Forvaltningsrevisjon IKT sikkerhet og drift 2017

Like dokumenter
MØTEPROTOKOLL. Frogn kontrollutvalg

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Internkontroll og informasjonssikkerhet lover og standarder

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Endelig kontrollrapport

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Nye personvernregler

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Internkontroll i Gjerdrum kommune

Nye personvernregler

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Saksbehandler: Reidar Bråtveit Arkiv: 430 Arkivsaksnr.: 15/1320. Hovedutvalg administrasjon

Prosjekt: Utvikling av egenkontrollen i kommunene Fornyingskonferansen 31. oktober 2013

Styringssystem i et rettslig perspektiv

Betryggende kontroll Internkontrollen til rådmannen

Styret Helse Sør-Øst RHF 14. desember 2017

Fagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter)

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Ny styringsmodell for informasjonssikkerhet og personvern

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø,

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Krav til informasjonssikkerhet i nytt personvernregelverk

Endelig kontrollrapport

Kommunens Internkontroll

Styresak Orienteringssak - Informasjonssikkerhet

Helseforetakenes senter for pasientreiser ANS 1/2016

Internkontroll i Bergen kommune. Liv Røssland Byråd for finans, eiendom og eierskap

ekommune 2017 Prosessplan for god praksis om personvern

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

Helhetlig risikostyring som en integrert del av mål- og resultatstyringen i Helse Midt-Norge Toril Orrestad

Krav til ledelse og kvalitet

Ny forskrift om krav til kvalitetsforbedring i helse- og omsorgstjenesten

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Forvaltningsrevisjon BKR. Oppfølging av forvaltningsprosjektet «Internkontroll innen pleie- og omsorgstjenesten» fra januar 2015

Saksframlegg Referanse

Styremøte 15. juni 2016 i Sørlandet sykehus HF. Styresak

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Til styret i Sunnaas sykehus HF. 21. september Sak 5318 Innføring av General Data Protection Regulation (GDPR) Forslag til vedtak

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Ledelse og kvalitetsforbedring. Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgssektoren

Personopplysninger og opplæring i kriminalomsorgen

Informasjonssikkerhet og ISO 27001

Krav til ledelse og kvalitet

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Saksliste Saker til behandling 1/18 Forvaltningsrevisjon IKT sikkerhet og drift 3 2/18 Forvaltningsrevisjonsrapport - Etikk og habilitet 43 3/1

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES?

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Forvaltningsrevisjon Bergen kommune Internkontroll i Byrådsavdeling for finans, eiendom og eierskap. Prosjektplan/engagement letter

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Revisjon av informasjonssikkerhet

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

MØTEPROTOKOLL KONTROLLUTVALGET I SØNDRE LAND KOMMUNE. Mandag 4. juni 2018 holdt kontrollutvalget møte i Søndre Land rådhus kl

Bakgrunn. EU har vedtatt ny personvernforordning

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Ledelse og. kvalitetsforbedring. Forskrift om ledelse og kvalitetsforbedring i helseog omsorgssektoren

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

Endelig kontrollrapport

Endelig Kontrollrapport

Arkivplan og internkontroll Merarbeid eller samarbeid?

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Internkontroll og avvikshåndtering

Prosjekt: Utvikling av egenkontrollen i kommunene

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010

Noen aktuelle tema for personvernombud i finans

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kan du legge personopplysninger i skyen?

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

Møteinnkalling Kontrollutvalget Aremark

Møteprotokoll Kontrollutvalget Sarpsborg

PLAN FOR FORVALTNINGSREVISJONN Selbu kommune. Vedtatt i kommunestyrets møte , sak 68/14.

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Hva gjør så KiNS og KS med GDPR?

Internkontroll i praksis (styringssystem/isms)

Avito Bridging the gap

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

HVORFOR SVIKTET DET? Fagkonferanse kontroll og tilsyn Gardermoen mai 2018

Personvern - sjekkliste for databehandleravtale

IK system for Fredikstad Seafood

Transkript:

Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8

INNHOLD Innledning... 3 Implementeing av GDPR... 4 IKT sikkerhet og drift og Informasjonssikkerhet... 5 Utarbeider skriftlige rutiner som dekker alle sentrale arbeidsprosesser for styring av IKT - funksjonen.... 5 Gjennomfører systematiske kartlegginger og analyser av hvor i kommunens IKT - systemer ogløsninger det foreligger risiko for feil, mangler eller svikt, herunder driftsstans, nedetid mv., samt når dette kan inntreffe.... 5 Gjennomgår styringssystemet for informasjonssikkerhet, og sikrer at det oppfyller gjeldende krav i regelverket til behandling av personopplysninger, herunder:... 6 a. Etablerer system og rutiner for å sikre at oversiktene over personalopplysninger som behandles er oppdatert og fullstendig, og at all relevant informasjon om personopplysninger som behandles blir registrert.... 6 b. Sikrer at det blir gjennomført systematiske risikoanalyser opp mot fastsatte akseptkriterier, knyttet til hvor og når det kan forekomme feil og mangler med hensyn til informasjonssikkerhet og behandling av personopplysninger.... 7 c. Sikrer at det blir meldt avvik knyttet til eventuell mangelfull behandling av personopplysninger, og at meldte avvik følges opp og lukkes... 7 d. Sikrer at det blir etablert tilstrekkelig rutiner for tildeling og kontroll av ansattes til personopplysninger som blir behandlet i fag- og fellessystemer.... 8

INNLEDNING I samsvar med bestilling fra kontrollutvalget i Frogn kommune, har Deloitte gjennomført en forvaltningsrevisjon av IKT sikkerhet og drift i kommunen. Formålet med forvaltningsrevisjonen har vært å kartlegge og vurdere kommunens sentrale IKT-funksjoner med fokus på sikkerhet, drift, overordnede målsetninger og rutiner samt kommunens etterlevelse av lover og regler knyttet til informasjonssikkerhet og personvern. Forvaltningsrevisjonen viser at Frogn kommune har definert mål og strategier for utvikling av IKT-området som inkluderer planer for investeringer i IKT-systemer. Planene for utvikling av IKTsystemer følges opp i samsvar med de strategiene som er lagt, og rapporteres på i månedlig økonomirapportering, og i forbindelse med tertialrapportering. Videre har kommunen, i samsvar med anerkjent praksis, utarbeidet system for overordnet styring av IKT-funksjonen med skriftlige rutiner knyttet til sikkerhet, drift og vedlikehold av IKT-systemer. Dette inkluderer rutiner for å forhindre driftsstans og for å gjenoppta normal drift etter eventuell driftsstans. Samtidig viser forvaltningsrevisjonen at kommunen ikke i tilstrekkelig grad har utarbeidet rutiner for å redusere og forhindre avdekte IKT-risikoer. Revisjonen mener systematiske risikoanalyser er et sentralt element for å sikre god internkontroll når det gjelder å avdekke aktiviteter eller prosesser hvor det kan være fare for manglende måloppnåelse, manglende etterleving av rutiner og regelverk, eller svikt i drift av sentrale løsninger og systemer som vil kunne påvirke de tjenestene kommunen tilbyr Forvaltningsrevisjonen viser at Frogn kommune har utarbeidet et styringssystem for informasjonssikkerhet. Kommunen har etablert både sikkerhetsmål og sikkerhetsstrategi gjeldende for kommunens arbeid med informasjonsbehandling, og har også kartlagt hvilke personopplysninger som behandles gjennom ulike fag- og fellessystemer. Kommunen har imidlertid ikke etablert system og rutiner for å sikre at oversiktene over personopplysninger som behandles er oppdatert og fullstendig, eller at all relevant informasjon om personopplysningene som behandles blir registrert, herunder informasjon om formålet med behandlingen. Etter revisjonens vurderinger er flere av funnene knyttet til kommunens arbeid med informasjonssikkerhet ikke i samsvar med gjeldende regelverk. Rådmannen bemerker at kommunen har stort fokus på informasjonssikkerhet og å behandle personopplysninger i henhold til gjeldende lov og regelverk. IKT systemene har høy tilgjengelighet og antall uønskede hendelser som berører IKT sikkerhet eller medfører nedetid på IKT systemer er svært lavt. Rådmannen bemerker også at han gjennom prosjektet «Orden i eget hus» arbeider med å styrke internkontrollarbeidet i hele organisasjonen og at han vil benytte rapportens konklusjoner og anbefalinger i det videre arbeidet med å imøtekomme kravene som stilles i den nye personvernforordningen fra EU, GDPR (General Data Protection Regulation) I kommunestyrets behandling av forvaltningsrevisjonen 12/3-2018 bes rådmannen om å følge opp anbefalinger og tiltak og melde tilbake til kontrollutvalget om resultatet innen 2 måneder.

IMPLEMENTEING AV GDPR EU innfører ny personvernforordning (heretter GDPR) 25. mai 2018. GDPR blir også innført i Norge, mest sannsynlig fra 1/7-2018. Innføring av GDPR betyr en vesentlig styrking av innbyggernes personvern og har derfor konsekvenser for hvordan en offentlig virksomhet behandler personopplysninger. Arbeidet i Frogn kommune med å planlegge, forberede og implementere struktur, rammer og verktøy for å etterleve kravene i GDPR gjennomføres som et prosjekt. Prosjektgruppen består i dag av 7 personer med bakgrunn fra ulike fagområder. Ny dokumentasjon tilpasset kravene i GDPR er på plass i kommunens kvalitetssystem Compilo og alle systemer og registre kartlegges i forhold til lagring av personinformasjon i hht. de nye kravene. Etter avvikling av prosjektet vil kravene bli fulgt opp i det daglige av enhetsledere i samspill med personvernombud, sikkerhetsleder og prosjektet Orden i eget hus. Prosjektet har som mål at GDPR implementeres i- og brukes aktivt av hele organisasjonen. Alle ansatte skal ha et bevisst forhold til personvernet og etterleve forsvarlig behandling av personopplysninger. ROS-analyser skal benyttes som metode for å vurdere risiko for avvik og iverksette risikobaserte tiltak. Fig 1, Utdrag av plan for implementering av GDPR i Frogn kommune.

IKT SIKKERHET OG DRIFT OG INFORMASJONSSIKKERHET Kommunestyret merket seg at revisjonen anbefaler at Frogn kommune setter i verk følgende tiltak knyttet til IKT sikkerhet og drift og informasjonssikkerhet: Utarbeider skriftlige rutiner som dekker alle sentrale arbeidsprosesser for styring av IKT - funksjonen. God dokumentasjon og tilhørende forvaltning av denne med klare oppgaver, ansvar og internkontroll, skal sikre forsvarlig bruk, drift, vedlikehold og forvaltning av Frogn kommunes IKT systemer. Frogn kommune har utarbeidet et system for overordnet styring av IKT-funksjonen som baserer seg på COBIT-rammeverket. Dokumentasjonen er organisert i forhold til de fire sentrale områdene i rammeverket. Områdene er Planlegging og Organisering, Anskaffelse og Implementering, Driftsleveranse og Støtte, Monitorere og Evaluere. Dokumentasjon og styringssystemet er tilgjengelig i kvalitetssystemet Compilo. Revisjonen påpeker at ikke alle sentrale arbeidsprosesser for styring av IKT funksjonen er dekket i styringssystemet. Dette gjelder spesielt innen området Monitorering og Evaluering men også Anskaffelse og Implementering bør forbedres. For å redusere sårbarhet og sikre god styring pågår det ett kontinuerlig arbeid med kartlegging og prioritering av områder det må utarbeides skriftlige rutiner på. Målet er at alle sentrale arbeidsprosesser for styring av IKT funksjonen skal være dekket. Arbeidet med punkt 2, kartlegginger og vurderinger av risiko vil påvirke dokumentasjonen i styringssystemet. Det er for tiden mange oppgaver som skal i varetas av IKT funksjonen, annet som følge av arbeidet med GDPR. Arbeidet med styringssystemet vil derfor ikke være avsluttet før sent høsten 2018. Gjennomfører systematiske kartlegginger og analyser av hvor i kommunens IKT - systemer og- løsninger det foreligger risiko for feil, mangler eller svikt, herunder driftsstans, nedetid mv., samt når dette kan inntreffe. Dokumentasjon og internkontroll for IKT området skal utvikles videre innenfor det etablerte Cobit rammeverket og internkontrollen Orden i eget hus. Kritiske prosesser, mulighet for manglende etterlevelse av rutiner eller mulighet for svikt innen drift av sentrale løsninger som vil påvirke kommunens tjenester kartlegges. Som en del av internkontrollen må det settes en akseptabel risiko og det må gjennomføres systematiske risikovurderinger av alle områder hvor det kan oppstå kritisk svikt. Arbeidet vil foregå kontinuerlig med fokus på endringer og innføring av nye systemer.

GJENNOMGÅR STYRINGSSYSTEMET FOR INFORMASJONSSIKKERHET, OG SIKRER AT DET OPPFYLLER GJELDENDE KRAV I REGELVERKET TIL BEHANDLING AV PERSONOPPLYSNINGER, HERUNDER: a. Etablerer system og rutiner for å sikre at oversiktene over personalopplysninger som behandles er oppdatert og fullstendig, og at all relevant informasjon om personopplysninger som behandles blir registrert. Som er del av arbeidet med GDPR blir alle systemer og registre med personopplysninger kartlagt for å etablere en status på alle behandlinger av personopplysninger. Det er til sammen 73 punkter som kartlegges for hver behandling. Med 110 systemer og registre samt 150 apper som benyttes i skolene er dette ett krevende arbeid.

b. Sikrer at det blir gjennomført systematiske risikoanalyser opp mot fastsatte akseptkriterier, knyttet til hvor og når det kan forekomme feil og mangler med hensyn til informasjonssikkerhet og behandling av personopplysninger. Sammen med utarbeidelsen av en protokoll for hver behandling blir det foretatt en risikovurdering av behandlingen for å sikre at risiko er innenfor akseptabel risiko satt av behandlingsansvarlig. Dette gjøres i samsvar med prosedyrene i kvalitetssystemet. Dersom behandlingen ikke er innenfor akseptable risiko utarbeides det nødvendige tiltak. Kommunene må dokumentere at personopplysningene til enhver tid behandles i tråd med personvernprinsippene i GDPR. Dette krever at dokumentasjonsdelen som består av styrende, gjennomførende, daglige og kontrollerende prosedyrer er integrert i kommunens overordnede internkontrollsystem (Orden i eget hus) og og er underlagt samme systematikk som andre områder som krever internkontroll. Dette inkluderer avviksoppfølging, rapportering til ledelsen, ledelsens gjennomgang og periodisk revisjon. c. Sikrer at det blir meldt avvik knyttet til eventuell mangelfull behandling av personopplysninger, og at meldte avvik følges opp og lukkes. Kvalitetssystemet har en egen modul for melding av avvik. Denne modulen er bygget opp etter organisasjons struktur og har automatisk eskalering dersom avvik ikke blir ivaretatt innen oppsatt

tidsfrist. Oppfølging av avvik er en viktig del av kommunens arbeid med kontinuerlig forbedring. En viktig del av internkontrollen er en regelmessig gjennomføring av sikkerhetsrevisjon og ledelsens gjennomgang hvor de oppsatte mål følges opp og eventuelle korrigerende tiltak iverksettes. Det er etablert en prosedyre for melding av avvik og dette vil også være tema i opplæring av nye brukere. d. Sikrer at det blir etablert tilstrekkelig rutiner for tildeling og kontroll av ansattes til personopplysninger som blir behandlet i fag- og fellessystemer. Frogn kommune har gode rutiner som sikrer at nytilsatte får nødvendige tilganger til de forskjellige systemene de skal benytte, og at tilgangene slettes når de slutter. Bestilling av- og sletting av tilganger er initiert via kommunens sak og arkiv system og dokumentert i IKT sitt oppgavesystem. Revisjonen viste at det i mindre grad var formelle kontrollrutiner for jevnlig oppfølging av at de ansattes tilganger var i tråd med de faktiske behov, spesielt ved endring i ansvarsforholds mm. GDPR stiller strenge krav til at de ansattes kun har tilgang til personopplysninger som er nødvendige i forhold den behandlingen de skal gjennomføres og dette vedlikeholdes regelmessig. Det er iverksatt nye prosedyrer for å ivareta tilgangsstyringen, både sektorovergripende og mer detaljerte rutiner for den enkelte virksomhet/fagsystem. Eksempler på prosedyrer for å ivareta tilganger til helseopplysninger. Oppfølging av tilganger vil også være en del av kommunens avvikshåndtering og sikkerhetsrevisjoner.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding