IT-sikkerhet i skoler og barnehager i Valdres og Hallingdal - Oppfølging av forvaltningsrevisjonsrapport fra 2012

Like dokumenter
Arkivfunksjonen i Valdres- og Hallingdal - Oppfølging av forvaltningsrevisjon og brev fra 2013

Innkjøp i Nord-Aurdal kommune

Møtebok for kontrollutvalget i Etnedal kommune

Møtebok fra kontrollutvalget i Vang kommune

Møtebok for kontrollutvalget Sør-Aurdal kommune

Kontrollutvalget i Hol kommune MØTEPROTOKOLL. Innkalling til: Funksjon: Navn: Forfall: Møtt for: Leder Øyvind Strand X

Kontrollutvalget Øystre Slidre kommune

Møtebok for kontrollutvalget i Øystre Slidre kommune

KONTROLLUTVALGET I NES KOMMUNE MØTEINNKALLING SAKLISTE

Møtebok for kontrollutvalget i Nord-Aurdal kommune

Kontrollutvalget Nord-Aurdal kommune

Nes kommune Møteprotokoll fellesmøte Kontrollutvalgene i Hallingdal

Kontrollutvalget i Sør-Aurdal kommune

Gol kommune Møteprotokoll fellesmøte Kontrollutvalget

RAPPORT. Evaluering av bruken av bærbare elev- PC er for elever i Vest-Agderskolen. September 2008 Vest-Agder fylkeskommune

Nokios 2013 Forsvarlig håndtering av elevdokumentasjon i grunnskole og videregående skole

Møtebok fra kontrollutvalget i Vang kommune,

Retningslinjer for kontrollutvalgenes arbeid

KONTROLLUTVALGET I FLÅ KOMMUNE MØTEINNKALLING SAKLISTE

Møtebok for kontrollutvalget i Øystre Slidre kommune

KONTROLLUTVALGET I ÅL KOMMUNE MØTEINNKALLING SAKLISTE

NES KONTROLLUTVALG. Årsmelding Kontrollutvalget i Nes har for valgperioden følgende sammensetning:

Tirsdag 20. november 2018 kl til på kommunehuset, Nord Aurdal kommune.

INNKALLING TIL MØTE I KONTROLLUTVALGET, ETNEDAL KOMMUNE. Onsdag 28. november 2018 kl til på kommunehuset, Etnedal kommune.

Møtebok for kontrollutvalget i Vestre Slidre kommune

Oppfølging av rapport: Kommunens arkiv

Forvaltningsrevisjon IKT sikkerhet og drift 2017

KONTROLLUTVALGET I ÅL KOMMUNE MØTEINNKALLING SAKSLISTE

Innkalling til felles kontrollutvalgsmøte i Hallingdal

KONTROLLUTVALGET I HOL KOMMUNE MØTEINNKALLING SAKLISTE

Øystre Slidre kommune. Ble saken om forvaltning av kommunekrafta godt nok belyst ved kommunestyrets politiske behandling i sak 43/2008 og sak 43/2013?

Kontrollutvalget Etnedal kommune

Kontrollutvalget i Nes kommune MØTEPROTOKOLL

KONTROLLUTVALGET I NES KOMMUNE MØTEINNKALLING SAKLISTE

Kontrollutvalget i Hemsedal kommune MØTEPROTOKOLL

KONTROLLUTVALGENE I FLÅ, GOL, HEMSEDAL, HOL, NES OG ÅL MØTEINNKALLING TIL FELLESMØTE SAKLISTE

Fleksitidsordningen i Nord-Aurdal kommune

Kontrollutvalet i Øystre Slidre kommune

Kontrollutvalget i Nes kommune MØTERPROTOKOLL

Saksframlegg. Ark.: 210 Lnr.: 2115/15 Arkivsaksnr.: 15/477-1 FORVALTNINGSREVISJONSRAPPORTEN "JOURNALFØRING AV POST OG OPPFØLGING AV HENVENDELSER"

HANDLINGSPLAN/TILTAKSPLAN FOR KVALITETSPLAN OPPVEKST

KONTROLLUTVALGET I GOL KOMMUNE MØTEINNKALLING SAKLISTE

KONTROLLUTVALGET I NES KOMMUNE MØTEINNKALLING SAKLISTE

Pedagogisk IKT-strategi for stavangerskolen

Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret /10 RAPPORT ETTER FORVALTNINGSREVISJON - KVALITET I SKOLEN

KONTROLLUTVALGET I GOL KOMMUNE

Hemsedal kommune Møteprotokoll fellesmøte Kontrollutvalgene i Hallingdal

Kontrollutvalget Vang kommune

Møtebok for kontrollutvalget i Etnedal kommune

Felles kontrollutvalgsmøte for Valdres

Drøftings-/orienteringssaker:

Kontrollutvalget i Ål kommune MØTEPROTOKOLL

IKT STRATEGI NES - SKOLEN

KONTROLLUTVALGET I GOL KOMMUNE

Forvaltningsrevisjonsrapport: Internkontroll og kvalitetssikring NAV

Risiko- og sårbarhets (ROS)analyse: etikk og antikorrupsjon

Kontrollutvalget i Hol kommune MØTEPROTOKOLL

HANDLINGSPLAN/TILTAKSPLAN FOR KVALITETSPLAN OPPVEKST utkast

KONTROLLUTVALGET I NES KOMMUNE MØTEINNKALLING

KONTROLLUTVALGET I HOL KOMMUNE MØTEINNKALLING

KONTROLLUTVALGET I HOL KOMMUNE MØTEINNKALLING

LINDESNES KOMMUNE KONTROLLUTVALGET MØTEBOK

Møtebok for kontrollutvalget i Øystre Slidre kommune

Saksbehandler: Reidar Bråtveit Arkiv: 430 Arkivsaksnr.: 15/1320. Hovedutvalg administrasjon

Møtebok for kontrollutvalget i Nord-Aurdal kommune

Plan for gjennomføring av forvaltningsrevisjon og selskapskontroll

Bård Hoksrud (Frp), Aase Kristine Salen Hagen (nestleder), Carl-Otto Thommesen (medlem), Tom Rune Olsen (medlem)

Omorganiseringsprosesser i Ringerike kommune

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

Hva skal lagres hvor? Praktisk erfaring

Møtebok for kontrollutvalget Sør-Aurdal kommune

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

2.4 Bruk av datautstyr, databehandling

Møtebok for kontrollutvalget i Øystre Slidre kommune

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Implementering av Kunnskapsløftet i. Kvam herad

Møtebok for kontrollutvalget i Øystre Slidre kommune

Verran kommune: Sjekkliste opplæringsloven, del 1 SKOLE

Læringsmiljø, herunder trivsel og mobbing tiltak og ansvarsfordeling

KONTROLLUTVALGET I NES KOMMUNE MØTEINNKALLING SAKLISTE

IKT-strategi for Færderskolen - Elevenes læring. Versjon 2

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Nes kommune Møteprotokoll Kontrollutvalget

Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret /11 RAPPORT ETTER FORVALTNINGSREVISJON -KVALITET I BARNEHAGE

Oslo kommune Utdanningsetaten. Strategisk plan Lilleborg skole

Styret Helseforetakenes senter for pasientreiser ANS 27/10/11

Møtebok for kontrollutvalget i Etnedal kommune

Møtebok for kontrollutvalget i Nord-Aurdal kommune, fellesmøte i Valdres

Kontrollutvalget i Gol kommune MØTEPROTOKOLL

KONTROLLUTVALGET I NES KOMMUNE MØTEINNKALLING

Varden skoles IKT plan

Møtebok fra kontrollutvalget i Vang, fellesmøte for Valdres

Onsdag 12.desember 2018 kl til på Kommunehuset, Vestre Slidre Kommune.

Møtebok for kontrollutvalget i Øystre Slidre kommune, fellesmøte for Valdres

Fremtidsrettet samhandling i skolen CIO Forum Samhandling november. IT-sjef Anders Aagaard Sørby Rådgiver og prosjektleder Anders Langfeldt

Kvalitet i grunnskolen

Møtebok for kontrollutvalget i Nord-Aurdal kommune

Å ta i bruk teknologi i klasserommet

Samlet risikobilde av pasientreiseområdet 2014 Sannsynlighet

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Transkript:

KOMMUNEREVISJON IKS Forvaltningsrevisjonsrapport fra Kommunerevisjon IKS IT-sikkerhet i skoler og barnehager i - Oppfølging av forvaltningsrevisjonsrapport fra 2012 Formål: Undersøke om kommunene i Hallingdal og Valdres har fulgt opp anbefalingene fra forvaltningsrevisjonsrapport om IT-sikkerhet i skoler og barnehager fra 2012 Innhold 1 Innledning 2 2 Informasjon fra kommunene 3 3 Revisjonens vurdering 4 4 Konklusjon 6 Område: IT-Sikkerhet i skoler og barnehager Kommune: Hallingdal- og Valdreskommunene Utført i perioden: April Mai 2015 Dato: 12.06.2015 Rapportnummer: 003/2015 Revisor: Dagny Thon Hovrud

Side 2 av 6 1 Innledning 1.1 Bakgrunn Kontrollutvalgene i har bedt Kommunerevisjon IKS undersøke om kommunene har fulgt opp de anbefalingene vi ga i forvaltningsrevisjonsrapport vedrørende IT-sikkerhet i skoler og barnehager i 2012. 1.2 Opprinnelig problemstilling Prosjektets problemstilling var i 2012 som følger: «Har skoler og barnehager i Valdres og Hallingdal tilfredsstillende systemer, rutiner og kompetanse til å sikre at viktig og konfidensiell informasjon ikke går tapt eller blir kjent for uvedkommende?» 1.3 Revisjonskriterier i oppfølgingsprosjektet I rapporten fra 2012 så vi at kommunene hadde utfordringer på ulike områder, og vi valgte å gi generelle anbefalinger til alle kommunene. I oppfølgingsprosjektet har vi undersøkt om kommunene har fulgt opp de anbefalinger som ble gitt, herunder at kommunene: 1. Lagrer informasjon i egnede administrative systemer, eksempelvis ACOS, Arkiv 360, OPPAD og SATS. Alternativt kan informasjon lagres på sentrale servere i egnet mappestruktur med hensiktsmessig adgangskontroll. Det bør ikke være tillat å lagre informasjon på lokale servere, stasjonære PC-er, bærbare PC-er, minnepinner osv. 2. Etablerer tilfredsstillende hjemmekontorløsninger. Gode hjemmekontorløsninger reduserer risikoen for at informasjon lagres på bærbare PC-er, minnepinner osv. 3. Har spesiell fokus på sikker lagring av konfidensiell informasjon, eksempelvis elevvurderinger, individuelle opplæringsplaner (IOP-er) og bilder. 4. Sikre systemer bør følges opp med gode rutinebeskrivelser og hensiktsmessig kompetanseutvikling hos ansatte. 1.4 Arbeidsprosess For å undersøke om kommune har fulgt opp våre anbefalinger fra 2012 har vi hatt samtaler med sentrale personer i fire tilfeldig utvalgte kommuner, dvs. Kommunalsjefer for skole og barnehage i Øystre Slidre og Nord-Aurdal, kommunalsjef i Nes og leder for barnehagene og rektor ved barne og rektor for ungdomsskolen i Gol. I del 2 fremgår informasjon om dagens situasjon i kommunene, mens vi i del 3 og 4 vurderer og konkluderer. 1.5 Rådmennenes uttalelse til oppfølgingsrapporten Iht. 8 i forskrift om revisjon i kommuner og fylkeskommuner m.v. av 15. juni 2004 skal rådmannen gis anledning til å gi uttrykk for sitt syn på de forhold som fremgår av en forvaltningsrevisjonsrapport. Ettersom dette er en oppfølgingsrapport av begrenset omfang, ble rapporten oversendt med relativt kort tilbakemeldingsfrist. Innspill fra rådmennene er tatt inn i rapporten der det har vært hensiktsmessig, og strukturen i rapporten er omarbeidet noe. Rådmannen i Nes sier at de punktene som er påpekt i konklusjonen allerede er tatt opp med aktuelle ledere i kommunen.

Side 3 av 6 2 Informasjon fra kommunene I tabellen nedenfor oppsummerer vi hvorvidt de undersøkte kommunene har fulgt anbefalingene vi ga i 2013. Om kommunene fulgte anbefalingene i 2012 fremgår ikke. Anbefaling 2012: Nord-Aurdal Øystre Slidre Nes Gol 1a. Sikker lagring - Fagsystemer og arkivsystem 1b. Sikker lagring: - Sentral server m/mappestruktur / tilgangskontroll 2. Hjemmekontor / Bærbare PC-er 3a. Konfidensiell info.: - Om elev/barn 3b. Konfidensiell info.: - IOP-er 3c. Konfidensiell info.: - Bilder 4a. Rutinebeskrivelser 4b. Kompetanseutvikling Ja! Felles mappestruktur for skoler/ bhg. fra 2014 Bærbar PC og lærere Skolesystemer. Sentral server i bhg. Papirmapper i låsbare skap «Sikker sone» + på minnep./ papir i låsbare skap bedret rutinene. Slettes jevnlig Ikke skriftlige, muntlig formidlet Jevnlig kurs, med pliktig oppmøte. Utvikling i bhg. ligger etter Kun mappestruktur for en bhg. «Private» områder brukes Bærbar PC/ ped. ledere. Bærbar PC for lærere Skolesystemer. «Privat» område på server i bhg. Papirmapper i låsbar skap. «Sikker sone» + på minnep./ papir i låsbare skap bedret rutinene. Slettes jevnlig Ikke skriftlige, muntlig formidlet Utfordrende å prioritere/sette av tid. I bhg. er mye opp til styrerne Har mappestruktur på server. «Privat» område brukes noe Ja! Bærbar PC og lærere/ped. ledere Sikker Sone 1 i skolen. Papirmapper i låsbare skap Sikker Sone i skolen. Arkivsystemet i bhg. bedret rutinene IKT-regler for grunnskolen Jevnlige halvdagskurs. Utvikling i bhg. ligger noe etter Ja! Mappestruktur på server. Brukes svært aktivt av bhg. Ja! Bærbar PC og lærere/ped. ledere Sikker Sone i skolen, også for bhg. fra høsten. Papirmapper i låsbare skap evt. arkivsystem Sikker Sone i skolen, også for bhg. fra høsten bedret rutinene Ikke skriftlige, muntlig formidlet Opplæring ved behov. Behovsbasert opplæring i bhg. 1 «Sikker sone»: Brukes til systemer for, og lagring av, sensitiv informasjon som f.eks. helseopplysninger, som er underlagt spesielle sikkerhetskrav. Eksempelvis er det en «tretrinns» innlogging på denne sonen, og det er ikke tilgang til e-post og internett. Øvrig informasjon i kommunene lagres på «Intern Sone». Informasjon lagres også her med tilfredsstillende sikkerhet, men informasjonsutveksling med eksterne aktører er enklere. Det kan sendes informasjon fra «Intern sone» til «Sikker sone», men ikke omvendt.

Side 4 av 6 3 Revisjonens vurdering I det følgende vurderer vi om anbefalingene i rapporten fra 2012 er fulgt opp, jf. del 1.3. 3.1 Lagring i sikre systemer og på sentral server Skolene og barnehagene i lagrer en stor del av informasjonen i skolefaglige systemer og arkivsystemer. Øvrig informasjon skal lagres på sentral server. IKT-Hallingdal og IKT-Valdres har ansvar for at systemene og de sentrale serverne har tilfredsstillende sikkerhet og back-up-rutiner. Det er variasjon mellom kommune mht. om de har bygget opp, og hvordan de bruker, felles mappestruktur med god tilgangskontroll på sentral server: Barnehageansvarlig i Gol har bygget opp en mappestruktur på server som brukes av alle barnehagene i kommunen. Her skal all informasjon som ikke lagres i fagsystemer lagres. Det er tilgangskontroll på alle mapper, skilt f.eks. på ledere og medarbeidere. Skolene i Gol har også slik mappestruktur, men denne brukes ikke så mye, fordi fagsystemene rommer mye informasjon. «Private» områder skal ikke brukes til informasjon knyttet til arbeid som gjøres for Gol kommune. Skolene i Nes har også slik mappestruktur, men denne brukes ikke i stor utstrekning, dels fordi fagsystemene rommer mye informasjon og dels fordi «private» områder på server brukes. Barnehagene i Nes har mappestruktur på server for lagring av felles informasjon og rutiner, felles rutiner ligger i kvalitetssystemet. Tilgangen til ITsystemene er variabel pga. ustabilt nett. Nord-Aurdal bygget i 2014 opp en mappestruktur for og barnehagene, hvor informasjon som skal deles med kollegaer skal ligge. Tidligere ble informasjon som ikke lå i fag- og arkivsystemene lagret på «private» områder på server. I Øystre Slidre er det en til to barnehager som har mappestruktur med tilgangskontroll, mens ikke har det. Dette betyr at informasjon som det ikke er naturlig å lagre i fagsystemer lagres på de «private» områdene på server. Vi anbefaler at alle kommunene bygger opp en mappestruktur med tilgangskontroll på sentral server for sine skoler og barnehager. Dette gjør det enkelt å finne igjen informasjon og dele informasjon mellom kollegaer. «Private» områder på sentral server bør i prinsippet ikke brukes til informasjon knyttet til arbeid som gjøres for kommunen. 3.2 Hjemmekontorløsninger Det opplyses at de fleste lærere i skolen og pedagogiske ledere i barnehagene har bærbare PC-er og hjemmekontorløsninger. Hjemmekontorløsninger mangler for lærerne i Øystre Slidre og for pedagogiske ledere i Nord-Aurdal. Enkel tilgang til systemene, også hjemmefra, bidrar til å sikre at informasjon lagres direkte i relevante systemer og/eller mapper på server, og ikke mellomlagres på minnepinner eller PC-er. Det er et positivt bidrag til IT-sikkerheten. I Gol lagres mye informasjon på «Sikker sone», og det kan være begrensende at det ikke er tilgang til denne fra hjemmekontor.

Side 5 av 6 3.3 Sikker lagring av konfidensiell informasjon Nes og Gol lagrer all konfidensiell informasjon om elever, herunder IOP-er, på Sikker Sone og har således høy grad av sikkerhet på slik informasjon. Nord-Aurdal og Øystre Slidre lagrer slik informasjon i skolesystemene som skal ha tilfredsstillende sikkerhet og tilgangskontroll. Nord-Aurdal og Øystre Slidre skal i prinsippet bruke en modul i saksbehandlingssystemet til IOP-er, men enkelte lagrer fortsatt IOP-er på minnepinner i påvente av nytt skolesystem høsten 2015. Nå sikres imidlertid informasjonen bedre enn i 2012, ved at dokumentene skrives ut, og lagres sammen med minnepinnen i elevmappene i låsbare skap. Kommunene redegjør for økt bevissthet rundt bruk og lagring av bilder i skoler og barnehager. Eksempelvis skal bilder brukes for å dokumentere pedagogisk aktivitet, og da av barn i grupper, ikke nærbilder av enkeltbarn. Flere kommuner sletter rutinemessig eldre bilder, og bilder lagret på eksterne harddisker skal være låst inne når de ikke brukes. Det er positivt at konfidensiell informasjon, som IOP-er, elevvurdering og bilder, lagres mer hensiktsmessig nå enn i 2012. Konfidensiell informasjon prioriteres også ved fornyelse av systemer. Sikker lagring av konfidensiell informasjon bør være på dagsorden jevnlig, for å sikre at alle har høy bevissthet på dette. 3.4 Rutiner og kompetanseutvikling De undersøkte kommunene har ulike tilnærminger til å videreutvikle IT-kompetansen i og barnehagene. I Nord-Aurdal har de IT-konsulenter i 40 % stilling i skolen, og har regelmessige kurs hvor det skal være pliktig oppmøte. Nes har en IT-konsulent i halv stilling i skolen, og kommunen bruker fra høsten 2015 regelmessig en halv planleggingsdag til å heve lærernes IT-kompetanse. I Gol redegjøres det for rutiner og strukturer som viser at det har vært arbeidet mye med IT-kompetanse også i barnehagene. I de andre kommunene har utviklingen i vært prioritert fremfor barnehagene, noe som til dels begrunnes med at man venter på implementering av nye systemer. Etter vår vurdering er det viktig å arbeide kontinuerlig med utvikling og forbedring av rutiner, sikkerhet og kompetanse med de systemer man i har dag. Dersom man skal vente på neste versjon, eller nytt system, er det stor risiko for at utviklingen stagnerer, ettersom det hyppig utvikles ny teknologi. Nes har skriftlige målsetninger mht. hva de ulike klassetrinn skal beherske innenfor IT, og hvordan IT skal brukes i skolehverdagen. I de andre kommunene formidles rutinene og «kjørereglene» i større grad muntlig. Vi mener det er hensiktsmessig å ha kortfattede rutiner eller «kjøreregler» som forteller hvordan «vi gjør det her», både mht. hva som lagres hvor, og forventninger til kompetanse og nettvett både for ansatte og elever/barn. Det bør ikke være opp til den enkelte ansatte å bestemme hva som er «riktig» kompetansenivå.

Side 6 av 6 4 Konklusjon Etter vår vurdering har kommunene vi nå har undersøkt for en stor del fulgt opp anbefalingene vi ga i 2012, spesielt når det gjelder rutiner for lagring av konfidensiell informasjon. IT-sikkerhet er imidlertid et område det må arbeides med kontinuerlig, både fordi det stadig kommer nye elever, lærere og personale i barnehagene, og fordi utviklingen av ITsystemer og løsninger er i kontinuerlig utvikling. Vi forstår at alle kommunene i Valdres og Hallingdal både vurderer nye løsninger og er i ferd med å implementere nye løsninger. Slik vi ser situasjonen kan det være forbedringsmuligheter på følgende områder: Øystre Slidre har ikke hjemmekontorløsninger for, og det har heller ikke barnehagene i Nord-Aurdal. Begrense bruken av «private» områder på server, og heller bygge opp hensiktsmessige mappestrukturer med tilgangskontroll for lagring av informasjon som ikke legges i fag-/arkivsystemene. Dette gjelder spesielt Øystre Slidre kommune. Vi har inntrykk av at utviklingen på enkelte områder, som f.eks. sikker lagring av IOPer (begrenset omfang) og databruk i barnehagene, er nedprioritert fordi man venter på nye løsninger og systemer. Det er viktig å arbeide for sikker lagring av informasjon i de systemer man har, ettersom implementering og utvikling av nye systemer ofte tar lengre tid enn antatt. På barnehagesiden i Gol har man eksempelvis brukt serverområdet aktivt for lagring av mye informasjon. Det er viktig med systematisk kompetanseheving i skoler og barnehager, der utviklingen styres av kommunene behov og ikke av den enkelte medarbeiders ønsker. Dette ser vi eksempler på f.eks. i Nes og i Nord-Aurdal. Ettersom resultatene er relativt gode i de tilfeldig valgte kommunene har vi ikke funnet det ressursvarende å undersøke situasjonen i alle kommunene. Oppfølgingsrapporten behandles imidlertid i felles kontrollutvalgsmøter i hhv. slik at alle kontrollutvalgene er kjent med situasjonen. Fagernes 12. juni 2015... Revisor Dagny Thon Hovrud

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding