasjonssystemet til det som er tjenstlig nødvendig. Som hovedregel vil all bruk av informasjonssystemet medføre risiko. Slik risiko reduseres til akseptabelt nivå ved hjelp av sikkerhetstiltak. Ved å begrense bruk av informasjonssystemet oppnås: minst mulig eksponering av personopplysninger overfor trusler. at den behandlingsansvarlige kjenner til, og har vurdert risiko forbundet med den bruk av informasjonssystemet som pågår. Bestemmelsen innebærer ikke et absolutt forbud mot medarbeideres private bruk av informasjonssystemet. Privat bruk må imidlertid være kjent for den behandlingsansvarlige, og kunne gjennomføres uten at behandling av personopplysninger utsettes for ytterligere trusler. Eksempelvis vil privat bruk av internett-tjenesten world wide web kunne tillates forutsatt at det ikke er nødvendig å etablere egne sikkerhetstiltak for å muliggjøre slik bruk, og at WWW også benyttes for tjenstlige formål. Den behandlingsansvarlige skal registrere autorisert bruk av informasjonssystemet i den grad dette er nødvendig for gjennomføring av avviksbehandling, herunder oppklaring av sikkerhetsbrudd, og for drift av informasjonssystemet. Bestemmelsen pålegger videre den behandlingsansvarlige å sørge for at virksomhetens medarbeidere har tilstrekkelig kompetanse til å bruke informasjonssystemet, samt å legge til rette for vedlikehold og heving av denne kompetansen. Bruk av avanserte datatekniske løsninger for behandling av personopplysninger, og rask datateknisk utvikling, stiller strenge krav til medarbeidernes kompetanse. Den behandlingsansvarlige vil ha behov for oversikt over medarbeideres kunnskaper om informasjonsteknologi og informasjonssikkerhet i forhold til kravene for den enkelte stilling/funksjon Etablert rutine Kommunens rutiner for IT-sikkerhet for personell ligger i RiskManager. Sentrale rutiner her er dokumentert i dokumentene retningslinjer for personvern og IT-sikkerhet, prosedyre sikring ved hjelp av passord, prosedyre for autorisasjonstildeling, prosedyre fratredelse av stilling, prosedyre nytilsatt og systemansvarliges ansvars- og myndighetsområde. Retningslinjer for personvern og IT-sikkerhet har detaljerte bestemmelser vedrørende sikkerhet og personell. Tilgang til systemene er strengt regulert. Alle bruker i nettverket skal ha egne bruker-id (brukernavn) og passord. Alle passord skal være personlige. Alle passord i kommunen skal ha minimum 6 tegn, passord huskes i 60 dager og de 6 siste som er brukt, arbeidsstasjonen blir låst i ½ time etter 3 mislykkede forsøk og brukeren har 3 nye forsøk. Dokumentet prosedyre sikring ved hjelp av passord har også detaljerte bestemmelser om adgangsbegrensning ved hjelp av passord. IT-driftsansvarlig skal sørge for at; det blir tilrettelagt løsninger som ved hjelp av brukernavn og selvvalgte passord regulerer tilgangen til sensitive personopplysninger når man er inne på sikret sone Hedmark Revisjon IKS 52

53 sikkerhetsløsningene oppfyller minstekravene i offentlige og interne retningslinjer det settes begrensninger på antall påfølgende innloggingsforsøk (for eksempel 5) passordlevetid (for eksempel 1 3 måneder) minimum 6 tegns passord og krav til kvaliteten på passordet (blanding av bokstaver og tegn) Gjeldende systemadministrators passord oppbevares i lukket konvolutt i låst skap, der det er kontroll med hvem som har tilgang til nøkkel. Medarbeidere som er autorisert for tilgang til sensitive personopplysninger på sikret sone, skal pålegges følgende begrensninger og kontroller: tilgang til alle tjenester og informasjon er i utgangspunktet sperret tilgangskontrollen skal benytte individuelle passord og skal sørge for at brukere kun autoriseres for tilgang til informasjon og tjenester etter tjenstlige behov det skal angis krav til minimum lengde, sammensetning og varighet av passord det skal angis krav til maksimalt tillatt tidsrom uten aktivitet fra en bruker før det kreves ny autentisering brukerkonti som ikke har vært benyttet de siste uker blir sperret manglende skifte av passord innen fastsatt frist, fører til sperring av brukerkonto sikkerhetsrelevante hendelser skal registreres i et hendelsesregister En løsning med fysisk skille mellom sikret sone og intern sone krever bare innføring av tilgangskontroller. Kontrollen med tilgang til data og program som benyttes for behandling av sensitive personopplysninger, skal minst omfatte: tildeling og tilbaketrekking av autorisasjon for tilgang med krav om entydig kobling mellom brukeridentitet og fysisk bruker periodisk revurdering av den enkelte medarbeiders behov for tilgang retningslinjer for identifisering og autentisering av medarbeidere automatisk avstengning av utstyr som ikke er i bruk registrering av utstyr benyttet for tilgang og forsøk på uautorisert tilgang beskrivelse av ansvar og myndighet for tilgang For løsninger med nettverksforbindelse gjelder i tillegg følgende: det må benyttes et operativsystem eller 3. part sikkerhetsløsning som tilfredsstillende skiller mellom brukeres rettigheter til henholdsvis intern og sikret sone. Dette må skille mellom brukere/brukergruppers (identitet/passord) rettigheter til filsystem/nettverksressurser brukere i sikret sone må konfigureres med to alternative brukerprofiler hvis de skal gis tilgang til eksterne nettverk teknisk sikkerhetsløsning hos bruker skal bidra til å hindre uautorisert utlevering av sensitive personopplysninger ved utilsiktet overføring av data mellom program, eksempelvis ved bruk av "klipp og lim"-funksjon dersom det skal lagres sensitive personopplysninger på bærbar arbeidsstasjon, skal harddisken på disse maskinene automatisk krypteres. Hedmark Revisjon IKS 53

