Innføring av kvalitetssystem i Larvik kommune

Transkript

1 Difi 14. oktober 2011 Innføring av kvalitetssystem i Larvik kommune Terje D. Hasle IT-sjef

2 Disposisjon Larvik kommune Historikk/bakgrunn for sertifiseringen Prosessen Systemet Erfaringer Larvik der det gode liv lever!

3 Fakta om Larvik Antall innbyggere: ca Areal: ca 350 km2 Kystlinje: 123 km Næring: skog og landbruk, trefordeling, logistikk, steinbrudd (larvikitt) Turisme: hytter, 26 campingplasser Antall fast ansatte: 2970 Antall kommunale årsverk: 2430

4 Administrativ organisering Rådmann 1 ass. rådmenn 20 resultatenheter Team relatert til Utviklingsoppgaver Sentraladministrasjonen 7 avdelinger

5 Disposisjon Larvik kommune Historikk/bakgrunn for sertifiseringen Prosessen Systemet Erfaringer Larvik der det gode liv lever!

6 Bakgrunn for ISO-sertifisering Innovativ rådmann med pågangsmot og konkurranseinstinkt Benchmarking - Larvik skulle være best! Styring etter FBR (Fullstendig BalanseRegnskap) Et planleggings og styringsverktøy Hvordan kan Larvik kommune forbedre ressursbruk og planlegging ved bruk av nøkkeltall? Sertifiseringsprosjekt startet høsten 1999 ISO 9001 på plass i 2000 ISO på plass i 2001

7 Bakgrunn for Kommunen er en informasjonsbedrift Svært mye personsensitivt Informasjonen finnes i mange varianter, på mange medier og i mange versjoner En organisasjon med stor variasjon Geografisk, ca. 110 lokasjoner Faglig, ca. 80 ulike fagsystemer Organisatorisk, ca. 70 resultatenheter Krav om sikring av informasjon Personopplysningsloven Diverse særlover Interne krav og retningslinjer

8 Prosjektmål for Informasjonssikkerheten i Larvik kommune er på et nivå som gjør at kommunen kan sertifiseres etter Standard for informasjonssikkerhet BS7799 i løpet av 2002.

9 Disposisjon Larvik kommune Historikk/bakgrunn for sertifiseringen Prosessen Systemet Erfaringer Larvik der det gode liv lever!

10 Organisert som prosjekt Rådmannen er prosjekteier Prosjektleder 50% Prosjektgruppe bredt sammensatt Ekstern konsulent ved behov Prosjektperiode 1/1 31/ Prosjektmandat og prosjektbeskrivelse i henhold til kvalitetssystemet Avgrensning: hele kommuneadministrasjonen Prosjektets hensikt: Systematisere og utvikle Larvik kommunes informasjonssikkerhetsarbeid

11 Noen hovedmilepæler Prosjektmandat og -beskrivelse godkjent Sikkerhetspolicy (retningslinjer for informasjonssikkerhet) godkjent Risikovurderinger gjennomført Mange svakheter ble avdekket Implementering IT-systemet Dokumentasjon utarbeidet Full implementering i Kvalitetssystemet Start sertifisering Flagget til topps

12 Sterke sider / utfordring Meget god ledelsesforankring Omstillingsvant organisasjon Korte kommandolinjer 2-nivå modell Allerede etablert et kvalitetssystem Skapte stort engasjement, samhold og entusiasme BS7799 ny og uprøvd i kommunesektoren Svært detaljert standard Tilpasset IT-bedrifter (del 2, SofA)

13 Disposisjon Larvik kommune Historikk/bakgrunn for sertifiseringen Prosessen Systemet Erfaringer Larvik der det gode liv lever!

