IKT-sikkerhetsarbeid i Orkdal kommune Orkdal kommune Mai 2007
Forord Denne forvaltningsrevisjonen er gjennomført på oppdrag av Orkdal kommunes kontrollutvalg i perioden januar - mai 2007. Undersøkelsen er utført i henhold til NKRFs standard for forvaltningsrevisjon, RSK 001. Revisjon Midt- Norge IKS vil takke alle som har bidratt konstruktivt med informasjon i undersøkelsen. Trondheim, 31/5-2007 Torbjørn Berglann /s/ Ansvarlig forvaltningsrevisor Arve Gausen /s/ Prosjektmedarbeider
0 Sammendrag Kontrollutvalget i Orkdal kommune bestilte i møte 9.10.2006 et forvaltningsrevisjonsprosjekt med tittelen IKT-sikkerhetsarbeid i Orkdal kommune (KU-sak 27/06). Bakgrunnen for bestillingen er at prosjektet er prioritert i "plan for forvaltningsrevisjon for 2006", vedtatt av kommunestyret den 18.5.2006 (K-sak 31/2006). I bestillingen ba man om at prosjektet skal ha fokus på sikkerhetsnivået ut over lovmessige krav, og om lovens og kommunens sikkerhetsbestemmelser følges i praksis. Man ønsket også at prosjektet skulle gi opplysninger om "oppetid" på enkeltsystemer. I tillegg skulle prosjektet gi svar på hvilken innsynsrett kontrollutvalgets enkeltmedlemmer har, innenfor gjeldende lover. Med utgangspunkt i bestillingen har vi utarbeidet to hovedproblemstillinger, der den første besvares gjennom 6 delproblemstillinger: 1. Har IKT-tjenesten i Orkdal kommune tilstrekkelig gode rutiner for å ivareta datasikkerheten? Delproblemstilling 1: Er IKT-stabens arbeid i tråd med sentrale lover og forskrifter? Delproblemstilling 2: Har IKT-staben en tjeneste der ansatte kan henvende seg for å få hjelp når det oppstår uforutsette hendelser med datasystemene (brukerstøtte/help-desk, eller tilsvarende)? Delproblemstilling 3: Foretar IKT-staben en systematisk oppfølging av feilmeldinger, slik at problemer ikke gjentas? Delproblemstilling 4: Har IKT-staben etablert serviceavtaler med enhetene? Delproblemstilling 5: Forestår IKT-staben nødvendig opplæring på sentrale datasystem, og utarbeider den en plan over kompetansebehovet i kommunen? Delproblemstilling 6: Er oppetiden på nettverket og fagsystemene minst på nivå med de målene som er satt av IKT-staben? Hovedproblemstilling 2 omhandler innsynsretten til kontrollutvalget: 2. Hvilken innsynsrett har kontrollutvalgets enkeltmedlemmer i kommunens datasystemer? Konklusjonen for hovedproblemstilling 1 er at rutinene er gode nok når det gjelder oppfølging av lovkravene, men at det er mangler på flere områder. Derfor er svaret på hovedproblemstilling 1 at rutinene er gode nok på noen, men ikke på alle områdene som er vurdert. Grunnlaget for denne vurderingen ligger i konklusjonen for den enkelte delproblemstillingen: Delproblemstilling 1: Konklusjonen er at sentrale lover og forskrifter er fulgt opp på en god måte i Orkdal kommune. Delproblemstilling 2: Kommunen har både en sentral brukerstøtte, og en ordning med superbrukere på fagsystemene lokalt på enhetene. Det ser ut for at det kan være vanskelig å komme i kontakt med brukerstøtten, derfor bør kommunen etter vår mening vurdere om det er mulig å gjøre forbedringer på dette området. Delproblemstilling 3: Systemet for oppfølging av avvik vurderes som bra nok, men revisjonen har fått inntrykk av at dagens løsning er mer ressurskrevende enn nødvendig. IKT-staben har planer for anskaffelse av et system som kan forenkle administreringen av nettverksdriften og oppfølgingen av feil, noe som i sin tur kan bidra til en effektivisering og forbedring av tjenesten. Delproblemstilling 4: Det er ikke etablert serviceavtaler med enhetene. Vi vurderer slike avtaler som nyttige for alle parter, og anbefaler kommunen å vurdere og utarbeide slike.
Delproblemstilling 5: Intervjuopplysninger og eksemplet fra Orkdal helsetun indikerer at det er nødvendig å iverksette tiltak for å sikre at de ansatte får tilstrekkelig dataopplæring. Delproblemstilling 6: Oppetiden på nettverket tilfredsstiller kravene på kommunens egne målkort. Oppetiden på fagsystemene måles ikke i dag. Konklusjonen for hovedproblemstilling 2 er at dagens ordning er i tråd med etablert praksis og med lovverket. Kontrollutvalgets medlemmer har ingen generell innsynsrett i kommunens datasystem. I rapporten gis følgende anbefalinger: Revisjonen anbefaler at kommunen ser nærmere på ordningen for brukerstøtte, og om det er mulig å forbedre tilgjengeligheten. Videre anbefaler vi kommunen å vurdere og innføre serviceavtaler, som skal regulere forholdet mellom enhetene og IKT-staben. Vi mener det er avgjørende at kommunen skaffer seg en oversikt over tjenesteområder der det kan være for lavt kompetansenivå, og vurderer om det er nødvendig å iverksette ekstraordinære opplæringstiltak på disse områdene. Vi mener at det er nødvendig å måle oppetiden på fagsystemene, og anbefaler at slike målinger blir innført.
0 SAMMENDRAG... 5 1 BAKGRUNN... 8 1.1 Organisering av IKT-tjenesten... 8 2 PROBLEMSTILLING, REVISJONSKRITERIER OG METODE.... 9 2.1 Problemstillinger... 9 2.2 Revisjonskriterier... 10 2.3 Metode... 11 3 HOVEDPROBLEMSTILLING 1... 12 3.1 Delproblemstilling 1: Samsvar med lover og forskrifter... 12 3.2 Delproblemstilling 2 og 3: Brukerstøtte, og oppfølging av feil og avvik.... 13 3.3 Delproblemstilling 4: Serviceavtaler... 16 3.4 Delproblemstilling 5: Opplæring... 17 3.5 Delproblemstilling 6: Oppetid på nettverk og fagsystem... 18 4 HOVEDPROBLEMSTILLING 2: KU-MEDLEMMENES INNSYNSRETT... 19 5 HØRING... 20 6 KONKLUSJON OG ANBEFALINGER... 20 6.1 Konklusjon... 20 6.2 Anbefalinger... 21 VEDLEGG 1... 2 VEDLEGG 2... 3 VEDLEGG 3... 5
1 Bakgrunn Kontrollutvalgssekretariat Midt-Norge IKS har i brev av 9.10.2006 bestilt et forvaltningsrevisjonsprosjekt med tittelen "IKT-sikkerhetsarbeid i Orkdal kommune". Bakgrunn for bestillingen er at prosjektet er prioritert i "plan for forvaltningsrevisjon for 2006", vedtatt av kommunestyret den 18.5.2006 (K-sak 31/2006). Kontrollutvalgets vedtak lyder: Kontrollutvalget viser til Plan for forvaltningsrevisjon for Orkdal kommune for 2006 og vedtar oppstart av prosjekt etter vedtak i møtet. Sekretariatet får fullmakt til å utarbeide bestilling. Kontrollutvalgets leder og nestleder godkjenner avtaleutkastet med Revisjon Midt-Norge IKS før formell avtale inngås. I bestillingen vises det til behandlingen i kontrollutvalget (KU-sak 27/2006), der man ba om at prosjektet (...) i større grad enn forutsatt gjennom plan for forvaltningsrevisjon, har fokus på sikkerhetsnivået ut over lovmessige krav. Det er viktig å fastslå om lovens- og kommunens sikkerhetsbestemmelser følges i praksis. Videre skal prosjektet ta sikte på å gi opplysninger om oppetid på enkeltsystemer, i den grad det lar seg verifisere. Videre heter det: Ved behandlingen av saken kom det fram et klart ønske om at prosjektet også må gi svar på hvor mye innsyn i kommunens datasystemer de som enkeltmedlemmer av kontrollutvalget kan ha, innen gjeldende lover og bestemmelser. 1.1 Organisering av IKT-tjenesten IKT-staben er plassert i rådmannens stab, og har 6 ansatte, inkludert lederen av staben. 2 av de ansatte har spesielt ansvar for skolene. I tillegg har staben en lærling i IKT-fag. Pr. 1. mai 2007 er det 915 ansatte i kommunen. Av disse har 515 e-post gjennom kommunen. I tillegg til disse betjener IKTstaben alle skoleelevene, slik at det totale antallet brukere er 2300. Alle de 2300 har tilgang til intranett. IKT-staben selger driftstjenester til Revisjon Midt-Norge IKS. I tillegg selger staben tjenester til Meldal og Rennebu kommune i form av drift av web-serveren til biblioteket. Biblioteket er organisert som et interkommunalt selskap. Figur 1 Administrativ organisering Orkdal kommune (Kilde: www.orkdal.kommune.no)
Det er IKT-staben som står for installasjoner i, og drift av datanettverket (heretter: nettverket) i kommunen. Nettverket er stammen i datasystemet i kommunen. Via dette får de ansatte tilgang til internett, til intranett og til e-post. I tillegg til nettverket benytter de fleste fagspesifikke dataprogram (heretter: fagsystem). I hjemmetjenesten og på Orkdal helsetun brukes for eksempel fagsystemet Gerica. Mange av kommunens ansatte benytter også det elektroniske saksbehandlingssystemet, der all korrespondanse arkiveres. Tilgangen til fagsystemene og saksbehandlingssystemet skjer via nettverket. Opplæring av brukerne er enhetenes ansvar, men noen av de ansatte i IKT-staben har en viss grad av kunnskap om de enkelte fagsystemene. På noen av enhetene er det såkalte superbrukere, som er personer med spesiell opplæring på fagsystemene. Formålet med superbrukere er at enhetene skal være i stand til å besvare spørsmål om programvaren selv. Superbrukerne skal ikke løse tekniske problemer. 2 Problemstilling, revisjonskriterier og metode. I dette kapitlet presenteres prosjektets hoved- og delproblemstillinger, hvilke kriterier som ligger til grunn for vurderingene, og metodene som har vært benyttet. 2.1 Problemstillinger Første steg i IKT-arbeidet er å sikre oppfølging av det formelle regelverket. Neste steg består i å levere tjenester med god kvalitet til brukerne. Derfor er tjenestekvalitet et viktig element i dette prosjektet. For å vurdere tjenestekvaliteten vil vi benytte oss av én av flere eksisterende kvalitetsstandarder for IKT-arbeid; CoBit (Control Objectives for Information and Related Technology, se for øvrig punkt 2.2 der revisjonskriteriene er nærmere beskrevet). Et gjennomgående trekk ved de ulike kvalitetsstandardene er at det legges vekt på integrering av IKT i organisasjonene, fordi IKT er verktøy som skal hjelpe en organisasjon til å realisere sine mål. Valget av revisjonskriteriene legger i noen grad føringer for hvilke områder som er relevante å gå inn på, fordi kvalitetsstandardene er spesifikke på hvilke elementer som bør inngå i IKT-tjenesten. Den standarden som er valgt i det foreliggende prosjektet presenterer blant annet følgende forhold som avgjørende for god tjenestekvalitet: Opplæring Tilgjengelighet Enkel tilgang til hjelp Hjelp i rimelig tid Bistand og rådgiving i IKT-spørsmål (f. eks. ved anskaffelser) Forutsigbarhet når det gjelder servicenivå Kontrollutvalget ønsker en avklaring av medlemmenes innsynsrett i kommunens datasystem. I forskrift om kontrollutvalg heter det i 4 at: Kontrollutvalget skal føre det løpende tilsyn og kontroll med den kommunale eller fylkeskommunale forvaltningen på vegne av kommunestyret eller fylkestinget (...). I 5 heter det at: Kontrollutvalget kan hos kommunen eller fylkeskommunen, uten hinder av taushetsplikt, kreve enhver opplysning, redegjørelse eller ethvert dokument og foreta de undersøkelser som det finner nødvendig for å gjennomføre oppgavene. For kontrollutvalgets medlemmer og dets sekretariat gjelder forvaltningslovens alminnelige bestemmelser om taushetsplikt, jf. forvaltningsloven 13 mv. (...). Tolket bokstavelig kan det se ut for at kontrollutvalgets medlemmer skal forestå tilsyn og kontroll, og derfor skal ha tilgang til alle dokument og opplysninger hos (fylkes)kommunen. Det medfører i så fall at de må ha utvidete tilgangsrettigheter på eksempelvis kommunenes fagsystem for helse- og sosialtjenester, noe som også innebærer tilgang til klient- og pasientjournaler.