54 hvis bruker i sikret sone også skal ha tilgang til tjenester på intern sone eller eksterne tjenester, må det ikke være mulig å lagre ukrypterte sensitive personopplysninger lokalt på arbeidsstasjonen I følge prosedyre fratredelse av stilling skal fagsjef ved fratredelse sende skriftlig melding til IT-avdelingen om fratredelse av stilling. Alle fullmakter skal opphør og alle brukerrettigheter fjernes (bruker-id) og passord. I følge prosedyre nytilsatt pkt. 1 og 5 skal nytilsatte ved ansettelse få en kortversjon av sikkerhetsbestemmelsene og autorisasjon tildeles etter gjeldende rutiner for autorisasjonsprofiler. I rutinene for systemansvarliges ansvars- og myndighetsområde fremgår det at tilgang til fagsystemene skal gis etter anvisning fra fagsjef. I følge retningslinjer for personvern og IT-sikkerhet skal alle brukerne gis opplæring i bruk av dataanlegget for å minske mulighetene for utilsiktede feil som kan medføre driftsavbrudd eller at sensitiv informasjon kommer på avveie. Brukeren har rett til slik opplæring før anlegget tas i bruk. I følge rutinen skal den ansatte underskrive med navn, etat og dato. Ved underskriften bekrefter den ansatte at vedkommende er gjort kjent med og har forstått retningslinjer for informasjonssikkerhet og personvern i Elverum kommune. Den ansatte forplikter seg til å følge de regler, sette seg inn i disse og holde seg oppdatert når nye sikkerhetsrutiner blir gjort gjeldende. I følge prosedyre nytilsatt pkt. 4 skal virksomhetens sikkerhetsopplæring og grunnskolering i fagsystemet gjennomføres før tilgang til systemet gis. IT opplyste at autorisert bruk av informasjonssystemet ikke blir registrert/logget Test av etablert rutine Vi har valgt å begrense vår kontroll av rutinene for personalsikkerhet til autorisasjoner i Websak Service og IT-avdelingen og sosialsystemet Socio som benyttes av NAV. Videre har vi sett på rutinen for ansattes kvitteringer for mottatte retningslinjer for IT-sikkerhet. Autorisasjoner i Websak Vi fikk fremlagt en liste over alle tilganger i Websak for ansatte i service- og IT-avdelingen. Listen er ikke datert. Listen har 23 brukere som har personlige navn og en bruker som heter lærling, en som heter kursbruker SB04 og en som heter intranett administrator. Vi gjennomgikk listen sammen med sikkerhetsleder som er systemansvarlig for Websak. I følge systemansvarlige jobber alle personene på listen i kommunen og har de rette tilgangene. Samlet er det 1132 i kommunen som har tilgang til intranett og Websak er antall brukere på nettet. 841 har tilgang til bare intranettet i kommunen. 291 har tilgang til websak. Alle brukerne ligger i et identitetsregister. Dette gjelder både websak og intranett. Det er flere som er systemansvarlige i systemet. Det er 7 personer som er definert som systembrukere. Jevnlig går sikkerhetsleder gjennom autorisasjonene for å sikre at tilgangene er riktige. Nettet sperres etter en viss tid med inaktivitet hos brukeren. Gjennomgangen av autorisasjonene gjøres ved bl.a sjekk mot lønningssystemet. Tilgang Websak gir brukeren skrivetilgang til dokumenter som han selv står som saksbehandler på. Brukeren kan lese alt som ikke er unntatt offentlighet. Saksansvarlig har ansvaret har hele mappen og denne brukeren eier mappen. Saksbehandler har ansvaret for sitt dokument. Nedenfor følger en oversikt over brukerrollene; Hedmark Revisjon IKS 54

55 Systemansvarlig har definert følgende roller i Websak; 0 System Har alle rettigheter. 1 Arkivansvarlig Har rettigheter til arkivfaglige spørsmål. Legge til og sette sluttdato på brukere. 2 Arkivpersonale Litt mindre rettigheter enn arkivleder når det gjelder arkivfaglige spørsmål og vedlikehold av systemet. 3 Leder/saksfordeler Tilgang til sin egen fagavdeling 4 Saksbehandler Tilgang til egne dokumenter 13 Saksbehandler Samme som over. Ble laget fordi det var noe som ikke fungerte. Kunne slette en. 5 Utvalgsssekretær Tilgang til styrer, råd og utvalg. Intra Blir brukt i forbindelse med intranettet. Gjelder alle intra 316 Politiker Er ikke tatt i bruk. Er lovet at politkerportalen skal komme i løpet av våren. Autorisasjoner i Socio Vi fikk fremlagt en liste over alle tilganger i Socio av systemansvarlig for Socio. Liste er tatt ut fra systemet Listen har 48 brukere. 47 av brukerne er personlige. En bruker er ikke personlig og heter Test ident RESPONS. Tilgangene i Socio er styrt ved roller. Listen viste 6 forskjellige roller. Disse rollene er; systemansvarlig (2) merkantil (4) Hedmark Revisjon IKS 55