Forvaltningsrevisjon IKT sikkerhet og drift 2017 Fremdrift i arbeidet med anbefalinger og tiltak April 2018 Sak 17/01908 og melding om vedtak i kommunestyret 12/3-2018, arkivsak-dok 17/010908-8
INNHOLD Innledning... 3 Implementeing av GDPR... 4 IKT sikkerhet og drift og Informasjonssikkerhet... 5 Utarbeider skriftlige rutiner som dekker alle sentrale arbeidsprosesser for styring av IKT - funksjonen.... 5 Gjennomfører systematiske kartlegginger og analyser av hvor i kommunens IKT - systemer ogløsninger det foreligger risiko for feil, mangler eller svikt, herunder driftsstans, nedetid mv., samt når dette kan inntreffe.... 5 Gjennomgår styringssystemet for informasjonssikkerhet, og sikrer at det oppfyller gjeldende krav i regelverket til behandling av personopplysninger, herunder:... 6 a. Etablerer system og rutiner for å sikre at oversiktene over personalopplysninger som behandles er oppdatert og fullstendig, og at all relevant informasjon om personopplysninger som behandles blir registrert.... 6 b. Sikrer at det blir gjennomført systematiske risikoanalyser opp mot fastsatte akseptkriterier, knyttet til hvor og når det kan forekomme feil og mangler med hensyn til informasjonssikkerhet og behandling av personopplysninger.... 7 c. Sikrer at det blir meldt avvik knyttet til eventuell mangelfull behandling av personopplysninger, og at meldte avvik følges opp og lukkes... 7 d. Sikrer at det blir etablert tilstrekkelig rutiner for tildeling og kontroll av ansattes til personopplysninger som blir behandlet i fag- og fellessystemer.... 8
INNLEDNING I samsvar med bestilling fra kontrollutvalget i Frogn kommune, har Deloitte gjennomført en forvaltningsrevisjon av IKT sikkerhet og drift i kommunen. Formålet med forvaltningsrevisjonen har vært å kartlegge og vurdere kommunens sentrale IKT-funksjoner med fokus på sikkerhet, drift, overordnede målsetninger og rutiner samt kommunens etterlevelse av lover og regler knyttet til informasjonssikkerhet og personvern. Forvaltningsrevisjonen viser at Frogn kommune har definert mål og strategier for utvikling av IKT-området som inkluderer planer for investeringer i IKT-systemer. Planene for utvikling av IKTsystemer følges opp i samsvar med de strategiene som er lagt, og rapporteres på i månedlig økonomirapportering, og i forbindelse med tertialrapportering. Videre har kommunen, i samsvar med anerkjent praksis, utarbeidet system for overordnet styring av IKT-funksjonen med skriftlige rutiner knyttet til sikkerhet, drift og vedlikehold av IKT-systemer. Dette inkluderer rutiner for å forhindre driftsstans og for å gjenoppta normal drift etter eventuell driftsstans. Samtidig viser forvaltningsrevisjonen at kommunen ikke i tilstrekkelig grad har utarbeidet rutiner for å redusere og forhindre avdekte IKT-risikoer. Revisjonen mener systematiske risikoanalyser er et sentralt element for å sikre god internkontroll når det gjelder å avdekke aktiviteter eller prosesser hvor det kan være fare for manglende måloppnåelse, manglende etterleving av rutiner og regelverk, eller svikt i drift av sentrale løsninger og systemer som vil kunne påvirke de tjenestene kommunen tilbyr Forvaltningsrevisjonen viser at Frogn kommune har utarbeidet et styringssystem for informasjonssikkerhet. Kommunen har etablert både sikkerhetsmål og sikkerhetsstrategi gjeldende for kommunens arbeid med informasjonsbehandling, og har også kartlagt hvilke personopplysninger som behandles gjennom ulike fag- og fellessystemer. Kommunen har imidlertid ikke etablert system og rutiner for å sikre at oversiktene over personopplysninger som behandles er oppdatert og fullstendig, eller at all relevant informasjon om personopplysningene som behandles blir registrert, herunder informasjon om formålet med behandlingen. Etter revisjonens vurderinger er flere av funnene knyttet til kommunens arbeid med informasjonssikkerhet ikke i samsvar med gjeldende regelverk. Rådmannen bemerker at kommunen har stort fokus på informasjonssikkerhet og å behandle personopplysninger i henhold til gjeldende lov og regelverk. IKT systemene har høy tilgjengelighet og antall uønskede hendelser som berører IKT sikkerhet eller medfører nedetid på IKT systemer er svært lavt. Rådmannen bemerker også at han gjennom prosjektet «Orden i eget hus» arbeider med å styrke internkontrollarbeidet i hele organisasjonen og at han vil benytte rapportens konklusjoner og anbefalinger i det videre arbeidet med å imøtekomme kravene som stilles i den nye personvernforordningen fra EU, GDPR (General Data Protection Regulation) I kommunestyrets behandling av forvaltningsrevisjonen 12/3-2018 bes rådmannen om å følge opp anbefalinger og tiltak og melde tilbake til kontrollutvalget om resultatet innen 2 måneder.
IMPLEMENTEING AV GDPR EU innfører ny personvernforordning (heretter GDPR) 25. mai 2018. GDPR blir også innført i Norge, mest sannsynlig fra 1/7-2018. Innføring av GDPR betyr en vesentlig styrking av innbyggernes personvern og har derfor konsekvenser for hvordan en offentlig virksomhet behandler personopplysninger. Arbeidet i Frogn kommune med å planlegge, forberede og implementere struktur, rammer og verktøy for å etterleve kravene i GDPR gjennomføres som et prosjekt. Prosjektgruppen består i dag av 7 personer med bakgrunn fra ulike fagområder. Ny dokumentasjon tilpasset kravene i GDPR er på plass i kommunens kvalitetssystem Compilo og alle systemer og registre kartlegges i forhold til lagring av personinformasjon i hht. de nye kravene. Etter avvikling av prosjektet vil kravene bli fulgt opp i det daglige av enhetsledere i samspill med personvernombud, sikkerhetsleder og prosjektet Orden i eget hus. Prosjektet har som mål at GDPR implementeres i- og brukes aktivt av hele organisasjonen. Alle ansatte skal ha et bevisst forhold til personvernet og etterleve forsvarlig behandling av personopplysninger. ROS-analyser skal benyttes som metode for å vurdere risiko for avvik og iverksette risikobaserte tiltak. Fig 1, Utdrag av plan for implementering av GDPR i Frogn kommune.
IKT SIKKERHET OG DRIFT OG INFORMASJONSSIKKERHET Kommunestyret merket seg at revisjonen anbefaler at Frogn kommune setter i verk følgende tiltak knyttet til IKT sikkerhet og drift og informasjonssikkerhet: Utarbeider skriftlige rutiner som dekker alle sentrale arbeidsprosesser for styring av IKT - funksjonen. God dokumentasjon og tilhørende forvaltning av denne med klare oppgaver, ansvar og internkontroll, skal sikre forsvarlig bruk, drift, vedlikehold og forvaltning av Frogn kommunes IKT systemer. Frogn kommune har utarbeidet et system for overordnet styring av IKT-funksjonen som baserer seg på COBIT-rammeverket. Dokumentasjonen er organisert i forhold til de fire sentrale områdene i rammeverket. Områdene er Planlegging og Organisering, Anskaffelse og Implementering, Driftsleveranse og Støtte, Monitorere og Evaluere. Dokumentasjon og styringssystemet er tilgjengelig i kvalitetssystemet Compilo. Revisjonen påpeker at ikke alle sentrale arbeidsprosesser for styring av IKT funksjonen er dekket i styringssystemet. Dette gjelder spesielt innen området Monitorering og Evaluering men også Anskaffelse og Implementering bør forbedres. For å redusere sårbarhet og sikre god styring pågår det ett kontinuerlig arbeid med kartlegging og prioritering av områder det må utarbeides skriftlige rutiner på. Målet er at alle sentrale arbeidsprosesser for styring av IKT funksjonen skal være dekket. Arbeidet med punkt 2, kartlegginger og vurderinger av risiko vil påvirke dokumentasjonen i styringssystemet. Det er for tiden mange oppgaver som skal i varetas av IKT funksjonen, annet som følge av arbeidet med GDPR. Arbeidet med styringssystemet vil derfor ikke være avsluttet før sent høsten 2018. Gjennomfører systematiske kartlegginger og analyser av hvor i kommunens IKT - systemer og- løsninger det foreligger risiko for feil, mangler eller svikt, herunder driftsstans, nedetid mv., samt når dette kan inntreffe. Dokumentasjon og internkontroll for IKT området skal utvikles videre innenfor det etablerte Cobit rammeverket og internkontrollen Orden i eget hus. Kritiske prosesser, mulighet for manglende etterlevelse av rutiner eller mulighet for svikt innen drift av sentrale løsninger som vil påvirke kommunens tjenester kartlegges. Som en del av internkontrollen må det settes en akseptabel risiko og det må gjennomføres systematiske risikovurderinger av alle områder hvor det kan oppstå kritisk svikt. Arbeidet vil foregå kontinuerlig med fokus på endringer og innføring av nye systemer.
GJENNOMGÅR STYRINGSSYSTEMET FOR INFORMASJONSSIKKERHET, OG SIKRER AT DET OPPFYLLER GJELDENDE KRAV I REGELVERKET TIL BEHANDLING AV PERSONOPPLYSNINGER, HERUNDER: a. Etablerer system og rutiner for å sikre at oversiktene over personalopplysninger som behandles er oppdatert og fullstendig, og at all relevant informasjon om personopplysninger som behandles blir registrert. Som er del av arbeidet med GDPR blir alle systemer og registre med personopplysninger kartlagt for å etablere en status på alle behandlinger av personopplysninger. Det er til sammen 73 punkter som kartlegges for hver behandling. Med 110 systemer og registre samt 150 apper som benyttes i skolene er dette ett krevende arbeid.
b. Sikrer at det blir gjennomført systematiske risikoanalyser opp mot fastsatte akseptkriterier, knyttet til hvor og når det kan forekomme feil og mangler med hensyn til informasjonssikkerhet og behandling av personopplysninger. Sammen med utarbeidelsen av en protokoll for hver behandling blir det foretatt en risikovurdering av behandlingen for å sikre at risiko er innenfor akseptabel risiko satt av behandlingsansvarlig. Dette gjøres i samsvar med prosedyrene i kvalitetssystemet. Dersom behandlingen ikke er innenfor akseptable risiko utarbeides det nødvendige tiltak. Kommunene må dokumentere at personopplysningene til enhver tid behandles i tråd med personvernprinsippene i GDPR. Dette krever at dokumentasjonsdelen som består av styrende, gjennomførende, daglige og kontrollerende prosedyrer er integrert i kommunens overordnede internkontrollsystem (Orden i eget hus) og og er underlagt samme systematikk som andre områder som krever internkontroll. Dette inkluderer avviksoppfølging, rapportering til ledelsen, ledelsens gjennomgang og periodisk revisjon. c. Sikrer at det blir meldt avvik knyttet til eventuell mangelfull behandling av personopplysninger, og at meldte avvik følges opp og lukkes. Kvalitetssystemet har en egen modul for melding av avvik. Denne modulen er bygget opp etter organisasjons struktur og har automatisk eskalering dersom avvik ikke blir ivaretatt innen oppsatt
tidsfrist. Oppfølging av avvik er en viktig del av kommunens arbeid med kontinuerlig forbedring. En viktig del av internkontrollen er en regelmessig gjennomføring av sikkerhetsrevisjon og ledelsens gjennomgang hvor de oppsatte mål følges opp og eventuelle korrigerende tiltak iverksettes. Det er etablert en prosedyre for melding av avvik og dette vil også være tema i opplæring av nye brukere. d. Sikrer at det blir etablert tilstrekkelig rutiner for tildeling og kontroll av ansattes til personopplysninger som blir behandlet i fag- og fellessystemer. Frogn kommune har gode rutiner som sikrer at nytilsatte får nødvendige tilganger til de forskjellige systemene de skal benytte, og at tilgangene slettes når de slutter. Bestilling av- og sletting av tilganger er initiert via kommunens sak og arkiv system og dokumentert i IKT sitt oppgavesystem. Revisjonen viste at det i mindre grad var formelle kontrollrutiner for jevnlig oppfølging av at de ansattes tilganger var i tråd med de faktiske behov, spesielt ved endring i ansvarsforholds mm. GDPR stiller strenge krav til at de ansattes kun har tilgang til personopplysninger som er nødvendige i forhold den behandlingen de skal gjennomføres og dette vedlikeholdes regelmessig. Det er iverksatt nye prosedyrer for å ivareta tilgangsstyringen, både sektorovergripende og mer detaljerte rutiner for den enkelte virksomhet/fagsystem. Eksempler på prosedyrer for å ivareta tilganger til helseopplysninger. Oppfølging av tilganger vil også være en del av kommunens avvikshåndtering og sikkerhetsrevisjoner.