I Revisjon Midt-Norges eierkommuner praktiseres innsynsretten for kontrollutvalgets medlemmer likt: Utvalgets medlemmer har ingen ekstraordinære tilgangsrettigheter til kommunenes datasystem. I saker som behandles av utvalget kan medlemmene få tilgang til sakspapirer. Den ordinære framgangsmåten for kontrollutvalget er å skaffe informasjon om dokumenter og deres innhold ved å benytte seg av revisjonens tjenester. Vi har inntrykk av at dette er etablert praksis også i landets øvrige kommuner. Revisjonen anser det sentrale spørsmålet i saken for å være om hensynet til kontrollutvalgets innsynsrett skal veie tyngre enn blant annet personvernhensyn. Dette er et viktig prinsipielt spørsmål, og revisjonen har derfor tatt kontakt med Kommunal- og regionaldepartementet for en avklaring av spørsmålet. Med utgangspunkt i ovenstående har vi formulert to hovedproblemstillinger, der den første besvares gjennom seks delproblemstillinger: Hovedproblemstilling 1: Har IKT-tjenesten i Orkdal kommune tilstrekkelig gode rutiner for å ivareta datasikkerheten? Delproblemstilling 1: Er IKT-stabens arbeid i tråd med sentrale lover og forskrifter? Delproblemstilling 2: Har IKT-staben en tjeneste der ansatte kan henvende seg for å få hjelp når det oppstår uforutsette hendelser med datasystemene (help-desk/brukerstøtte, eller tilsvarende)? Delproblemstilling 3: Foretar IKT-staben en systematisk oppfølging av feilmeldinger, slik at problemer ikke gjentas? Delproblemstilling 4: Har IKT-staben etablert serviceavtaler med enhetene? Delproblemstilling 5: Forestår IKT-staben nødvendig opplæring på sentrale datasystem, og utarbeider den en plan over kompetansebehovet i kommunen? Delproblemstilling 6: Er oppetiden på nettverket og fagsystemene minst på nivå med de målene som er satt av IKT-staben? Hovedproblemstilling 2: Hvilken innsynsrett har kontrollutvalgets enkeltmedlemmer i kommunens datasystemer? 2.2 Revisjonskriterier For hovedproblemstilling 1, delproblemstilling 1 er revisjonskriteriene hentet fra personopplysningslovens 13, som omhandler informasjonssikkerhet. Her heter det blant annet at Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger (...). I personopplysningsforskriftens kapittel 2 utdypes kravene til informasjonssikkerhet. Lovens 13 og forskriftens kapittel 2 dekker etter vår mening de mest sentrale områdene for informasjonssikkerhet. Loven omhandler krav til informasjonssikkerhet og krav til dokumentasjon av denne. Kravene utdypes i forskriften, som inneholder krav på områder som sikkerhetsledelse, risikovurdering, sikkerhetsrevisjon, behandling av brudd på rutinene (avvik), personell, taushetsplikt, fysisk sikring, og sikring av konfidensialitet,tilgjengelighet og integritet. Begrepet konfidensialitet henspeiler på sikring mot uautorisert tilgang til opplysninger utenfra. Integritet betyr i denne sammenheng at data ikke skal kunne endres uten at endringene kan spores til opphavmannen. Med tilgjengelighet siktes det til at opplysningene skal være tilgjengelige for de(n) som til enhver tid har behov for dem.
For delproblemstillingene 2-5, som er rettet mot tjenestekvaliteten, er revisjonskriteriene hentet fra CobiT, som er en kvalitetsstandard som gir generelle beskrivelse av IT-prosesser, som alle virksomheter bør ta hensyn til. I CobiT har man satt opp 34 overordnede styrings- og kontrollmål. Disse er så fordelt på fire hovedområder: Planlegging og organisering, anskaffelse og implementering, leveranse og støtte og overvåking. I denne sammenhengen er det noen av punktene under området leveranse og støtte som er aktuelle, og som beskriver prosessene på de områdene som beskrives i delproblemstilling 2 til 5. Formålet for hver prosess er beskrevet under, og er hentet fra CobiT. Brukerstøtte (help-desk): å sikre at de problemene kundene møter blir løst på en god måte Feilmeldinger og hendelser: å sikre at problemer og hendelser blir tatt hånd om, og at årsakene blir etterforsket for å hindre gjentagelser Serviceavtaler: å formalisere de ytelseskriterier som kvantiteten og kvaliteten på servicen skal måles mot. Opplæring: å sikre at brukerne anvender teknologien på en effektiv måte og er klar over risiko og ansvar forbundet med det. For delproblemstilling 6, oppetid på nettverket og fagsystemene, er det kommunens egne mål for oppetid som benyttes som revisjonskriterium. For nettverket er målet fastsatt gjennom systemet med balansert målstyring, der det heter at oppetiden skal være på minst 99,0 %. Hovedproblemstilling 2, som omhandler kontrollutvalgsmedlemmenes innsynsrett, bygger på utredningen fra Kommunal- og regionaldepartementet. Utredningen er ikke gjenstand for vurdering, derfor er det ikke fastsatt noen revisjonskriterier for denne problemstillingen. 2.3 Metode For delproblemstilling 1 er det gjennomført et telefonintervju med en ansatt i Ementor. For problemstillingene 2-5 er data innhentet gjennom dokumentanalyse og intervju med 4 ansatte i IKT-staben inkludert lederen, og 4 gruppeledere, samt oversykepleier på Orkdal Helsetun. For å få et bredere informasjonsgrunnlag, har revisjonen i tillegg gjennomført en elektronisk undersøkelse blant ansatte i kommunen. Denne er sendt ut på e-post til de ansatte som har e-postadresse (515 personer). Svarene er gitt under anonymitet. Anonymiteten er ivaretatt av leverandøren av programvaren (QuestBack). Nettundersøkelsen ble gjennomført i perioden 28. april - 11. mai. Svarprosenten var 53 prosent. For at de som har besvart undersøkelsen skal være representative for de ansatte er det ønskelig å ha en høyere svarprosent. En av årsakene til at oppslutningen ikke ble høyere kan være at en del ansatte ikke benytter data og e-post i arbeidet, og derfor ikke fikk invitasjonen til undersøkelsen. Dersom det stemmer øker den reelle svarprosenten blant brukere av e-post, noe som styrker resultatene. Dersom den reelle svarprosenten likevel er 53 % er resultatet av undersøkelsen en indikasjon på brukernes syn på forholdene. Vi fikk få besvarelser gjennom den første utsendelsen, da denne ble definert som spam (søppelpost) av kommunens spam-filter. Derfor ble undersøkelsen sendt ut på nytt, med tre etterfølgende påminnelser. I tillegg har vi sendt ut en ordinær e-post til de ansatte der vi oppfordret til å besvare undersøkelsen. Når det gjelder problemstilling 6, om oppetid, benytter vi oss av opplysninger fra IKT-staben. For å besvare hovedproblemstilling 2 har vi kontaktet Kommunal- og regionaldepartementet, for å få en vurdering av kontrollutvalgets innsynsrett. Avgrensing Revisjon Midt-Norge tilhører en av flere eksterne virksomhetene som kjøper IT-tjenester av revidert enhet, og har følgelig to roller i dette prosjektet; revisor og kunde. For å unngå at det stilles
spørsmålstegn ved revisjonens rolle begrenses prosjektet til å kun omfatte forholdene i kommunale enheter. 3 Hovedproblemstilling 1 Hovedproblemstilling 1 er delt opp i 6 delproblemstillinger, som alle besvares i dette kapitlet. Delproblemstilling 1: Er IKT-stabens arbeid i tråd med sentrale lover og forskrifter? Delproblemstilling 2: Har IKT-staben en tjeneste der ansatte kan henvende seg for å få hjelp når det oppstår uforutsette hendelser med datasystemene (brukerstøtte/help-desk, eller tilsvarende)? Delproblemstilling 3: Foretar IKT-staben en systematisk oppfølging av feilmeldinger, slik at problemer ikke gjentas? Delproblemstilling 4: Har IKT-staben etablert serviceavtaler med enhetene? Delproblemstilling 5: Forestår IKT-staben nødvendig opplæring på sentrale datasystem, og utarbeider den en plan over kompetansebehovet i kommunen? 3.1 Delproblemstilling 1: Samsvar med lover og forskrifter I den første delproblemstillingen spør vi om IKT-stabens arbeid er i tråd med sentrale lover og forskrifter på området. Datagrunnlaget for å besvare spørsmålet er dokument fra IKT-staben, samt intervju med Ementor og leder for IKT-staben. 3.1.1 Intervjudata Lederen for IKT-staben sier at kommunen sikrer at IKT-tjenestene er i tråd med lovkravene på to måter. Forhold som omfattes av personopplysningsloven er dokumentert i en egen sikkerhetshåndbok. Håndboka er bygget på en veileder, som er utarbeidet av Datatilsynet. Sikkerhetshåndboka er nærmere omtalt i neste avsnitt. Lederen av IKT-staben opplyser videre at sikkerhetsbarrierene i datanettverket regelmessig gjennomgår en kontroll for å avsløre svake punkt. Gjennomgangen gjøres av firmaet Ementor. Gjennomgangen bekreftes av den ansatte i Ementor, som har hovedansvaret for Orkdal kommune: "Ementor er engasjert til å oppgradere ulike sikkerhetsprodukter i Orkdal kommune. Orkdal er svært bevisst i sitt arbeid med sikkerhet, informasjonssikkerhet og teknisk sikkerhet. (...) I dag foretas kontinuerlige oppgraderinger av sikkerhetsproduktene. Disse dekker behovet for slik oppgradering." Han sier videre at kommunen driver et kontinuerlig arbeid med kompetansebygging rundt informasjonssikkerhet. Lederen for IKT-staben forteller at man i tillegg til det konkrete sikkerhetsarbeidet foretar risikovurderinger av IKT-systemet. Risikovurderingene skjer i forbindelse med at man utarbeider en strategiplan for IKT, som er en 4-årig plan. Planen tas opp til vurdering ca. hvert 2. år. Det er ofte tiltak som er planlagt i det 3. eller 4. året som har behov for en ny vurdering. Avviksrapportering på planen sendes personalsjef og medfører en diskusjon om nye tiltak og endring i strategiplan. 3.1.2 Dokumentgjennomgang I denne gjennomgangen redegjøres det for dokument som kreves for at kommunen oppfyller kravene i lovgivingen. Den viktigste loven på området er Personopplysningsloven med tilhørende forskrift. Loven stiller krav til behandling av personopplysninger, og disse utdypes i forskriften. Kravene dreier blant annet om sikkerhet, internkontroll og melde- og konsesjonsplikt. Et sentralt kommunalt dokument vedrørende lovkravene, er Orkdal kommunes håndbok i informasjonssikkerhet. Lederen for IKT-staben opplyser at håndboka i informasjonssikkerhet er under revidering. Revisjonen har fått tilgang til to versjoner av håndboka; en datert 14-12-2004, og en oppdatert versjon. Sistnevnte er
oppdatert i perioden 14. september - 25. oktober 2006, og omfatter bare deler av håndboka fra 2004. I følge lederen for IKT-staben påbegynte man en omfattende revidering av håndboka i 2006. Der det eksisterer slike, legges de reviderte dokumentene til grunn. For øvrig utgjør sikkerhetshåndboka fra 2004 datagrunnlaget. Sikkerhetshåndboka er unntatt offentlighet med hjemmel i forvaltningslovens 13, og offentlighetsloven 11, derfor gis ingen inngående presentasjon av innholdet, men en oversikt over de elementene som er beskrevet i håndboka. Sikkerhetshåndboka inneholder beskrivelser på de fleste av de punktene som personopplysningsforskriften krever: Den inneholder en beskrivelse av ansvarsfordelingen for IKTtjenestene generelt, og på de enkelte fagsystemene. Videre presenteres en overordnet målbeskrivelse for bruk av IKT. Det er utarbeidet en oversikt over kommunens datasystem der personopplysninger håndteres, hvilke opplysninger som håndteres, og hvem som er ansvarlig på den enkelte enhet. Man har også gjengitt en vurdering av trusselbildet når det gjelder IKT-sikkerhet, og vurderingen av sannsynligheten for ulike hendelser, samt mulige effekter av hendelsene. Håndboka gir en oversikt over organiseringen av IKT-tjenestene, krav til personell, og adgangsbestemmelser for serverrom, for eksempel at renhold bare utføres når ansatte fra IKT-staben er til stede. Håndboka gir også en beskrivelse av de tekniske løsningene. I den nye håndboka er det forberedt et punkt om sikkerhetsrevisjon. I håndboka fra 2004 er det et punkt som heter sikkerhetsrevisjon, som ikke kan sies å oppfylle kravene til dokumentasjon satt i forskriften. Leder av IKT-staben og Ementors representant har imidlertid gitt opplysninger som tilsier at IKT-staben gjennomfører sikkerhetsrevisjon regelmessig. I håndboka beskrives tiltak for å ivareta hensyn til konfidensialitet, integritet og tilgjengelighet. Den inneholder også detaljerte rutiner for internkontroll. 3.1.3 Revisors vurdering Revisjonen har fått et godt inntrykk av IKT-stabens oppfølging av lovkravene når det gjelder IKTsikkerhet. Kravene til dokumentasjon er omfattende, men er i tråd med lov og forskrift på området. Uttalelsen fra Ementors representant underbygger dette inntrykket. De små manglene i sikkerhetshåndboka på punktet om sikkerhetsrevisjon er av mindre betydning, fordi dette ivaretas gjennom det løpende arbeidet. Når det gjelder lovkravene til IKT-sikkerhet er konklusjonen at disse er godt ivaretatt i Orkdal kommune. 3.2 Delproblemstilling 2 og 3: Brukerstøtte, og oppfølging av feil og avvik. Brukerstøtte er en sentral funksjon, som i følge CobiT skal "sikre at de problemene kundene møter blir løst på en god måte". I forlengelsen av brukerstøttefunksjonen skal det eksistere et system for "å sikre at problemer og hendelser blir tatt hånd om, og at årsakene blir etterforsket for å hindre gjentagelser", også dette i henhold til CobiTs standarder. 3.2.1 Resultat fra intervju og dokumentgjennomgang I Orkdal kommune kan de ansatte få hjelp med dataproblemer gjennom superbrukeren på sin enhet, eller ved den sentrale brukerstøtten, som IKT-staben har etablert. Det er laget en prosedyrebeskrivelse for brukerstøtten, godkjent av rådmannen i november 2006. Det har ikke eksistert noen slik beskrivelse tidligere. Formålet med beskrivelsen er, i følge dokumentet: Å bidra til å sikre brukerne maksimal tilgjengelighet til IKT-systemene, sikre at definerte tilganger og tilgangsrettigheter blir satt riktig og bistå brukerne i vanlig anvendelse av datautstyret og fellessystemene. Å bidra til profesjonell behandling av alle henvendelser fra brukerne Å sikre effektivitet i håndteringen av henvendelsene fra brukerne Å sikre kvalitet på IKT brukerstøtte ut til brukerne Dokumentet beskriver i korte trekk ansvarsfordelingen mellom enhetene og IKT-staben, hva man kan få hjelp til, og hvordan man kan oppnå kontakt med brukerstøtten. I dokumentet er det e-post og et spesielt telefonnummer som nevnes som aktuelle kontaktformer. Dersom det er opptatt i telefonen blir ikke de som ringer satt videre, men får opptattsignal. I intervjuene kom det fram at mange ringer
FORVALTNINGSREVISJONSRAPPORT FRA REVISJON MIDT-NORGE IKS direkte til den i IKT-staben, som de tror kan løse problemet. De som jobber på kommunesenteret tar også personlig kontakt med ansatte i IKT-staben. Alle problemer noteres i en driftslogg, som er opprettet i programmet "Outlook". De ansatte i IKTstaben går gjennom driftsloggen hver dag, og ordner problemer på områder de har ansvaret for. Deretter markeres status for problemet ("ikke startet", "pågående", "venter på andre", "avsluttet"). Større problemer diskuteres i møter i staben. Problemer som kan løses av superbruker ute på enhetene blir henvist dit. De ansatte i IKT-staben opplyser at det er noen problem som er gjengangere, for eksempel at PC en ikke starter, passordet ikke fungerer, eller er glemt, skriver ikke fungerer, eller at systemet henger. Gjentagende problem blir dokumentert, men passordproblem blir ikke loggført. En av de ansatte sier at de har hatt en rask økning i antall brukere, og at enkelte derfor må vente en stund før problemene deres blir løst. Videre at det blir mye øyeblikkelig hjelp, så de ikke får ikke ro nok til å sitte i lengre perioder for å løse andre, større problem. IKT-staben har ikke, i følge leder og ansatte i IKT-staben, noe eget system for driftsoppfølging utover det som gjøres i "Outlook", og utover å lese logger for å se etter "røde varsler". Lederen av staben opplyser at man ønsker å gå til anskaffelse av et slikt system for enklere å holde oversikt over tendenser i henvendelsene, og dato for ikke besvarte henvendelser. Revisjonen får likevel inntrykk av at IKT-staben har oversikt over viktige hendelser, og at det eksisterer rutiner for å ta opp større avvik på møter i rådmannens stab. Høsten 2006 gjennomførte IKT-staben en registrering av henvendelser om hjelp fra kommunens ansatte, og andre enheter de yter tjenester til (blant annet Revisjon Midt-Norge). Registreringen foregikk en måned, og viser at de fleste henvendelsene gikk utenom brukerstøttetelefonen, direkte til ansatte i IKT-staben. I løpet av registreringsperioden kom det inn 800 henvendelser, som IKT-staben til sammen brukte 5776 minutter på å behandle. I tillegg til behandlingstiden medførte henvendelsene et etterarbeid på 7190 minutter. Totalt tilsvarer tidsbruken om lag 31 dagsverk. Registreringen viser at den enkelte ansattes totale forbruk av tid varierer mellom 1 og 59 timer. Enheten med størst forbruk av brukerstøtte i perioden var Revisjon Midt-Norge. Deretter kommer Familie og omsorg, og rådmannens stab. Disse har brukt henholdsvis 48,5 og 33,0 minutter per ansatt i registreringsperioden. 3.2.2 Resultat fra den elektroniske spørreundersøkelsen I den elektroniske undersøkelsen oppga nesten alle som besvarte undersøkelsen (95,6 %) at de har et sted å henvende seg når de får dataproblemer. På spørsmål om hvor ofte de har behov for brukerstøtte svarer om lag 63 % av de ansatte at de har behov for brukerstøtte ukentlig, mens de resterende 37 % har behov for brukerstøtte en gang i kvartalet, sjeldnere, eller aldri. 14 personer har ikke besvart spørsmålet. I denne sammenhengen benyttes begrepet brukerstøtte om den sentrale brukerstøtten til IKT-staben, og de lokale superbrukerne, som har spesialkunnskap om fagsystemene. De ansatte ble videre bedt om å uttale seg om: brukerstøtten har tid nok til å løse problemene som presenteres brukerstøtten er tilgjengelig henvendelser følges opp problemene løses på en tilfredsstillende måte de som yter brukerstøtte er faglig dyktige om ansatte ved brukerstøtten er serviceinnstilte problemene de ansatte henvender seg til brukerstøtten med blir løst Svarene er gitt på en skala fra 1 til 6, der 1 er "i svært liten grad", og 6 er "i svært stor grad". For å forenkle har vi redusert antallet kategorier fra seks til to. Vi har slått sammen de tre nederste og de tre øverste verdiene i den opprinnelige skalaen, slik at man nå står med to kategorier; "i liten grad", og "i stor grad". Noen spørsmål er stilt to ganger med forskjellig ordlyd. Resultatene er summert og delt på to. Det var for øvrig stor grad av konsistens mellom svarene, selv om spørsmålsstillingens ordlyd var noe forskjellig. Resultatene er framstilt i figur 2.
Figur 2) Tilfredshet med brukerstøtten 100,00 % 90,00 % 80,00 % 70,00 % 60,00 % 50,00 % 40,00 % 30,00 % 20,00 % 10,00 % 0,00 % Nok tid Tilgjengelighet Oppfølging Tilfredsstillende Faglig dyktighet Serviceinnstilling Problem løses Rask problemløsing I stor grad I liten grad Av figuren framgår det at det jevnt over er stor grad av tilfredshet med brukerstøtten. Det er minst tilfredshet med tilgjengeligheten. Deretter kommer spørsmålet om brukerstøtten bruker nok tid til å løse den enkeltes problemer. Videre kommer spørsmålet om oppfølging av problemene. Det er flest ansatte som mener brukerstøtten håndterer problemene de presenterer på en tilfredsstillende måte. Det er også flere som er fornøyde med den faglige dyktigheten og serviceinnstillingen til brukerstøtten, samt tempoet brukerstøtten løser problemene i. I undersøkelsen var det også gitt rom for respondentene til å kommentere IKT-tjenestene med egne ord. 59 av de 274 som besvarte undersøkelsen benyttet denne muligheten. Noen av disse har uttalt seg om flere forhold, derfor er summen av uttalelser 68 totalt. Figur 3) Antall negative/positive utsagn om IKT-tjenesten Positive utsagn Negative utsagn Generelt 19 4 Opplæring 1 9 Systemtilgjengelighet 1 5 Tilgjengelighet til brukerstøtte 3 18 Hjelp i rimelig tid 4 4 Totalt 28 40 Som det framgår av tabellen, dominerer de negative utsagnene. Det gjenspeiler ikke nødvendigvis gjengs oppfatning om IKT-tjenesten blant ansatte i Orkdal kommune. Det kan like gjerne skyldes at ansatte som har gjentatte dataproblemer ønsker å gi uttrykk for det, mens de som ikke har problemer ikke har gjort seg opp noen spesiell mening. Det er verdt å merke seg at de åpne svarene omhandler flere av de forholdene som de ansatte ble spurt om i de lukkede svarene. Resultatet er til dels i samsvar med resultatet fra de lukkede svarene. I kategorien "generelt" finnes utsagn av typen "Det er jevnt over en bra tjeneste". På dette området er det størst andel, og flest antall, positive utsagn. For øvrig er det en stor andel som er misfornøyde med tilgjengeligheten til brukerstøtte. Dette bekreftes av svarene fra den øvrige delen av den elektroniske spørreundersøkelsen.
3.2.3 Revisors vurdering Kommunens system for brukerstøtte ser ut til å fungere i den forstand at de som kontakter brukerstøtten får hjelp, og at IKT-staben har et system for å sørge for at henvendelsene følges opp. En av de ansatte i IKT-staben sier at ansatte i kommunen av og til må vente for å få løst IKTproblemene sine. Det ser ikke ut til at de ansatte mener at de må vente urimelig lenge, om den elektroniske undersøkelsen legges til grunn. Derimot mener de ansatte, i følge den elektroniske undersøkelsen, at tilgjengeligheten til brukerstøtte ikke er god nok. Med forbehold om manglende representativitet i undersøkelsen er det som mange som 25 % som hevder dette. Man får med andre ord rask hjelp, når man først kommer i kontakt med brukerstøtten. Økende avhengighet av dataverktøy for mange av kommunens ansatte bidrar trolig til at dataproblemer oppleves som stadig mer kritiske for de som rammes av dem. Registreringen av tidsforbruk, og utsagnene fra noen av de ansatte i IKT-staben om at det blir for mye øyeblikkelig hjelp, for lite tid til større oppgaver, viser at det er et stort behov for "øyeblikkelig hjelp"-funksjonen. Derfor er det viktig å ha god tilgang til brukerstøtte. Det er mulig at en annen organisering av brukerstøtten, eller tekniske løsninger kan gi bedre tilgjengelighet. Det er også mulig at tilgjengeligheten er et ressursspørsmål. Det siste er ikke gjenstand for revisjonens vurdering. Det synes imidlertid klart at tilgjengelighet til brukerstøtte er et område som kan forbedres i kommunen. 3.3 Delproblemstilling 4: Serviceavtaler Formålet med serviceavtaler er, i følge CobiT "å formalisere de ytelseskriterier som kvantiteten og kvaliteten på servicen skal måles mot". Det skal altså herske en viss enighet om hvilke tjenester IKTstaben skal levere til enhetene, hvilken kvalitet disse skal ha, og hvordan kvaliteten skal måles. I intervjuet med lederen av IKT-staben fikk revisjonen opplyst at det ikke er utarbeidet serviceavtaler med enhetslederne. Det er imidlertid utarbeidet andre avtaler, i følge lederen i IKT-staben: "Enhetslederne har avtaler med rådmannen som regulerer ansvarsområdet for IKT. Enhetene dekker selv utgifter til utstyr og samband for IKT, som tilknyttes IKT-stabens nettverk og serverstasjon på rådhuset." Revisjonen har ikke innhentet opplysninger fra lederavtalene mellom rådmannen og enhetslederne. I følge lederen av IKT-staben regulerer disse avtalene ansvarsfordelingen på et mer overordnet nivå. IKT-staben har inngått avtaler med avdelingslederne vedrørende de enkelte fagsystemene. Revisjonen har fått tilgang til disse avtalene, som er omfangsrike i den forstand at de regulerer mange områder. Innholdsfortegnelsen er gjengitt under, og gir et godt bilde av hva som omfattes av avtalene: Organisasjon Konfigurasjon (konfigurasjonskontroll, konfigurasjonsendring) Administrative og tekniske rutiner (beredskapsplanlegging, utilsiktet avbrudd) Reservekopiering Backup Avviksbehandling Partnere og leverandører Personell (kompetanse, taushetsplikt, autorisasjon) Fysisk sikkerhet (adgangskontroll) Systemteknisk sikkerhet (tilgangskontroll, dataoverføring, ødeleggende program, sletting, dokumentsikkerhet) Dersom kommunen hadde bestemt seg for å innføre serviceavtaler for den generelle delen av IKTområdet, kunne de hatt omtrent tilsvarende utforming, men med noe høyere detaljeringsgrad. 3.3.1 Revisors vurdering Som det framgår av det foregående er det ikke utarbeidet serviceavtaler i Orkdal kommune. Det er på ingen måte kritisk for IKT-tjenestene, men vi vurderer likevel slike serviceavtaler som nyttige redskap på flere områder. For enhetene kan avtalene være nyttige når IKT-tjenestene skal evalueres. Ved at
man har fastsatt konkrete mål, som begge parter i utgangpunktet er enige om, blir det enklere å vurdere om tjenesten har vært god nok. For IKT-tjenesten kan en fastsetting av tjenestekvalitet og - kvantitet bidra til en klargjøring av hvor det er nødvendig å sette inn ekstra ressurser, og kanskje også bidra til en mer oversiktlig arbeidshverdag. Vi anbefaler derfor kommunen å vurdere og etablere serviceavtaler mellom IKT-staben og enhetslederne. 3.4 Delproblemstilling 5: Opplæring I følge CobiT er hensikten med opplæring å "sikre at brukerne anvender teknologien på en effektiv måte og er klar over risiko og ansvar forbundet med det." I oppstartssamtalen mellom revisjonen og IKT-lederen kom det fram at det er enhetslederne som har ansvaret for dataopplæringen. På denne bakgrunnen vurderte vi å utelate den planlagte problemstillingen som omhandler opplæring. Vi kom likevel fram til at dette er en svært viktig del av IKT-arbeidet, som angår alle kommunens enheter. I sikkerhetshåndboka har IKT-staben vurdert "mangel på opplæring og motivasjon" som en av flere større sikkerhetstrusler på IKT-området. Dette punktet er prioritert høyt i sikkerhetshåndbokas liste over hendelser som må elimineres. Vi mente derfor at det var viktig å gå videre med denne problemstillingen. Enhetslederne skal også ha oversikt over kompetansebehovet blant de ansatte. I intervjuene med de ansatte i IKT-staben kom det fram at opplæringsbehovet er størst i avdelinger der man i liten grad benytter data, og at det er størst mangel på generelle datakunnskaper. Et eksempel i så måte er omsorgsyrkene, der bruken av dataverktøy i stor grad er begrenset til journalføring. For å belyse problemstillingen har vi valgt å benytte Orkdal helsetun som eksempel. 3.4.1 Resultat fra intervjuene På Orkdal Helsetun fikk vi opplyst at de ansatte har blitt tilbudt ulike generelle datakurs de siste årene. Det har vært frivillig å delta på disse kursene. I tillegg har det vært avholdt kurs i fagsystemet Gerica. Flere av de intervjuede ga uttrykk for at det er ansatte som kvier seg for å bruke data, og at det skyldes dårlige datakunnskaper. Samtidig pekte flere på at interessen for data er avgjørende for om de ansatte ønsker å delta på kurs, og om de i det hele tatt melder at de har behov for opplæring. Det eksisterer ingen sentral oversikt over kompetansebehovet på Orkdal helsetun. På helsetunet er det gruppeledernes ansvar å sørge for at de ansatte får nødvendig opplæring. Noen av gruppelederne vi snakket med har sendt rundt lister over opplæringsbehovet, men det har ikke vært gjort på alle gruppene. For at flest mulig skal få nødvendig opplæring har man utpekt to personer fra hver gruppe, som har fått ekstra opplæring på fagsystemet. Disse betegnes "sluttbruker 1". Ved problemer med fagsystemet skal sluttbruker 1 på hver gruppe kunne bistå sine kolleger. Flere av gruppelederne ga uttrykk for at de ikke behersker alle de nødvendige modulene av fagsystemet godt nok. Samtlige av de vi snakket med mente at den opplæringen som hadde vært gjennomført ikke hadde tilstrekkelig omfang, og at det er behov for mer dataopplæring. Flere av de intervjuede nevnte at ikke alle ansatte bruker informasjonen som ligger i de elektroniske journalene, men heller støtter seg på muntlige rapporter. Årsaken er dårlige dataferdigheter. I det neste kapitlet refererer vi til at fagsystemet på helsetunet har vært rammet av en del uforutsett nedetid. En av årsakene er at ansatte logger seg på systemet flere ganger. Når en ansatt er pålogget flere ganger registreres det som at flere unike brukere er logget på samtidig. Når maksimalt tillatt antall samtidige brukere er registrert, stenges systemet for nye pålogginger. Dette skjer fordi en del ansatte ikke har nok kunnskap om bruken av dataverktøy, i følge noen av de ansatte ved IKT-staben og Orkdal helsetun. Problemet løses hos IKT-staben. Fordi det ikke eksisterer noen bakvaktordning kan dette problemet bare løses innenfor ordinær kontortid. De ansatte i IKT-staben, og flere av de vi snakket med ved Orkdal helsetun, ga uttrykk for at de ønsker å ha en ansatt som kan ha spesielt ansvar for Gerica, og som er plassert på helsetunet. Fram til sommeren 2006 var det en person med et slik ansvar, men vedkommende har sluttet i jobben, og ikke blitt erstattet.
3.4.2 Revisors vurdering Opplæringen på Orkdal helsetun ser ikke ut til å ha vært tilstrekkelig grundig. Resultatet er at enkelte ansatte kvier seg for å benytte det elektroniske journalsystemet, og heller baserer seg på muntlig rapport, med de mulighetene for misforståelser som ligger her. Videre fører manglende datakunnskap til at flere ikke behersker påloggingsrutinene, slik at fagsystemet blir utilgjengelig. Til tross for at det ser ut til å være et stort behov for opplæring har man ikke utarbeidet noen sentral plan over kompetansebehovet på helsetunet. Innledningsvis i kapitlet viste vi til at ett av de punktene som inngår i IKT-stabens vurdering av trusler overfor IKT-systemet er manglende motivasjon og opplæring. Eksemplet fra Orkdal helsetun viser at manglende opplæring har konsekvenser som fører til blokkering av fagsystemet, og redusert effektivitet. Eksemplet bekrefter i noen grad at sikkerhetsvurderingen fra IKT-staben er korrekt. På Orkdal helsetun må man, etter vårt syn, kartlegge behovet for opplæring, og gjennomføre denne i nær framtid. Opplæringen bør trolig skje kontinuerlig over et lengre tidsrom. I intervjuene med de ansatte i IKT-staben kom det fram at datakunnskapene ofte er lave innenfor tjenesteområder der dataverktøy benyttes lite. Eksemplet fra helsetunet viser etter vår mening at kommunen må vurdere om det er nødvendig å iverksette spesielle tiltak, for å sikre at ansatte får den nødvendige opplæringen. 3.5 Delproblemstilling 6: Oppetid på nettverk og fagsystem Delproblemstilling 6 omhandler oppetiden på nettverket og fagsystemene. I følge målkortene i kommunens system for balansert målstyring skal oppetiden på nettverket være på minst 99 % av ordinær kontortid. 3.5.1 Resultat fra intervju og dokumentgjennomgang Orkdal kommune har innført balansert målstyring. Som en del av denne har man satt mål på en rekke områder, deriblant oppetid på kommunens nettverk. Som nevnt tidligere er nettverket inngangsporten til fagsystemene, og til saksbehandlingssystemet. Dersom nettverket ikke fungerer får de ansatte heller ikke tilgang til de øvrige systemene. Et stabilt nettverk er derfor avgjørende for den daglige driften av kommunen. IKT-staben har utført målinger av oppetiden på nettverket gjennom flere år. Oppetiden måles i form av tilgang til nettverket i prosentvis tid av ordinær kontortid. Målet som er fastsatt er på 99,0 %. I følge målingene som er gjort var oppetiden på 99,8 % i 2006. Målet er på 99,0 % for 2007. Leder av IKT-staben opplyser at oppetiden på fagsystemene ikke måles. Dermed er det umulig å fastslå eksakt hvordan oppetiden er på disse. De ansatte på Orkdal helsetun har ført loggbok over når fagsystemet er utilgjengelig siden begynnelsen av mars i år. Loggboka viser at fagsystemet var utilgjengelig 4., 5., 7., 9. og 10. mars, samt 12., 13., og 14. mai. Utilgjengeligheten 12.-14. mai skyldtes ikke datasystemet, men en ødelagt sikring på helsetunet. Feilen ble påvist av en ansatt fra IKT-staben. Flere gruppeledere påpekte i intervjuene at situasjonen har blitt bedre etter en oppgradering i mars. Det er nevnt tidligere at det ikke eksisterer noen bakvaktordning for fagsystemene i helgene. Når fagsystemet ikke er tilgjengelig rammes Orkdal Helsetun og hjemmetjenesten ved at pasientjournalene blir utilgjengelige 1. I slike tilfeller må de ansatte finne fram papirjournalene og notere opplysninger her så lenge fagsystemet er utilgjengelig. Notatene fra papirjournalene skal føres inn i den elektroniske journalen. Praksis er ulik på dette området på helsetunet; på noen avdelinger føres notatene inn i ettertid, på andre avdelinger gjøres det ikke. Det har i følge de som er intervjuet ikke oppstått livstruende situasjoner som en følge av at fagsystemet er utilgjengelig. Revisjonen har fått tilgang til en avviksrapport fra våren 2007, der det framkommer at fagsystemet var utilgjengelig en helg. Denne helgen kom det inn en pasient som øyeblikkelig hjelp, og man hadde behov for tilgang 1 Hjemmetjenesten benytter også fagsystemet Gerica. Gjennom systemet har hjemmetjenesten også tilgang til noen journalopplysninger om de pasientene som er felles med Orkdal helsetun.
til medikamentopplysninger fra det utilgjengelige datasystemet. Situasjonen ble løst ved at papirjournalen ble funnet fram, og nødvendige skjema fylt ut manuelt. Dette blir karakterisert som en tungvint løsning av oversykepleier. 3.5.2 Revisors vurdering Med økende avhengighet av dataverktøy er det avgjørende at de ansatte har elektronisk tilgang til dokumenter og programmer. Oppetiden på nettverket er i tråd med kommunens mål på området. På denne bakgrunnen er vår vurdering derfor at tilgangen til nettverket er god nok. Fagsystemenes tilgjengelighet har derimot ikke vært godt nok ivaretatt så langt. Dette gjelder særlig fagsystemet Gerica, som benyttes døgnet rundt. Opplysningene som kommer fram i intervjuene tyder på at situasjonen har blitt bedre, som en følge av oppgraderinger. Om oppetiden har blitt god nok er et spørsmål som må vurderes fortløpende av kommunen utover sommeren og høsten. Målingene av nettverkets oppetid viser at denne har vært god i lengre tid. Dette kan tyde på at kravene ikke er spesielt strenge, og man bør etter vår mening vurdere å benytte andre indikatorer, eller flere indikatorer for IKT-stabens arbeid. Revisjonen anbefaler kommunen å innføre målinger av oppetiden på fagsystemene. En slik måling vil etter vårt syn gi nyttig styringsinformasjon for IKTstaben og enhetslederne, og kan også inngå som en del av informasjonsgrunnlaget i en serviceavtale. Fordi fagsystemene er en helt nødvendig del av arbeidet må kravene til oppetid på disse etter vår mening ligge på samme nivå som kravene til nettverket, altså 99 %, det vil si en nedetid på i underkant av 4 døgn per år. Mangelen på et bakvaktsystem utenom kontortid, i helgene og på helligdager utgjør ingen sikkerhetsrisiko. Imidlertid medfører den manglende tilgangen til fagsystemet at arbeidet på Orkdal helsetun, og trolig også i hjemmetjenesten, blir unødig tungvint, ved at de ansatte må skrive samme journalnotat to ganger, og at man må ha parallelle journalsystem. Det virker som journalføringen ikke blir ivaretatt godt nok som en følge av at fagsystemet har ligget nede. Med høyere andel oppetid, slik man har sett i løpet av våren 2007, reduseres behovet for bakvakt. Dersom situasjonen på fagsystemet ikke blir varig bedre, mener vi det er gode grunner til å vurdere en bakvaktordning. Noe av problemet med utilgjengelighet ser ut til å ha sin bakgrunn i dårlige dataferdigheter hos noen ansatte ved helsetunet; ansatte har ikke god nok kunnskap om på- og avloggingsrutinene for Gerica, slik at de logger seg på flere ganger, uten å logge seg av. I slike tilfeller ligger ansvaret for manglende tilgang på helsetunet, og det er herfra initiativet til forbedring må komme. 4 Hovedproblemstilling 2: KU-medlemmenes innsynsrett I bestillingen ber kontrollutvalget om at spørsmålet om medlemmenes innsynsrett i kommunens saksbehandlingssystem belyses. For å få saken vurdert har revisjonen kontaktet Kommunal- og regionaldepartementet. Svaret fra departementet følger vedlagt (vedlegg 2). Kontrollutvalgene har i utgangspunktet en vid adgang til å kreve opplysninger. Det er kommuneloven 77 som regulerer kontrollutvalgenes aktivitet, og 77-7 som omhandler innsynsretten: Kontrollutvalget kan hos kommunen eller fylkeskommunen, uten hinder av taushetsplikt, kreve enhver opplysning, redegjørelse eller ethvert dokument og foreta de undersøkelser som det finner nødvendig for å gjennomføre oppgavene. Departementet legger vekt på følgende i sin behandling av saken: Adgangen til å kreve opplysninger skal ha utgangspunkt i en konkret sak, eller undersøkelse. Opplysningene som innhentes skal være nødvendige for at oppgaven skal kunne gjennomføres Undersøkelsene kontrollutvalget skal gjennomføre skal avgrenses, og ikke være generelle. Kontrollutvalget opptrer som et kollegialt organ. Derfor har ikke enkeltmedlemmene noen egen innsynsrett.
Kontrollutvalgets medlemmer har altså ikke rett til innsyn i kommunens sakssystem, i følge departementets vurdering. I sakene som behandles av kontrollutvalget skal kontrollutvalget få innsyn via revisjonens tjenester. 5 Høring I tråd med forskrift for forvaltningsrevisjon har rapporten vært forelagt rådmannen for høringsuttalelse. Høringssvaret fra rådmannen er vedlagt (vedlegg 3). I uttalelsen sier rådmannen at "innholdet gir oss en situasjonsbeskrivelse som stemmer godt med vår oppfatning". Utover dette er rapporten kommentert og i noen grad utdypet på hovedproblemstilling 1, delproblemstilling 2-6. Rådmannen gir uttrykk for at de tiltakene revisjonen anbefaler blir vurdert inkorporert i strategisk IKT-plan 2008-2011, og i styringskortene, når disse skal revideres høsten 2007. Høringssvaret har ikke ført til endringer i rapporten. 6 Konklusjon og anbefalinger I dette kapitlet gis en samlet vurdering av IKT-sikkerheten i Orkdal kommune. I tillegg presenteres revisjonens anbefalinger. 6.1 Konklusjon Delproblemstilling 1: Er IKT-stabens arbeid i tråd med sentrale lover og forskrifter? Konklusjonen er at sentrale lover og forskrifter er fulgt opp på en god måte i Orkdal kommune. Delproblemstilling 2: Har IKT-staben en tjeneste der ansatte kan henvende seg for å få hjelp når det oppstår uforutsette hendelser med datasystemene (brukerstøtte/help-desk, eller tilsvarende)? Kommunen har både en sentral brukerstøtte, og superbrukere på enhetene. Det ser ut for at det kan være vanskelig å komme i kontakt med brukerstøtten, derfor bør kommunen etter vår mening vurdere om det er mulig å gjøre forbedringer på dette området. Delproblemstilling 3: Foretar IKT-staben en systematisk oppfølging av feilmeldinger, slik at problemer ikke gjentas? Systemet for oppfølging av avvik vurderes som bra nok, men revisjonen har fått inntrykk av at dagens løsning er mer ressurskrevende enn nødvendig. IKT-staben har planer for anskaffelse av et system som kan forenkle administreringen av nettverksdriften og oppfølgingen av feil, noe som i sin tur kan bidra til en effektivisering og forbedring av tjenesten. Delproblemstilling 4: Har IKT-staben etablert serviceavtaler med enhetene? Det er ikke etablert serviceavtaler med enhetene. Vi vurderer slike avtaler som nyttige for alle parter, og anbefaler kommunen å vurdere og utarbeide slike. Delproblemstilling 5: Forestår IKT-staben nødvendig opplæring på sentrale datasystem, og utarbeider den en plan over kompetansebehovet i kommunen? Intervjuopplysninger og eksemplet fra Orkdal helsetun indikerer at det er nødvendig å iverksette tiltak for å sikre at de ansatte får tilstrekkelig dataopplæring. Delproblemstilling 6: Er oppetiden på nettverket og fagsystemene minst på nivå med de målene som er satt av IKT-staben? Oppetiden på nettverket tilfredsstiller kravene på kommunens egne målkort. Oppetiden på fagsystemene måles ikke i dag. Svarene på delproblemstillingene gir grunnlag for å besvare den første hovedproblemstillingen: Hovedproblemstilling 1: Har IKT-tjenesten i Orkdal kommune tilstrekkelig gode rutiner for å ivareta datasikkerheten? Revisjonens vurdering er at rutinene er gode nok når det gjelder oppfølging av lovkravene. Når det gjelder de av kravene som settes i CobiT-standarden, og som er belyst i denne rapporten, konkluderer