Prosjektplan/engagement letter. Mai 2014

Like dokumenter
Vedtaksoppfølging i Hordaland fylkeskommune Prosjektplan

Forvaltningsrevisjon Bergen kommune Juridisk kvalitetssikring i Etat for byggesak og private planer. Prosjektplan

Plan for forvaltningsrevisjon Revidert plan Tysnes kommune

Forvaltningsrevisjon Bergen kommune Service og informasjon innen byggesak og private planer Prosjektplan/engasjementsbrev

Forvaltningsrevisjon Bergen kommune Fisketorget og Mathallen - oppfølging av bystyrevedtak sak Prosjektplan/engagement letter

Selskapskontroll Bergen kommune. Eierskapsforvaltning. Prosjektplan/engasjementsbrev

Plan for forvaltningsrevisjon Karmøy kommune.

Forvaltningsrevisjon Bergen kommune Effektivitet og kvalitet i internkontrollen Prosjektplan/engagement letter

Økonomistyring i Hordaland fylkeskommune Prosjektplan/engagement letter

Forvaltningsrevisjon Hordaland fylkeskommune Forholdet mellom skuleeigar og skular Prosjektplan/engagement letter

Forvaltningsrevisjon Hordaland fylkeskommune Tilskotsforvaltning innanfor kulturområdet. Prosjektplan/engagement letter

Forvaltningsrevisjon Bergen kommune Økonomiske oppgjør i forbindelse med samhandlingsreformen. Prosjektplan/engagement letter

Forvaltningsrevisjon Sogn og fjordane fylkeskommune Fylkesarkivet. Prosjektplan/engagement letter

Forvaltningsrevisjon Bergen kommune kommune Anskaffelse, oppfølging og kontroll av tjenester fra private leverandører innen helse og omsorg

Overordnet internkontroll i barneverntjenesten

Kan en Norsk Standard sikre at man får den beste leveransen til den beste prisen?

Forvaltningsrevisjon Hordaland fylkeskommune Forholdet mellom skuleeigar og skular Revidert prosjektplan/engagement letter

Forvaltningsrevisjon Bergen kommune Spesialundervisning. Prosjektplan/engagement letter

Innhald. Plan for forvaltningsrevisjon Bømlo kommune

Haugesund kommune Plan for forvaltningsrevisjon

Plan for forvaltningsrevisjon Fitjar kommune.

Forvaltningsrevisjon Bergen kommune Sykefravær og bruk av vikarer i barnehager Prosjektplan/engagement letter

Det kommunale og fylkeskommunale risikobildet - Sammendrag

Samhandlingsreformen hva planlegger kommunene, og hvordan vil dette påvirke sykehusenes aktivitetsnivå

Plan for forvaltningsrevisjon Revidert plan Sogn og Fjordane fylkeskommune

Plan for forvaltningsrevisjon Kvinnherad kommune.

Forslag til ny tomtefestelov - økonomiske betraktninger

Forvaltningsrevisjon Bergen kommune Tilskuddsforvaltning kultur og kulturminne. Prosjektplan/engagement letter

Forvaltningsrevisjon Bergen kommune Økonomiske oppgjør og tilpasninger i forbindelse med samhandlingsreformen. Prosjektplan/engagement letter

Forvaltningsrevisjon Bergen kommune Prosedyrer og rutiner for journalføring og tilgjengeliggjøring av dokument/saksutredning.

NIRF. Hvitvaskingsregelverket og internrevisorer. Advokat Roar Østby

Forvaltningsrevisjon av Barne og familietenesta i Bømlo kommune Prosjektplan/engagement letter

Forvaltningsrevisjon Utsira kommune Plan, byggesak og eigedom Prosjektplan/engagement letter

Forvaltningsrevisjon Sogn og Fjordane fylkeskommune. Samhandling og prosjektstyring Prosjektplan/engagement letter

Plan for forvaltningsrevisjon Revidert plan Hordaland fylkeskommune

Forvaltningsrevisjon Bergen kommune Bruk av tilskuddsordninger innen områdene idrett og friluftsliv. Prosjektplan/engagement letter

Plan for forvaltningsrevisjon Stord kommune.

Selskapskontroll Hordaland fylkeskommune. Bybanen AS. Prosjektplan/engasjementsbrev. Offentleg versjon

Finansiell analyse og modellering for strategiske og finansielle beslutninger

Kontrahering og prosjektstyring av byggeprosjekter

KONTROLLUTVALET I FJELL KOMMUNE

Selskapskontroll Hordaland fylkeskommune Arkiv- og journalføringsplikt i selskap. Prosjektplan/engasjementsbrev

Styremøte Helse Midt-Norge Presentasjon rapport evaluering internrevisjonen

Forvaltningsrevisjon Bergen kommune Investeringsprosjekter Prosjektplan/engagement letter

Forvaltningsrevisjon Rutinar rundt drosjeløyve i Hordaland fylkeskommune Prosjektplan/engagement letter

Forvaltningsrevisjon Hordaland fylkeskommune Prosjektstyring. Prosjektplan/engagement letter

Hordaland fylkeskommune - Forvaltningsrevisjon av fagopplæring Prosjektplan/engagement letter

Bokn kommune Plan for forvaltningsrevisjon

Hvordan kan kontrollutvalget få best mulig effekt av arbeidet som gjøres? En evaluering av kontrollutvalg/ kontrollutvalgssekretariat

Forvaltningsrevisjon Vik kommune Helse og omsorg Revidert prosjektplan/engagement letter

Tysnes kommune Plan for forvaltningsrevisjon

Forvaltningsrevisjon Kvinnherad kommune Innkjøp Prosjektplan/engasjementsbrev

GDPR krav til innhenting av samtykke

Ny personvernlovgivning er på vei

Statkrafts Pensjonskasse. Årsrapport 2015

Øygarden kommune Plan for forvaltningsrevisjon

Regnskapsføring av finansielle eiendeler og forpliktelser høringsutkast til Norsk Regnskaps Standard

Effektiv gjennomføring med OPS. Næringslivets forum for offentlige anskaffelser 4. Mars 2014

Ny personvernlovgivning er på vei

Forvaltningsrevisjon Bergen kommune Tilsyn, oppfølging og kontroll av fosterhjem

Fergefri E39. Hva er OPS? Hvorfor egner store prosjekter seg særlig godt for OPSgjennomføring

Erfaringer med klyngedannelse «Fra olje og gass til havbruk»

Forvaltningsrevisjon Bergen kommune Internkontroll i Byrådsavdeling for finans, eiendom og eierskap. Prosjektplan/engagement letter

Prosjektplan Oppegård kommune Overordnet analyse og plan for forvaltningsrevisjon


Forvaltningsrevisjon Nesna kommune Internkontroll Prosjektplan/engagement letter

Deloitte. Deloitte AS Dronning Eufemias gate 14 Postboks 221 Sentrum NO-0103 Oslo Norway Tlf: Faks: Ti

Det kommunale og fylkeskommunale risikobildet


Revisors rolle - Utfordringer og begrensninger. 5. Desember 2016, Aase Aamdal Lundgaard

Forvaltningsrevisjon av personalforvaltninga i Hordaland fylkeskommune Prosjektplan/engagement letter

Forslag til ny tomtefestelov - juridiske betraktninger Deloitte AS


Årsrapport

Kommunereformarbeid. Kommunikasjonsplan som del av en god prosess Deloitte AS

STATKRAFTS PENSJONSKASSE

Kostnadsutvikling i investeringsprosjekter

Frokostmøte HADELANDSHAGEN

Kvinnherad kommune Plan for forvaltningsrevisjon

April Hvitvasking Hvor kommer pengene fra? Granskning og Forensic Services


Statkraft Energi AS. Årsrapport

Skisse til overordnet analyse og utarbeidelse av plan for forvaltningsrevisjon

1. Innleiing Plan for selskapskontroll Former for selskapskontroll 3 2. Risiko- og vesentleganalyse... 4

Velkommen til leverandørkonferanse Fagsystemer for Nye Veier AS

Plan for selskapskontroll Haugesund kommune.

Plan for selskapskontroll Øygarden kommune.


Eiendomsskatt. Hvem har risikoen og hvordan bør det håndteres? Bjørn Olav Johansen og T horvald Nyquist, 3. mars Deloitte Advokatfirma AS

Forvaltningsrevisjon Hordaland fylkeskommune Internkontroll og HMT. Prosjektplan/engagement letter


Gjennomgang av resultatenheter i Bergen kommune. Prosjektplan/engagement letter

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

Forvaltningsrevisjon Hordaland fylkeskommune Opplæringstilbodet til minoritetsspråklege elevar Prosjektplan/engagement letter

INTERIMSREVISJON HALDEN KOMMUNE

Forvaltningsrevisjon Hordaland fylkeskommune Bruk av digitale verktøy og læremiddel i vidaregåande skule Prosjektplan/engagement letter

Skisse til overordnet analyse og utarbeidelse av plan for selskapskontroll

Halden kommune v/rådmann Per Egil Pedersen Storgata Halden. Revisjonsrapport nr 1 (journalføres) 12. desember 2011

Plan for selskapskontroll Karmøy kommune.

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Transkript:

a Forvaltningsrevisjon Bergen kommune Informasjonssikkerhet og behandling av personopplysninger gjennomgang og oppfølging av forvaltningsrevisjonsrapport Prosjektplan/engagement letter Mai 2014

Innhold 1. Formål og problemstillinger... 3 1.1 Bakgrunn... 3 1.2 Formål og problemstillinger... 3 2. Revisjonskriterier... 4 2.1 Regelverket om informasjonssikkerhet... 4 2.1.1 Personopplysningslov og -forskrift... 4 2.1.2 Annet regelverk... 4 2.2 Kommunale vedtak knyttet til informasjonssikkerhet... 5 3. Metode... 6 3.1 Dokumentanalyse... 6 3.2 Intervju... 6 3.3 Elektronisk spørreundersøkelse... 6 3.4 Verifiseringsprosesser... 6 4. Tid og ressursbruk... 7 4.1 Nøkkelpersonell... 7 4.2 Tidsbruk... 7

1. Formål og problemstillinger 1.1 Bakgrunn Deloitte har med utgangspunkt i bestilling fra kontrollutvalget i møtet 8.4.2014 i sak 23-14, utarbeidet en prosjektplan for gjennomgang og vurdering av Bergen kommunes oppfølging av forvaltningsrevisjonsrapporten «Informasjonssikkerhet og behandling av personopplysninger i Bergen kommune», som ble utarbeidet i 2009. Rapporten fra 2009 hadde som formål å undersøke om Bergen kommune hadde tilfredsstillende system og rutiner for informasjonssikkerhet i forbindelse med behandling av personopplysninger, og om gjeldende regelverk ble fulgt. Datagrunnlaget var dokumentgjennomgang, intervjuer og spørreundersøkelse. Forvaltningsrevisjonen konkluderte bl.a. med at Bergen kommune ikke oppfylte krav i personopplysningsforskriften på flere områder. Det ble pekt på mangler knyttet til bl.a. styringsdokumenter knyttet til informasjonssikkerhet oversikt over personopplysninger gjennomføring av sikkerhetsrevisjoner dokumentasjon av informasjonssikkerheten Rapporten anbefalte å utbedre og oppdatere styrende dokumentasjon og rutiner, sikre at ansatte har nødvendig kunnskap om informasjonssikkerhet og tydeliggjøre ansvar og oppgaver knyttet til informasjonssikkerhet i kommunen. Rapporten ble behandlet i bystyret 25.1.2010. 1.2 Formål og problemstillinger Formålet med prosjektet vil være å få kartlagt hvordan kommunen har fulgt opp funn og anbefalinger i forvaltningsrevisjonsrapporten. Med bakgrunn i formålet med prosjektet, og funnene i rapporten fra 2009, er det formulert følgende problemstillinger: 1. I hvilken grad er det etablert tiltak for å tilfredsstille krav i lovverket knyttet til informasjonssikkerhet? a. Er det innført rutiner og retningslinjer i samsvar med anbefalingene fra rapporten i 2009 b. I hvilken grad er det gitt føringer for å sikre en helhetlig tilnærming til informasjonssikkerhet i kommunen? 2. I hvilken grad er ansvar og oppgaver knyttet til informasjonssikkerhet tydeliggjort? 3. I hvilken grad har de ansatte kjennskap til retningslinjer og rutiner for informasjonssikkerhet? I undersøkelsen fra 2009 var det et hovedfokus på kravene til informasjonssikkerhet i personopplysningsforskriftens kap. 2. Disse kravene er knyttet til behandling av personopplysninger. Revisjonen vil, for å besvare problemstilling 1, gjennomgå de konkrete kravene i denne forskriften hvor det ble påpekt avvik. I tillegg vil vi legge til grunn en noe videre forståelse av begrepet informasjonssikkerhet, hvor vi også ønsker å undersøke i hvilken grad kommunen har gitt føringer knyttet til sikkerhet for helseopplysninger, taushetspliktige opplysninger og informasjon med betydning for samfunnssikkerheten. 3

2. Revisjonskriterier Innsamlede data vil bli vurdert opp mot revisjonskriterier knyttet til regelverket for informasjonssikkerhet, samt politiske vedtak i Bergen kommune som har relevans for dette området. Listen med kriterier under er ikke uttømmende for det som kan være relevant for prosjektet. Kriterier vil kunne bli lagt og/eller utdypet dersom det skulle være nødvendig for å få en fullstendig gjennomgang og vurdering av problemstillingene. 2.1 Regelverket om informasjonssikkerhet Informasjonssikkerhet innebærer at personopplysninger og annen informasjon skal beskyttes mot uberettiget innsyn, og at den skal bli ivaretatt og være tilgjengelig for de som skal ha tilgang til den. 2.1.1 Personopplysningslov og -forskrift Regelverket knyttet til informasjonssikkerhet omfatter bl.a. personopplysningslov og -forskrift. I personopplysningsforskriften er det gitt utfyllende bestemmelser og veiledninger knyttet til informasjonssikkerhet. Sentrale punkt i forskriften og tilhørende veiledere er bl.a. å: 1 fastsette sikkerhetsstrategi for virksomheten gjennomføre risikovurderinger etter fastsatte kriterier etablere klare ansvars og myndighetsforhold for bruk av informasjonssystem etablere fysiske og tekniske tiltak for informasjonssikkerhet sørge for at de ansatte har tilstrekkelig kunnskap om informasjonssikkerhet gjennomføre sikkerhetsrevisjoner for å etterprøve at tiltak er iverksatt og fungerer foreta regelmessig ledelsesgjennomgang av sikkerhetsmål og -strategi For å kunne tilfredsstille disse kravene må kommunen etablere et styringssystem for informasjonssikkerhet. 2.1.2 Annet regelverk I tillegg til kravene i personopplysningsforskriften er det også flere andre regler knyttet til informasjonssikkerhet som er relevant i kommunen. Til dels er kravene i disse regelverkene overlappende med kravene til et styringssystem for informasjonssikkerhet. I helseregisterloven er det gitt konkrete bestemmelser knyttet til håndtering av helseopplysninger, og her fremkommer det bl.a. konkrete krav knyttet til informasjonssikkerhet ( 16). Det er utarbeidet en norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren (Normen), som stiller krav med utgangspunkt i både personopplysningsforskriften og helseregisterloven. I normen er det også innarbeidet ulike krav knyttet til taushetsplikt og informasjonsrett etter særlovgiving for kommunehelsetjenester, sosialtjenester, psykisk helsevern, samt forvaltnings- og offentlighetslov. Kommunen er også omfattet av sikkerhetsloven, og har som følge av dette plikt til å ha betryggende informasjonssikkerhet for informasjon som kan være kritisk for å forhindre trusler som spionasje, sabotasje og terrorhandlinger. Disse kravene kan være relevante for kommunen f.eks. når det gjelder å beskytte vannforsyningen fra forurensing av drikkevann. 2 1 Følgende punkter kommer frem i personopplysningsforskriften kap. 2 2 Jf. Drikkevannsforskriften 14. 4

2.2 Kommunale vedtak knyttet til informasjonssikkerhet Forvaltningsrevisjonsrapporten fra 2009 om informasjonssikkerhet konkluderte med at Bergen kommune bør: Opprettholde fokus på arbeidet med det nye systemet for informasjonssikkerhet, 3 og sikre at dette ivaretar kravene i personopplysningsforskriften, bl.a. når det gjelder o risikovurderinger o sikkerhetsrevisjon o avvikshåndtering o dokumentasjon o sikkerhet hos kommunikasjonspartnere og leverandører Sørge for at rutiner og retningslinjer knyttet til informasjonssikkerhet holdes oppdatert og blir tilstrekkelig implementert på alle nivå i kommunen, samt at medarbeiderne har nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Tilrettelegge for et godt samarbeid mellom de ulike aktørene som er involvert i kommunens IKT arbeid, og utarbeide skriftlige rollebeskrivelser som tydeliggjør ansvar og oppgaver. Bystyret vedtok i 2011 informasjonssikkerhetsstrategi for Bergen kommune. Strategien omfatter bl.a. to fokusområder for arbeidet med informasjonssikkerhet: Organisering, systematikk og styring: Bergen kommune skal iverksette systematiske tiltak for å tydeliggjøre, følge opp og dokumentere den enkeltes ansvar for informasjonsressurser og behandlingsprosesser Informasjon, bevisstgjøring og sikkerhetskultur: Bergen kommune skal iverksette tiltak for å tilby integrert opplæring og informasjon om informasjonssikkerhet som i størst mulig grad er tilpasset, tilgjengelig og teknologinøytral, samt tilstrebe at informasjonssikkerhet blir en naturlig del av kommunens organisasjonskultur 3 Når beskriver «det nye systemet for informasjonssikkerhet» vises det til at kommunen på dette tidspunktet hadde satt i gang et arbeid med å systematisere styringsdokumentene knyttet til informasjonssikkerhet, og at retningslinjer og rutiner skulle samles på en egen intranettside. 5

3. Metode Oppdraget skal gjennomføres i samsvar med gjeldende standard for forvaltningsrevisjon, RSK 001. 3.1 Dokumentanalyse Vi vil gjennomgå Bergen kommunes styringssystem for informasjonssikkerhet for å kartlegge rutiner og retningslinjer opp mot krav i lovverk og standarder. Vi vil se både på styrende og gjennomførende/kontrollerende dokumentasjon. Vi vil også, dersom det vurderes som hensiktsmessig, gjennomføre stikkprøvemessig testing av hvordan systemet benyttes, slik som f.eks. dokumentasjon av risikovurderinger og oversikt over behandling av personopplysninger. 3.2 Intervju Som en del av revisjonen vil det gjennomføres intervju med et mindre utvalg ledere i kommunen som har særskilt ansvar knyttet til informasjonssikkerhet. Vi forventer å intervjue ca. 4 personer i forbindelse med prosjektet. 3.3 Elektronisk spørreundersøkelse I undersøkelsen fra 2009 ble det gjennomført en elektronisk spørreundersøkelse knyttet til informasjonssikkerhet i utvalgte enheter i kommunen. Vi vil gjennomføre en ny undersøkelse. Denne vil omhandle kjennskap og holdning til informasjonssikkerhet blant de ansatte, og vil bestå av en kombinasjon av spørsmål som ble stilt i undersøkelsen fra 2009 og nye spørsmål. Utvalget av respondenter vil gjennomføres av en samlet oversikt over e-postadresser til kommunalt ansatte. Vi vil enten gjennomføre det som en ren tilfeldig trekking, eller gjennom en stratifisert utvelging for å sikre representasjon fra spesifikke avdelinger, virksomheter eller stillingsnivå. Vi vil innhente innspill fra Bergen kommunes leder for informasjonssikkerhet i utarbeidingen av undersøkelsen, for å sikre at begrepsbruk og formuleringer er mest mulig forståelig for respondentene. 3.4 Verifiseringsprosesser Referat fra intervju vil bli sendt til intervjuobjektene for verifisering. Det er informasjon fra verifiserte intervju som vil bli benyttet i rapporten. Faktadelen i rapporten vil bli sendt til byrådsavdelingen for verifisering i samsvar med fremgangsmåte avtalt mellom Bergen kommune og Deloitte. 6

4. Tid og ressursbruk 4.1 Nøkkelpersonell Gunnar Husabø vil være prosjektleder. I tillegg vil Iver Fiksdal og Anders Blomhof Pedersen delta i prosjektet. Stein Ove Songstad vil være ansvarlig partner på oppdraget. 4.2 Tidsbruk Med utgangspunkt i prosjektets art og planen for gjennomføring, er det stipulert at det vil ta 299 timer å gjennomføre prosjektet. Dette inkluderer forberedelse, utarbeidelse av problemstillinger og prosjektplan, forberedelse og gjennomføring av datainnsamling, analyse av data i forhold til revisjonskriterier, utarbeiding av rapport og kvalitetssikring. Prosjektet vil kunne startes opp 15. august 2014 og vil sendes til kontrollutvalget ved sekretariatet innen 22. desember 2014. For å kunne gjennomføre prosjektet innen denne fristen og med stipulert timebruk er det nødvendig at kommunen bistår med innhenting av dokumentasjon, og at utvalgte personer stiller til og verifiserer intervjuer. Fakturering av kostnadene ved prosjektet vil skje i samsvar med avtale. Bergen, 26.5.2014 Stein Ove Songstad, ansvarlig partner 7

Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network of member firms, each of which is a legally separate and independent entity. Please see www.deloitte.com/no/omoss for a detailed description of the legal structure of Deloitte Touche Tohmatsu Limited and its member firms. Deloitte provides audit, tax, consulting, and financial advisory services to public and private clients spanning multiple industries. With a globally connected network of member firms in more than 150 countries, Deloitte brings world-class capabilities and deep local expertise to help clients succeed wherever they operate. Deloitte's approximately 200.000 professionals are committed to becoming the standard of excellence. 2014 Deloitte AS

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding