Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Like dokumenter
Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Saksframlegg. Ark.: Lnr.: 2079/15 Arkivsaksnr.: 15/467-1 FORVALTNINGSREVISJONSRAPPORTEN "GAUSDAL KOMMUNES ETTERLEVELSE AV ANSKAFFELSESREGLEMENTET"

Selskapskontroll "Kjørekontoret Innlandet"

Forvaltningsrevisjonsrapporten "Utleie/Utlån av eiendom og utstyr i Hedmark fylkeskommune"

Saksframlegg. Ark.: 210 Lnr.: 2115/15 Arkivsaksnr.: 15/477-1 FORVALTNINGSREVISJONSRAPPORTEN "JOURNALFØRING AV POST OG OPPFØLGING AV HENVENDELSER"

Oppfølging av forvaltningsrevisjonsrapport "Næringsutvikling i Hedmark fylkeskommune

Forvaltningsrevisjonsrapporten "Forvaltning av eierinteresser/-styring" i Hedmark fylkeskommune

Forvaltningsrevisjonsrapporten "Selskapskontroll Eidsiva - om roller, habilitet og sponsing"

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Saksframlegg FORVALTNINGSREVISJONSRAPPORT "SELSKAPSKONTROLL EIDSIVA - OM ROLLER, HABILITET OG SPONSING"

IKT-sikkerhet og sårbarhet i Risør kommune

Saksframlegg. Saksb: Kari Louise Hovland Arkiv: / Dato:

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Kommunens Internkontroll

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Endelig kontrollrapport

1. Følgende tema prioriteres i plan for forvaltningsrevisjon i Hedmark fylkeskommune :

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Forvaltningsrevisjonsrapporten "Etterlevelse av gratisskoleprinsippet og likebehandlingsprinsippet ved Hedmark fylkeskommunes videregående skoler"

Endelig kontrollrapport

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Saksframlegg. Ark.: 210 Lnr.: 6593/18 Arkivsaksnr.: 18/ FORVALTNINGSREVISJONSRAPPORTEN "LANDBRUKSKONTORET I LILLEHAMMER-REGIONEN"

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Status på oppfølging av anbefalinger i revisjonsrapporten "Kjøp av konsulent- tjenester i Hedmark fylkeskommune"

Endelig kontrollrapport

Vedlegg: Revisjonsrapporten «Selskapskontroll Ikomm AS» fra Innlandet revisjon IKS, rapport

ÅRSRAPPORT FOR Kontrollutvalget i Hedmark fylkeskommune. Et handlekraftig kontrollutvalg er viktig for å sikre demokratisk innsyn og kontroll

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Endelig Kontrollrapport

Forvaltningsrevisjonsrapporten "Styring av IKT-satsningen i Hedmark fylkeskommune

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Saksframlegg. Revisjonsrapporten «Selskapskontroll Ikomm AS» fra Innlandet revisjon IKS, rapport

Saksframlegg. Saksb: Eva Bueie Nygård Arkiv: 17/ Dato:

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

MØTEPROTOKOLL. Kontrollutvalget Hedmark fylkeskommune. Dato: kl. 9:00 13:30 Møterom Femunden Hedmark fylkeskommune Arkivsak:

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Saksframlegg. Ark.: 210 Lnr.: 1209/16 Arkivsaksnr.: 16/267-1 REVISJONSRAPPORT «SELSKAPSKONTROLL - EIERSKAPSFORVALTNING I GAUSDAL KOMMUNE»

Endelig kontrollrapport

Kontrollutvalget legger saken frem for fylkestinget med slikt forslag til

Endelig kontrollrapport

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Endelig kontrollrapport

Dato: kl. 9:00-13:00 Møterom Lillehammer, 4. etasje, Kirkegt. 76, Lillehammer Arkivsak:

MØTEPROTOKOLL KONTROLLUTVALGET I LUNNER KOMMUNE. Onsdag 24. september 2014 holdt kontrollutvalget møte i Lunner rådhus fra kl til kl