14 Oversikt, hovedelementer Styrende dokumenter: Kommuneplanen (12 år) Arealdel Samfunnsdel Viser strategiske mål Planer (næringsplan, kommunedelsplaner ) Policyer (kvalitet, miljø, arbeidsmiljø, informasjonssikkerhet, informasjon) Strategidokumentet (4 år, årlig rullering) Viser styringsmål Virksomhetsplaner (1 år) Viser tiltak for å nå målene

15 Oversikt, hovedelementer Risikovurderinger I alle enheter inkl. STR Utføres av enhetene selv Maler og eksempler tilgjengelig i kvalitetssystemet Bistand fra internrevisorer ved behov Trusler - sannsynlighet konsekvenser tiltak Driftsrutiner og prosjekter Risikostyring Kontrollere, redusere, eliminere risiko Forebyggende og beredskap

16 Oversikt, hovedelementer Kvalitetsystemet Forbedringsordningen Stimulere alle medarbeidere til kontinuerlig kvalitetsutvikling Sikre at muligheter for og krav til forbedringer blir identifisert, dokumentert og behandlet på en enhetlig og effektiv måte Meldingsordningen Alle innbyggere oppfordres til å komme med forslag klager ris/ros Meldinger kan komme muntlig skriftlig elektronisk Melder er sikret tilbakemelding pr. telefon, fra rett ansvarlig person og innen 14 dager Kvalitetshåndboka

17 Oversikt, løpende rapportering Månedsrapport Tertialrapport Årsrapport Ledelsens gjennomgang Interne og eksterne revisjonsrapporter Forbedringsrapporter Status forbedringstiltak Resultat lederevaluering Klimaundersøkelsen Miljøgjennomgang Brukerundersøkelse Mmm

18 Oversikt, revisjoner Interne revisjoner Egne revisjonskorps Eksterne revisjoner Veritas Årlig foreteelse Utvalgte enheter og fagområder Resultat fra ledelsens gjennomgang Virksomhetsplanen Risikovurderinger Etc.etc.

19 Oversikt, revisjoner Resultat fra revisjoner: Kategorier Avvik kategori 1: Sterk tvil om produkter eller tjenester tilfredsstiller avtalte krav Mangel på dokumentasjon eller implementering gav systemelementer Avvik kategori 1 som ikke er lukket innen fristen Avvik kategori 2: Enkeltstående feil og mangler i forhold til gitte krav Observasjon, noe som kan føre til avvik Forbedringsmulighet Positivt tiltak Alt meldes inn og følges opp i forbedringsordningen

20

21 Larvik kommunes felles kvalitetsledelses- og miljøstyringssystem Forbedrings-ordningen C2 Forbedringsordningen - papirskjema Kvalitets- og miljøhåndbøker: Meldekort (Reg. av muntlige meldinger fra innbyggerne) Til innholdsfortegnelser Resultatenheter Til innholdsfortegnelse Felles Helse, miljø og sikkerhet HMS For å slippe å trykke Ctrl + mus når du bruker Word-linker, trykk her for veiledning.

22 Kvalitetshåndbok Larvik kommune Innholdsfortegnelse FELLES Snarvei til: Kap. 1 Kap. 2 Kap. 3 Kap. 4 Kap. 5 Kap. 6 Kap. 7 Kap. 8 Bruk musa og trykk. Du kan gå fram og tilbake mellom dokumenter med de små blå pilene i verktøylinjen, som kommer fram ved å trykke Vis-Verktøylinjer-Web. Trykk her for en kort introduksjon til kvalitetssystemet. Systemet skal tilfredsstille følgende ISO-standarder: ISO 9001, ISO og ISO Sist oppdatert: kl Forrige oppdatering: kl INNHOLD UTGAVE PROSESSEIER 1. Larvik kommune 1.1. Organisasjonsplan rådmann 1.1.1Organisasjonsplan 14 / Delegering 5 /

23 5.5. IT-drift rådmann 5.5.1BrukermeldingIT 5.5.2BestillingUtstyr RepAvUtstyr 5.5.4HandteringAvBruktUtrangertIT_Utstyr 5.5.5RaderingAvData 5.5.6ÅrligKontrollAv BrukerregisterIT 5.5.7BestillingTelefonsentraler Melding om prosjekter og større oppdrag 7 / / / / / / / /

24 KVALITETS HÅNDBOKEN Felles / Enhet: Felles Inngår i kapittel 5. STØTTEPROSESSER Utgave/Gyldig f.o.m 3 / Erstatter 2 / Side 1(3) Dokumentnavn 5.5.4HandteringAvBruktUtrangertIT_Utstyr.doc Prosesseier/ sist endret av (for og etternavn) Rådmannen/ Terje D. Hasle HENSIKT Prosessen skal sikre en forsvarlig håndtering av brukt IT-utstyr slik at kravene til sikkerhet og REFERANSER Miljøpolicy definert i kap i kvalitetshåndboka. Strategi for informasjonssikkerhet definert i kap i kvalitetshåndboka. ANSVAR OG MYNDIGHET IT-avdelingen har ansvar for å beskrive og gjøre kjent rutiner for retur av IT-utstyr fra enhetene og sentraladministrasjonen. BESKRIVELSE IT-avdelingen vurderer innlevert utstyr og rangerer i to kategorier: -utstyr som skal kasseres -utstyr som kan benyttes videre 1: Utstyr som skal kasseres: DOKUMENT Sjekklister/ maler som brukes i prosessen Original Ansvarlig 5.5.5RaderingAvData Q:\Felles Rådmannen Dokumenter som skapes i prosessen Arkiv Arkiveringstid Kvittering for mottatt utstyr IT-avdelingen 10 år Q:\Felles\5.5.4HandteringAvBruktUtrangertIT_Utstyr.doc

25 Brukt/utrangert utstyr er levert til IT-avdelingen 5.5.5RaderingAvData Sletter data fra faste disker Skal PC en gjenbrukes? Nei Sletting av data med KillDisk Nyttige deler som for eksempel ram o.a tas vare på Norsk Gjenvinning Ja Skal PC en i Larvik kommunes nettverk? Nei Sletting av data med KillDisk PC en leveres til AOK AOK Ja PC en ghostes IT sender melding til RE/ mottaker når PC en er klar PC en hentes og kvitteres ut SupportPoint RE/ Mottaker

26 Larvik kommune Felles kvalitetssystem Versjon 16, Ansvarlig: Kvalitetsleder SofA Statement of Applicability (anvendelsesklæring) Dette dokumentet skal: gi referanser til hvor Larvik kommune har beskrevet oppfyllelsen av de enkelte sikkerhetskrav i standard ISO/IEC 27001:2005 (engelsk), se også veiledningsstandarden: NS ISO/IEC 17799:2005 (på norsk) Dokumentasjonen er i form av ren tekst, eller link til prosedyrer, rutiner, sjekklister - i kvalitetssystemet, på intranett etc beskrive årsak til at standardens sikkerhetskrav søkes oppfylt, evt. til at kravet ikke er aktuelt eller relevant. (Et punkt kan ha flere begrunnelser, årsaken til dette kan f.eks. være at egne krav går lengre enn lovkrav, eller at kravet indirekte er pålagt i lov.) gi referanser også for eventuelle sikkerhetskrav som ikke dekkes av standarden Begrunnelse ISO NS-ISO Sikkerhetskrav i standarden (norsk tekst er brukt i hovedsak her, for å øke forståelsen i organisasjonen) Oppfylles kravet? Ja/Delvis/Ne i/ikke Relevant Lovkrav Egne krav Risiko vurd. Dokumentasjon Ansvarlig 1 OMFANG Prosjektbeskrivelse fra innføring Kvalitetssystem manual Kvalitetsleder 1.1 Generelt Anvendelse NORMATIVE REFERANSER 3 TERMER OG DEFINISJONER Q:\Felles\TilleggKap1\SofA.doc

27 ISO NS-ISO Sikkerhetskrav i standarden (norsk tekst er brukt i hovedsak her, for å øke forståelsen i organisasjonen) Oppfylles kravet? Ja/Delvis/N ei/ikke Relevant Begrunnelse Dokumentasjon Ansvarlig A Sikkerhet for eksternt plassert utstyr Ja X Se kvalitetssystemets prosess Fysisk og miljømessig sikkerhet. IT/ sikkerhetsjef A Sikker avhending eller gjenbruk av utstyr Ja X X Avhending av utstyr skal skje via IT-avdelingen, jfr. kvalitetssystemets kap og kap IT A Fjerning av eiendeler Ja X Det vises til kommunens Retningslinjer for informasjonssikkerhet, kap. 4.6 og kvalitetssystemets prosess Fysisk og miljømessig sikkerhet. Sikkerhetsjef A.10 KOMMUNIKASJONS- OG DRIFTSADMINISTRASJON A.10.1 Driftsprosedyrer og ansvarsforhold Kvalitetsleder/IT A Dokumenterte driftsprosedyrer Delvis X X IP-check benyttes for å systematisere daglige driftsoppgaver. Systemet melder avvik (for eksempel diskforbruk, tjenstestopp, linjefeil etc.). Backup-status sjekkes hver morgen. Melding om avvik sendes fra backup-systemet til driftsansvralig. Dette logges til driftsansvarlig i SupportPoint. IT A Endringsadministrasjon Delvis X X Rutine for å melde fra om planlagte IT-systemer/endringer til IT-systemer fra andre enheter; se felles rutine Melding om prosjekter og større oppdrag. Se også A IT

28 ISO NS-ISO A Sikkerhetskrav i standarden (norsk tekst er brukt i hovedsak her, for å øke forståelsen i organisasjonen) Sikker avhending eller gjenbruk av utstyr Oppfylles kravet? Ja/Delvis/Nei / Ikke Relevant Begrunnelse Ja X X Dokumentasjon Ansvarlig Avhending av utstyr skal skje via IT-avdelingen, jfr. kvalitetssystemets kap og kap IT

29

30

31

32

33 Måned: August År: 2011 Resultatenhet: IT-avdelingen Resultatenhetsleder: Terje Hasle TEMA STATUS (Obligatorisk) AVVIK? (Obligatorisk) LUKKING AV AVVIK Tiltak / frist / konsekvenser (Obligatorisk ved avvik) LEDERSTØTTE? (Obligatorisk ved avvik) 1. ØKONOMI JA NEI JA NEI Forbruk netto lønn i %:* 73,21 X Sum utgifter i %: ** 64,87 Sum inntekter i %: ** 184,74 X 2. SYKEFRAVÆR I % Korttidsfravær: (1 til 16 dg) 0,00 0 Langtidsfravær: (fom 17 dg) 6,07 0 Totalfravær, kort 0,32 0 Totalfravær, lang 7, UTVIKLINGSSAMTALER Antall samtaler/antall ansatte (skrives som brøk): 0/12 X 0 4. DOKUMENTERTE FORBEDRINGSRAPPORTER DENNE MND. 0 X Antall avslått: 0 X 5. BRUKERKONSEKVENSER DENNE MND. Antall klager (formell klagerett) og oppfølging: Antall meldekort (meldingsordningen) og oppfølging: Ikke relevant Ikke relevant 6. TJENESTEBESKRIVELSER OG BRUKERGARANTIER Antall garantibrudd Ikke relevant 7. UGYLDIG/BEKYMRINGSFULLT FRAVÆR (GRUNNSKOLEN) Ikke relevant 8. EVENTUELLE ANDRE FORHOLD:

34 Disposisjon Larvik kommune Historikk/bakgrunn for sertifiseringen Prosessen Systemet Erfaringer Larvik der det gode liv lever!

35 Oppsummering/erfaringer: Ja, det har vært nyttig!! Bevisstgjøring / Forståelse / Holdinger Klar plassering av ansvar Økt intern kompetanse Prosesser/rutiner er beskrevet Oversikt og orden (Tja. ) Systemer er på plass og lever! Sikrer kontinuerlige forbedringer Kvalitet gir økt troverdighet 90% organisasjon - 10% teknologi

36 Oppsummering/erfaringer: Men - Mye å vedlikeholde / vanskelig å holde alt materiell ajour Vanskelig å finne en god struktur Jakter på et nytt system Varierende lojalitet Stram oppfølging / rapportering Det koster å være sertifisert Trenger vi et politi? Er vi bedre enn andre?