Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Transkript

1 Saknr. 16/ Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for fylkestinget med slikt forslag til vedtak: 1. Fylkestinget tar forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" til orientering, og merker seg at det har blitt gjort et betydelig arbeid for å sørge for internkontroll på informasjonssikkerhetsområdet og krav i personopplysningsloven med forskrift. 2. Fylkestinget merker seg for øvrig at det er rom for forbedringer, og spesielt anbefalingene fra revisjonen om at fylkesrådet bør sørge for at Hedmark fylkeskommune: 1. Utarbeider og dokumenterer etablert sikkerhetsledelse for personopplysninger, hvor etablert sikkerhetsorganisasjon med roller og ansvar bør fremkomme. Videre bør Hedmark fylkeskommune sørge for å utarbeide sikkerhetsstrategi og etablere konkrete sikkerhetsmål. 2. Jevnlig gjennomfører sikkerhetsøvelser og etablerer egenkontroll knyttet til sikkerhetsarbeidet, og dokumenterer dette. 3. Jevnlig gjennomfører sikkerhetsrevisjon og dokumenterer dette skriftlig. 4. Jevnlig gjennomfører risikovurderinger og dokumenterer risikoen for sikkerhetsbrudd i sine informasjonssystemer. 5. Etablerer skriftlig rutine for behandling av avvik knyttet til informasjonssystemet. 6. Videre bør fylkesrådet vurdere: - Om det finnes tilstrekkelig og god oversikt over alle brukere av alle informasjonssystemer. - Om reglementer, retningslinjer og rutiner som vedrører bruk av informasjonssystemer, i tilstrekkelig grad er gjort kjent for ansatte. Det kan vurderes om det bør gjennomføres konkrete opplæringstiltak for alle eller utvalgte ansatte.

2 - Om det er mulig å etablere samlede logger som viser både forsøk på uautorisert bruk og autorisert bruk av fylkeskommunens informasjonssystemer, herunder å etablere et register over forsøk på uautorisert bruk som oppbevares i minimum 3 måneder. - Å videreføre arbeidet med å utarbeide skriftlig og fullstendig dokumentasjon av rutiner og annen informasjon som har betydning for informasjonssikkerheten. - Om dokumentasjon for informasjonssystemer som blir erstattet i tilstrekkelig grad blir tatt vare på, herunder om kravet om oppbevaring i 5 år etterleves. 7. Etablerer en samlet oversikt over: - Systemer som behandler personopplysninger og hvem som er behandlingsansvarlig. - Hvem som er databehandler, dvs. behandler personopplysninger på vegne av behandlingsansvarlig, i de ulike informasjonssystemer og på de ulike enheter/virksomheter. - Hvilke typer personopplysninger som behandles, samt det rettslige grunnlaget for hver behandling. - Til hvilket formål de ulike opplysninger er samlet inn. - Hvilke krav i personopplysningsloven og - forskriften som gjelder for de ulike behandlingene. 8. Har rutiner for vedlikehold av og oppfølging av internkontrollen, herunder: - At det blir fastsatt tidsplaner for vedlikehold av internkontrollen på informasjonssikkerhetsområdet. - Sørger for at rutiner av betydning for internkontrollen er kjent for de som skal følge dem. - Gjennomføre jevnlig stikkprøvekontroll for å avdekke hvordan internkontrollen fungerer. 9. Fylkestinget ber fylkesrådet om å gi kontrollutvalget en orientering om status i oppfølging av anbefalingene i revisjonsrapporten innen Saken legges fram for fylkestinget med Svein Borkhus som saksordfører. Vedlegg: - Saksprotokoll sak 13/16 fra møte i Kontrollutvalget Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling i Hedmark fylkeskommune" utarbeidet av Hedmark revisjon IKS. Hamar,

3 Dette dokumentet er elektronisk godkjent.

4 Saksutredning Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Innledning og bakgrunn I møte behandlet kontrollutvalget i Hedmark sak 27/14 om rullering av planer for forvaltningsrevisjon og selskapskontroll. Det ble da vedtatt å bestille foranalyse om temaet IKTsikkerhet. Hedmark Revisjon IKS la fram foranalyse den (sak 7/15) og prosjektplan den (sak 19/15). Både foranalyse og prosjektplan ble godkjent av kontrollutvalget, og innspill til det videre arbeidet ble gitt i møtene. Tittel på prosjektet ble endret til IKT-sikkerhet, drift og utvikling. Prosjektplanen la opp til en statusrapportering på prosjektet, og denne ble gitt til kontrollutvalget i møte den Saksopplysninger og fakta Hedmark revisjon IKS (heretter kalt revisjonen) har ferdigstilt rapporten som er vedlagt saken. Revisjonen vil presentere rapporten for kontrollutvalget i møtet. Hovedformålet til prosjektet har vært å vurdere fylkeskommunens systematiske tilnærming til IKT-sikkerhet, drift og utvikling. Formålet er belyst gjennom følgende overordnede problemstillinger: 1. I hvilken grad har Hedmark fylkeskommune sørget for tilfredsstillende internkontroll på informasjonssikkerhetsområdet? Herunder internkontrolltiltak for å sikre konfidensialitet, integritet og tilgjengelighet for a. Personopplysninger for fylkeskommunens ansatte b. Personopplysninger for elevene i de videregående skolene c. Personopplysninger for pasienter hos tannhelsetjenesten 2. I hvilken grad har Hedmark fylkeskommune sørget foren slik internkontroll som er nødvendig for å oppfylle øvrige krav i personopplysningsloven og tilhørende forskrift? Punkt 1c om tannhelse ble tatt inn som eget punkt etter at prosjektplanen ble godkjent. Dette kom etter innspill fra fylkesrådet og utvalget ble orientert om dette den Etter at foranalyse og prosjektplan ble presentert var kontrollutvalget opptatt av at det også skulle vurderes hvordan retningslinjer, rutiner og system ble fulgt opp i praksis. I rapporten skriver revisjonen at "undersøkelsene av begge problemstillinger har omfattet en gjennomgang og vurdering av retningslinjer, rutiner og systemer, samt hvordan disse følges opp i praksis". Kontrollutvalget ga også tilbakemelding på at de ønsket at fylkeskommunens driftsorganisasjon på IKT-området skulle belyses med følgende underpunkt: - Plassering av IKT i organisasjonen, herunder organisatorisk tilknytning og kommunikasjon med ledelsen - Ansatte, herunder oppgaver og kompetanse, endringer og arbeidsbelastning mv. - Drift, vedlikehold og utvikling av IKT, herunder beslutningsmyndighet - Oversikt over elektroniske og manuelle registre Problemstillingene knytter seg primært til etterlevelse av personopplysningsloven ( 13-14) og personopplysningsforskriften ( 3-1 samt kapittel 2). For tannhelsetjenesten er tilsvarende bestemmelser i helseregisterloven ( 21-22) og pasientjournalloven ( 22-23). Det er for øvrig utarbeidet en lang rekke revisjonskriterier for de ulike problemstillingene. Disse omtales i kapittel 16 i rapporten.

5 Undersøkelsene er gjennomført via intervjuer og dokumentanalyse. Rapporten inneholder et eget kapittel (kapittel 9) som beskriver fylkeskommunens IT-plattform, seksjon for teknologi (tidligere Serviceenhet IKT) og sikkerhetsarkitektur mv. for å gi et mer helhetlig bilde av fylkeskommunens arbeid med IKT-sikkerhet. Kapittel 7 i rapporten omhandler bakgrunnen og aktualiteten i forhold til temaet. Problemstilling 1: I hvilken grad har fylkeskommunen sørget for tilfredsstillende internkontroll på informasjonssikkerhetsområdet? Revisor har utarbeidet en rekke revisjonskriterier (28) som vurderes opp mot praksis i Hedmark fylkeskommune. Av disse 28 er 21 helt eller delvis etterlevd. Revisor konkluderer med følgende om denne problemstillingen: "Hedmark fylkeskommune, herunder også videregående opplæring, har gjennomført et betydelig arbeid for å sørge for tilfredsstillende internkontroll på informasjonssikkerhetsområdet, herunder internkontrolltiltak som sikrer konfidensialitet, integritet og tilgjengelighet for personopplysninger for fylkeskommunens ansatte og elevene i de videregående skolene. Samlet sett har Hedmark fylkeskommune forbedringspotensial på området. Tannhelsetjenesten har i det alt vesentligste sørget for tilstrekkelig internkontroll på informasjonssikkerhetsområdet, herunder informasjonssikkerhetstiltak som sikrer konfidensialitet, integritet og tilgjengelighet for personopplysninger for pasienter i tannhelsetjenesten. Hedmark fylkeskommune har for øvrig prioritert teknisk sikkerhetsarkitektur i perioden Dette viser seg i form av at fylkeskommunen i stor grad etterlever de revisjonskriteriene som omhandler teknisk sikkerhetsarkitektur. Herunder at man har fastlagte kriterier for akseptabel risiko, at man har etablert tiltak mot uautorisert innsyn som sikrer at endringer blir gjennomført av personer med autorisasjon, at man sikrer at ansatte har tilgang til relevante og nødvendige opplysninger og at man har etablert sikringstiltak mot trojanere, virus og skadelig programvare mv. For revisjonskriterier som omhandler sikkerhetsledelse og organisatoriske forhold har Hedmark fylkeskommune en lavere andel av etterlevelse, og større forbedringspotensiale. Hedmark fylkeskommune har ikke dokumentert sikkerhetsledelse og avklart roller og ansvar. Det er ikke etablert sikkerhetsmål og sikkerhetsstrategi og Hedmark fylkeskommune gjennomfører ikke jevnlige sikkerhetsrevisjoner mv." Problemstilling 2: I hvilken grad har Hedmark fylkeskommune sørget for en slik internkontroll som er nødvendig for å oppfylle øvrige krav i personopplysningsloven og tilhørende forskrift? Revisor har utredet 10 kriterier for denne problemstillingen, og konkluderer med følgende om denne problemstillingen: "Hedmark fylkeskommune har delvis sørget for slik internkontroll som er nødvendig for å oppfylle øvrige krav i personopplysningsloven med forskrift. Tannhelsetjenesten har i det alt vesentlige etablert en internkontroll som er nødvendig for å oppfylle krav i personopplysningsloven med forskrift. Hedmark fylkeskommune etterlever samlet sett ikke kravene om at de skal ha oversikt over behandling av personopplysninger. Herunder hvem som er ansvarlig, hvilke personopplysninger som behandles,

6 det rettslige grunnlaget for behandlingen, formålet med og krav til behandlingen. Tannhelsetjenesten og VGO har imidlertid helt eller delvis etterlevd revisjonskriteriene. Hedmark fylkeskommune har etablert rutiner for internkontroll, men tidspunkter for vedlikehold av internkontrollen er ikke konkretisert. Det gjennomføres ikke stikkprøvekontroll (ledelseskontroll) av at internkontrollen faktisk fungerer, noe som bør etableres". Revisors anbefalinger På bakgrunn av funn og vurderinger gjort i revisjonen, har revisjonen følgende anbefalinger for problemstilling 1: Fylkesrådet bør sørge for at Hedmark fylkeskommune: 1. utarbeider og dokumenterer etablert sikkerhetsledelse for personopplysninger. Etablert sikkerhetsorganisasjon med roller og ansvar bør fremkomme klart av dokumentasjonen. Videre bør Hedmark fylkeskommune sørge for å utarbeide sikkerhetsstrategi og etablere konkrete sikkerhetsmål. 2. jevnlig gjennomfører sikkerhetsøvelser og etablerer egenkontroll knyttet til sikkerhetsarbeidet. Sikkerhetsøvelser og egenkontroll bør dokumenteres. 3. jevnlig gjennomfører sikkerhetsrevisjon og dokumenterer dette skriftlig. 4. jevnlig gjennomfører risikovurderinger og dokumenterer risikoen for sikkerhetsbrudd i sine informasjonssystemer. 5. etablerer skriftlig rutine for behandling av avvik knyttet til informasjonssystemet. Videre bør fylkesrådet vurdere: i. om det finnes tilstrekkelig og god oversikt over alle brukere av alle informasjonssystemer. ii. om reglementer, retningslinjer og rutiner som vedrører bruk av informasjonssystemer, i tilstrekkelig grad er gjort kjent for ansatte. Det kan vurderes om det bør gjennomføres konkrete opplæringstiltak for alle eller utvalgte ansatte. iii. om det er mulig å etablere samlede logger som viser både forsøk på uautorisert bruk og autorisert bruk av fylkeskommunens informasjonssystemer, herunder å etablere et register over forsøk på uautorisert bruk som oppbevares i minimum 3 måneder. iv. å videreføre arbeidet med å utarbeide skriftlig og fullstendig dokumentasjon av rutiner og annen informasjon som har betydning for informasjonssikkerheten. v. om dokumentasjon for informasjonssystemer som blir erstattet i tilstrekkelig grad blir tatt vare på, herunder om kravet om oppbevaring i 5 år etterleves. På bakgrunn av funn og vurderinger gjort i revisjonen, har revisjonen følgende anbefalinger for problemstilling 2: Fylkesrådet bør sørge for at Hedmark fylkeskommune: 1. etablerer en samlet oversikt over: a. systemer som behandler personopplysninger og hvem som er behandlingsansvarlig. b. Hvem som er databehandler, dvs. behandler personopplysninger på vegne av behandlingsansvaralig, i de ulike informasjonssystemer og på de ulike enheter/virksomheter. c. Hvilke typer personopplysninger som behandles, samt det rettslige grunnlaget

7 for hver behandling. d. Til hvilket formål de ulike opplysninger er samlet inn. e. Hvilke krav i personopplysningsloven og - forskriften som gjelder for de ulike behandlingene. 2. har rutiner for vedlikehold av og oppfølging av internkontrollen, herunder: a. at det blir fastsatt tidsplaner for vedlikehold av internkontrollen på informasjonssikkerhetsområdet. b. Sørger for at rutiner av betydning for internkontrollen er kjent for de som skal følge dem. c. Gjennomføre jevnlig stikkprøvekontroll for å avdekke hvordan internkontrollen fungerer. Vurderinger Hedmark revisjon har levert en grundig rapport som belyser de vedtatte problemstillingene. IKT-sikkerhet er et stort område, med tilhørende komplisert lovverk. Det er benyttet en rekke revisjonskriterier som alle er relevante for problemstillingene. Disse er valgt presentert i et eget kapittel, noe som gjør rapporten lettere å lese. Det kan for øvrig oppleves som om det er veldig mange mangler ut fra kriteriene. Oppsummering av funnene viser allikevel at det er gjort mye og at det er planer om å gjøre ytterligere. Tannhelsetjenesten og videregående opplæring er to fagfelt som omhandler mange "brukere". Disse to områdene trekkes fram i rapporten som områder hvor det er gjort et betydelig arbeid for å jobbe for tilstrekkelig internkontroll på informasjonssikkerhetsområdet. Anbefalingene som gis vurderes som nyttige. Fylkesrådet svarer også i høringsbrevet at de ser det er klare oppfølgingspunkter som skal håndteres i forlengelsen av rapporten, og at forvaltningsrevisjonen har vært nyttig for å systematisere hva som kreves av tiltak. Rapporten viser at det spesielt er mangler i forhold til påkrevde organisatoriske forhold som omhandler sikkerhetsorganisasjon og -ledelse samt sikkerhetsmål og -strategi. På bakgrunn av at dette mangler er det flere av revisjonskriteriene som ikke er etterlevd, da de har en direkte sammenheng. Fylkeskommunen sier i sitt høringssvar at det allerede er gitt oppdrag om å starte opp et arbeid for å følge opp anbefalingene. Konklusjon Sekretariatet vil anbefale at det gis en tilbakemelding på hvordan alle anbefalingene er fulgt opp til kontrollutvalget. Revisor har sortert anbefalingene ut fra hva som vurderes at fylkesrådet "bør sørge for" og hva fylkesrådet "bør vurdere". I problemstilling 1 er deler av anbefalingene gitt som anbefalinger som fylkesrådet "bør vurdere". Det vurderes som nyttig å få en tilbakemelding på alle anbefalingene som er gitt, selv om det kan virke veldig omfattende. Anbefalingene henger sammen og det er et helhetlig arbeid fylkeskommunen er i gang med å følge opp. Kontrollutvalget vil i etterkant oversende tilbakemeldingen om oppfølgingen til fylkestinget. Da det er relativt omfattende og tidskrevende arbeid rapporten omhandler foreslås det å vente til april 2017 før rapporten følges opp.

8