(sign) tlf: / mob: e-post: liv.tronstad@komsek.no

Endelig kontrollrapport

Kontrollutvalget MØTEINNKALLING. Møtedato: Møtetid: Kl Møtested: Namsos - Namdalshagen

AUDNEDAL KOMMUNE KONTROLLUTVALGET MØTEBOK

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Status personvern Hedmark og Oppland fylkeskommuner

Endelig kontrollrapport

Oppfølging av forvaltningsrevisjonsrapporten "Gjennomføring og frafall i videregående skoler i Hedmark"

Internkontroll og informasjonssikkerhet lover og standarder

Verdal kommune Rådmannen

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Saksframlegg. Ark.: 216 A24 Lnr.: 8726/16 Arkivsaksnr.: 16/1634-1

Personopplysninger og opplæring i kriminalomsorgen

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Møteinnkalling Kontrollutvalget Marker

DATO: 17. september 2015 TID: 14:30 STED: KomRev Trøndelag IKS sine kontorer i Stjørdal (Kjøpmannsgata 13, vis a vis Quality Airport Hotel Værnes)

Kan du legge personopplysninger i skyen?

Endelig kontrollrapport

Saksframlegg. Saksb: Øivind Nyhus Arkiv: / Dato: SELSKAPSKONTROLL LILLEHAMMER KOMMUNALE EIENDOMSSELSKAP AS

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

NORD TRØNDELAG FYLKESKOMMUNE Kontrollutvalget

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

KF Brukerkonferanse 2013

PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Forvaltningsrevisjonsrapporten "Hedmark fylkeskommunes internasjonale engasjement med utgangspunkt i Interreg Sverige-Norge programmet "

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Saksframlegg. Saksb: Øivind Nyhus Arkiv: 17/ Dato:

FORVALTNI N GSREVI SJON SRAPPORT "I N TE RN KON TROLL I BYGGE SAKSBEH AN DLI N GE N"

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

NORD TRØNDELAG FYLKESKOMMUNE Kontrollutvalget MØTEINNKALLING. DATO: 14.juni 2016 TID: Kl STED: Overhalla Gimlehallen

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Endelig kontrollrapport

MØTEINNKALLING. Kontrollutvalget. Møtedato: Møtetid: Kl Møtested: Namdalshagen - Kamme Greiff

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Forvaltningsrevisjonsrapport "Anskaffelser og kontraktsoppfølging"

MØTEPROTOKOLL. Kontrollutvalget Oppland fylkeskommune. Dato: kl. 9:00-13:30 Møterom Valdres Oppland fylkeskommune Arkivsak:

FORVALTNINGSREVISJONSPROSJEKT "ARBEIDSMILJØ I HEDMARK FYLKESKOMMUNE". Trykte vedlegg: Fylkesrevisjonens rapport Arbeidsmiljø i Hedmark fylkeskommune.

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Transkript:

Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for fylkestinget med slikt forslag til vedtak: 1. Fylkestinget tar forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" til orientering, og merker seg at det har blitt gjort et betydelig arbeid for å sørge for internkontroll på informasjonssikkerhetsområdet og krav i personopplysningsloven med forskrift. 2. Fylkestinget merker seg for øvrig at det er rom for forbedringer, og spesielt anbefalingene fra revisjonen om at fylkesrådet bør sørge for at Hedmark fylkeskommune: 1. Utarbeider og dokumenterer etablert sikkerhetsledelse for personopplysninger, hvor etablert sikkerhetsorganisasjon med roller og ansvar bør fremkomme. Videre bør Hedmark fylkeskommune sørge for å utarbeide sikkerhetsstrategi og etablere konkrete sikkerhetsmål. 2. Jevnlig gjennomfører sikkerhetsøvelser og etablerer egenkontroll knyttet til sikkerhetsarbeidet, og dokumenterer dette. 3. Jevnlig gjennomfører sikkerhetsrevisjon og dokumenterer dette skriftlig. 4. Jevnlig gjennomfører risikovurderinger og dokumenterer risikoen for sikkerhetsbrudd i sine informasjonssystemer. 5. Etablerer skriftlig rutine for behandling av avvik knyttet til informasjonssystemet. 6. Videre bør fylkesrådet vurdere: - Om det finnes tilstrekkelig og god oversikt over alle brukere av alle informasjonssystemer. - Om reglementer, retningslinjer og rutiner som vedrører bruk av informasjonssystemer, i tilstrekkelig grad er gjort kjent for ansatte. Det kan vurderes om det bør gjennomføres konkrete opplæringstiltak for alle eller utvalgte ansatte.

- Om det er mulig å etablere samlede logger som viser både forsøk på uautorisert bruk og autorisert bruk av fylkeskommunens informasjonssystemer, herunder å etablere et register over forsøk på uautorisert bruk som oppbevares i minimum 3 måneder. - Å videreføre arbeidet med å utarbeide skriftlig og fullstendig dokumentasjon av rutiner og annen informasjon som har betydning for informasjonssikkerheten. - Om dokumentasjon for informasjonssystemer som blir erstattet i tilstrekkelig grad blir tatt vare på, herunder om kravet om oppbevaring i 5 år etterleves. 7. Etablerer en samlet oversikt over: - Systemer som behandler personopplysninger og hvem som er behandlingsansvarlig. - Hvem som er databehandler, dvs. behandler personopplysninger på vegne av behandlingsansvarlig, i de ulike informasjonssystemer og på de ulike enheter/virksomheter. - Hvilke typer personopplysninger som behandles, samt det rettslige grunnlaget for hver behandling. - Til hvilket formål de ulike opplysninger er samlet inn. - Hvilke krav i personopplysningsloven og - forskriften som gjelder for de ulike behandlingene. 8. Har rutiner for vedlikehold av og oppfølging av internkontrollen, herunder: - At det blir fastsatt tidsplaner for vedlikehold av internkontrollen på informasjonssikkerhetsområdet. - Sørger for at rutiner av betydning for internkontrollen er kjent for de som skal følge dem. - Gjennomføre jevnlig stikkprøvekontroll for å avdekke hvordan internkontrollen fungerer. 9. Fylkestinget ber fylkesrådet om å gi kontrollutvalget en orientering om status i oppfølging av anbefalingene i revisjonsrapporten innen 1.4.2017. Saken legges fram for fylkestinget med Svein Borkhus som saksordfører. Vedlegg: - Saksprotokoll sak 13/16 fra møte i Kontrollutvalget 30.08.2016 - Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling i Hedmark fylkeskommune" utarbeidet av Hedmark revisjon IKS. Hamar, 05.09.2016

Dette dokumentet er elektronisk godkjent.

Saksutredning Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Innledning og bakgrunn I møte 18.11.2014 behandlet kontrollutvalget i Hedmark sak 27/14 om rullering av planer for forvaltningsrevisjon og selskapskontroll. Det ble da vedtatt å bestille foranalyse om temaet IKTsikkerhet. Hedmark Revisjon IKS la fram foranalyse den 24.3.2015 (sak 7/15) og prosjektplan den 5.5.2015 (sak 19/15). Både foranalyse og prosjektplan ble godkjent av kontrollutvalget, og innspill til det videre arbeidet ble gitt i møtene. Tittel på prosjektet ble endret til IKT-sikkerhet, drift og utvikling. Prosjektplanen la opp til en statusrapportering på prosjektet, og denne ble gitt til kontrollutvalget i møte den 29.9.2015. Saksopplysninger og fakta Hedmark revisjon IKS (heretter kalt revisjonen) har ferdigstilt rapporten som er vedlagt saken. Revisjonen vil presentere rapporten for kontrollutvalget i møtet. Hovedformålet til prosjektet har vært å vurdere fylkeskommunens systematiske tilnærming til IKT-sikkerhet, drift og utvikling. Formålet er belyst gjennom følgende overordnede problemstillinger: 1. I hvilken grad har Hedmark fylkeskommune sørget for tilfredsstillende internkontroll på informasjonssikkerhetsområdet? Herunder internkontrolltiltak for å sikre konfidensialitet, integritet og tilgjengelighet for a. Personopplysninger for fylkeskommunens ansatte b. Personopplysninger for elevene i de videregående skolene c. Personopplysninger for pasienter hos tannhelsetjenesten 2. I hvilken grad har Hedmark fylkeskommune sørget foren slik internkontroll som er nødvendig for å oppfylle øvrige krav i personopplysningsloven og tilhørende forskrift? Punkt 1c om tannhelse ble tatt inn som eget punkt etter at prosjektplanen ble godkjent. Dette kom etter innspill fra fylkesrådet og utvalget ble orientert om dette den 29.9.2015. Etter at foranalyse og prosjektplan ble presentert var kontrollutvalget opptatt av at det også skulle vurderes hvordan retningslinjer, rutiner og system ble fulgt opp i praksis. I rapporten skriver revisjonen at "undersøkelsene av begge problemstillinger har omfattet en gjennomgang og vurdering av retningslinjer, rutiner og systemer, samt hvordan disse følges opp i praksis". Kontrollutvalget ga også tilbakemelding på at de ønsket at fylkeskommunens driftsorganisasjon på IKT-området skulle belyses med følgende underpunkt: - Plassering av IKT i organisasjonen, herunder organisatorisk tilknytning og kommunikasjon med ledelsen - Ansatte, herunder oppgaver og kompetanse, endringer og arbeidsbelastning mv. - Drift, vedlikehold og utvikling av IKT, herunder beslutningsmyndighet - Oversikt over elektroniske og manuelle registre Problemstillingene knytter seg primært til etterlevelse av personopplysningsloven ( 13-14) og personopplysningsforskriften ( 3-1 samt kapittel 2). For tannhelsetjenesten er tilsvarende bestemmelser i helseregisterloven ( 21-22) og pasientjournalloven ( 22-23). Det er for øvrig utarbeidet en lang rekke revisjonskriterier for de ulike problemstillingene. Disse omtales i kapittel 16 i rapporten.

Undersøkelsene er gjennomført via intervjuer og dokumentanalyse. Rapporten inneholder et eget kapittel (kapittel 9) som beskriver fylkeskommunens IT-plattform, seksjon for teknologi (tidligere Serviceenhet IKT) og sikkerhetsarkitektur mv. for å gi et mer helhetlig bilde av fylkeskommunens arbeid med IKT-sikkerhet. Kapittel 7 i rapporten omhandler bakgrunnen og aktualiteten i forhold til temaet. Problemstilling 1: I hvilken grad har fylkeskommunen sørget for tilfredsstillende internkontroll på informasjonssikkerhetsområdet? Revisor har utarbeidet en rekke revisjonskriterier (28) som vurderes opp mot praksis i Hedmark fylkeskommune. Av disse 28 er 21 helt eller delvis etterlevd. Revisor konkluderer med følgende om denne problemstillingen: "Hedmark fylkeskommune, herunder også videregående opplæring, har gjennomført et betydelig arbeid for å sørge for tilfredsstillende internkontroll på informasjonssikkerhetsområdet, herunder internkontrolltiltak som sikrer konfidensialitet, integritet og tilgjengelighet for personopplysninger for fylkeskommunens ansatte og elevene i de videregående skolene. Samlet sett har Hedmark fylkeskommune forbedringspotensial på området. Tannhelsetjenesten har i det alt vesentligste sørget for tilstrekkelig internkontroll på informasjonssikkerhetsområdet, herunder informasjonssikkerhetstiltak som sikrer konfidensialitet, integritet og tilgjengelighet for personopplysninger for pasienter i tannhelsetjenesten. Hedmark fylkeskommune har for øvrig prioritert teknisk sikkerhetsarkitektur i perioden 2013-2016. Dette viser seg i form av at fylkeskommunen i stor grad etterlever de revisjonskriteriene som omhandler teknisk sikkerhetsarkitektur. Herunder at man har fastlagte kriterier for akseptabel risiko, at man har etablert tiltak mot uautorisert innsyn som sikrer at endringer blir gjennomført av personer med autorisasjon, at man sikrer at ansatte har tilgang til relevante og nødvendige opplysninger og at man har etablert sikringstiltak mot trojanere, virus og skadelig programvare mv. For revisjonskriterier som omhandler sikkerhetsledelse og organisatoriske forhold har Hedmark fylkeskommune en lavere andel av etterlevelse, og større forbedringspotensiale. Hedmark fylkeskommune har ikke dokumentert sikkerhetsledelse og avklart roller og ansvar. Det er ikke etablert sikkerhetsmål og sikkerhetsstrategi og Hedmark fylkeskommune gjennomfører ikke jevnlige sikkerhetsrevisjoner mv." Problemstilling 2: I hvilken grad har Hedmark fylkeskommune sørget for en slik internkontroll som er nødvendig for å oppfylle øvrige krav i personopplysningsloven og tilhørende forskrift? Revisor har utredet 10 kriterier for denne problemstillingen, og konkluderer med følgende om denne problemstillingen: "Hedmark fylkeskommune har delvis sørget for slik internkontroll som er nødvendig for å oppfylle øvrige krav i personopplysningsloven med forskrift. Tannhelsetjenesten har i det alt vesentlige etablert en internkontroll som er nødvendig for å oppfylle krav i personopplysningsloven med forskrift. Hedmark fylkeskommune etterlever samlet sett ikke kravene om at de skal ha oversikt over behandling av personopplysninger. Herunder hvem som er ansvarlig, hvilke personopplysninger som behandles,

det rettslige grunnlaget for behandlingen, formålet med og krav til behandlingen. Tannhelsetjenesten og VGO har imidlertid helt eller delvis etterlevd revisjonskriteriene. Hedmark fylkeskommune har etablert rutiner for internkontroll, men tidspunkter for vedlikehold av internkontrollen er ikke konkretisert. Det gjennomføres ikke stikkprøvekontroll (ledelseskontroll) av at internkontrollen faktisk fungerer, noe som bør etableres". Revisors anbefalinger På bakgrunn av funn og vurderinger gjort i revisjonen, har revisjonen følgende anbefalinger for problemstilling 1: Fylkesrådet bør sørge for at Hedmark fylkeskommune: 1. utarbeider og dokumenterer etablert sikkerhetsledelse for personopplysninger. Etablert sikkerhetsorganisasjon med roller og ansvar bør fremkomme klart av dokumentasjonen. Videre bør Hedmark fylkeskommune sørge for å utarbeide sikkerhetsstrategi og etablere konkrete sikkerhetsmål. 2. jevnlig gjennomfører sikkerhetsøvelser og etablerer egenkontroll knyttet til sikkerhetsarbeidet. Sikkerhetsøvelser og egenkontroll bør dokumenteres. 3. jevnlig gjennomfører sikkerhetsrevisjon og dokumenterer dette skriftlig. 4. jevnlig gjennomfører risikovurderinger og dokumenterer risikoen for sikkerhetsbrudd i sine informasjonssystemer. 5. etablerer skriftlig rutine for behandling av avvik knyttet til informasjonssystemet. Videre bør fylkesrådet vurdere: i. om det finnes tilstrekkelig og god oversikt over alle brukere av alle informasjonssystemer. ii. om reglementer, retningslinjer og rutiner som vedrører bruk av informasjonssystemer, i tilstrekkelig grad er gjort kjent for ansatte. Det kan vurderes om det bør gjennomføres konkrete opplæringstiltak for alle eller utvalgte ansatte. iii. om det er mulig å etablere samlede logger som viser både forsøk på uautorisert bruk og autorisert bruk av fylkeskommunens informasjonssystemer, herunder å etablere et register over forsøk på uautorisert bruk som oppbevares i minimum 3 måneder. iv. å videreføre arbeidet med å utarbeide skriftlig og fullstendig dokumentasjon av rutiner og annen informasjon som har betydning for informasjonssikkerheten. v. om dokumentasjon for informasjonssystemer som blir erstattet i tilstrekkelig grad blir tatt vare på, herunder om kravet om oppbevaring i 5 år etterleves. På bakgrunn av funn og vurderinger gjort i revisjonen, har revisjonen følgende anbefalinger for problemstilling 2: Fylkesrådet bør sørge for at Hedmark fylkeskommune: 1. etablerer en samlet oversikt over: a. systemer som behandler personopplysninger og hvem som er behandlingsansvarlig. b. Hvem som er databehandler, dvs. behandler personopplysninger på vegne av behandlingsansvaralig, i de ulike informasjonssystemer og på de ulike enheter/virksomheter. c. Hvilke typer personopplysninger som behandles, samt det rettslige grunnlaget

for hver behandling. d. Til hvilket formål de ulike opplysninger er samlet inn. e. Hvilke krav i personopplysningsloven og - forskriften som gjelder for de ulike behandlingene. 2. har rutiner for vedlikehold av og oppfølging av internkontrollen, herunder: a. at det blir fastsatt tidsplaner for vedlikehold av internkontrollen på informasjonssikkerhetsområdet. b. Sørger for at rutiner av betydning for internkontrollen er kjent for de som skal følge dem. c. Gjennomføre jevnlig stikkprøvekontroll for å avdekke hvordan internkontrollen fungerer. Vurderinger Hedmark revisjon har levert en grundig rapport som belyser de vedtatte problemstillingene. IKT-sikkerhet er et stort område, med tilhørende komplisert lovverk. Det er benyttet en rekke revisjonskriterier som alle er relevante for problemstillingene. Disse er valgt presentert i et eget kapittel, noe som gjør rapporten lettere å lese. Det kan for øvrig oppleves som om det er veldig mange mangler ut fra kriteriene. Oppsummering av funnene viser allikevel at det er gjort mye og at det er planer om å gjøre ytterligere. Tannhelsetjenesten og videregående opplæring er to fagfelt som omhandler mange "brukere". Disse to områdene trekkes fram i rapporten som områder hvor det er gjort et betydelig arbeid for å jobbe for tilstrekkelig internkontroll på informasjonssikkerhetsområdet. Anbefalingene som gis vurderes som nyttige. Fylkesrådet svarer også i høringsbrevet at de ser det er klare oppfølgingspunkter som skal håndteres i forlengelsen av rapporten, og at forvaltningsrevisjonen har vært nyttig for å systematisere hva som kreves av tiltak. Rapporten viser at det spesielt er mangler i forhold til påkrevde organisatoriske forhold som omhandler sikkerhetsorganisasjon og -ledelse samt sikkerhetsmål og -strategi. På bakgrunn av at dette mangler er det flere av revisjonskriteriene som ikke er etterlevd, da de har en direkte sammenheng. Fylkeskommunen sier i sitt høringssvar at det allerede er gitt oppdrag om å starte opp et arbeid for å følge opp anbefalingene. Konklusjon Sekretariatet vil anbefale at det gis en tilbakemelding på hvordan alle anbefalingene er fulgt opp til kontrollutvalget. Revisor har sortert anbefalingene ut fra hva som vurderes at fylkesrådet "bør sørge for" og hva fylkesrådet "bør vurdere". I problemstilling 1 er deler av anbefalingene gitt som anbefalinger som fylkesrådet "bør vurdere". Det vurderes som nyttig å få en tilbakemelding på alle anbefalingene som er gitt, selv om det kan virke veldig omfattende. Anbefalingene henger sammen og det er et helhetlig arbeid fylkeskommunen er i gang med å følge opp. Kontrollutvalget vil i etterkant oversende tilbakemeldingen om oppfølgingen til fylkestinget. Da det er relativt omfattende og tidskrevende arbeid rapporten omhandler foreslås det å vente til april 2017 før rapporten følges opp.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding