a Forvaltningsrevisjon Bergen kommune Informasjonssikkerhet og behandling av personopplysninger gjennomgang og oppfølging av forvaltningsrevisjonsrapport Prosjektplan/engagement letter Mai 2014
Innhold 1. Formål og problemstillinger... 3 1.1 Bakgrunn... 3 1.2 Formål og problemstillinger... 3 2. Revisjonskriterier... 4 2.1 Regelverket om informasjonssikkerhet... 4 2.1.1 Personopplysningslov og -forskrift... 4 2.1.2 Annet regelverk... 4 2.2 Kommunale vedtak knyttet til informasjonssikkerhet... 5 3. Metode... 6 3.1 Dokumentanalyse... 6 3.2 Intervju... 6 3.3 Elektronisk spørreundersøkelse... 6 3.4 Verifiseringsprosesser... 6 4. Tid og ressursbruk... 7 4.1 Nøkkelpersonell... 7 4.2 Tidsbruk... 7
1. Formål og problemstillinger 1.1 Bakgrunn Deloitte har med utgangspunkt i bestilling fra kontrollutvalget i møtet 8.4.2014 i sak 23-14, utarbeidet en prosjektplan for gjennomgang og vurdering av Bergen kommunes oppfølging av forvaltningsrevisjonsrapporten «Informasjonssikkerhet og behandling av personopplysninger i Bergen kommune», som ble utarbeidet i 2009. Rapporten fra 2009 hadde som formål å undersøke om Bergen kommune hadde tilfredsstillende system og rutiner for informasjonssikkerhet i forbindelse med behandling av personopplysninger, og om gjeldende regelverk ble fulgt. Datagrunnlaget var dokumentgjennomgang, intervjuer og spørreundersøkelse. Forvaltningsrevisjonen konkluderte bl.a. med at Bergen kommune ikke oppfylte krav i personopplysningsforskriften på flere områder. Det ble pekt på mangler knyttet til bl.a. styringsdokumenter knyttet til informasjonssikkerhet oversikt over personopplysninger gjennomføring av sikkerhetsrevisjoner dokumentasjon av informasjonssikkerheten Rapporten anbefalte å utbedre og oppdatere styrende dokumentasjon og rutiner, sikre at ansatte har nødvendig kunnskap om informasjonssikkerhet og tydeliggjøre ansvar og oppgaver knyttet til informasjonssikkerhet i kommunen. Rapporten ble behandlet i bystyret 25.1.2010. 1.2 Formål og problemstillinger Formålet med prosjektet vil være å få kartlagt hvordan kommunen har fulgt opp funn og anbefalinger i forvaltningsrevisjonsrapporten. Med bakgrunn i formålet med prosjektet, og funnene i rapporten fra 2009, er det formulert følgende problemstillinger: 1. I hvilken grad er det etablert tiltak for å tilfredsstille krav i lovverket knyttet til informasjonssikkerhet? a. Er det innført rutiner og retningslinjer i samsvar med anbefalingene fra rapporten i 2009 b. I hvilken grad er det gitt føringer for å sikre en helhetlig tilnærming til informasjonssikkerhet i kommunen? 2. I hvilken grad er ansvar og oppgaver knyttet til informasjonssikkerhet tydeliggjort? 3. I hvilken grad har de ansatte kjennskap til retningslinjer og rutiner for informasjonssikkerhet? I undersøkelsen fra 2009 var det et hovedfokus på kravene til informasjonssikkerhet i personopplysningsforskriftens kap. 2. Disse kravene er knyttet til behandling av personopplysninger. Revisjonen vil, for å besvare problemstilling 1, gjennomgå de konkrete kravene i denne forskriften hvor det ble påpekt avvik. I tillegg vil vi legge til grunn en noe videre forståelse av begrepet informasjonssikkerhet, hvor vi også ønsker å undersøke i hvilken grad kommunen har gitt føringer knyttet til sikkerhet for helseopplysninger, taushetspliktige opplysninger og informasjon med betydning for samfunnssikkerheten. 3
2. Revisjonskriterier Innsamlede data vil bli vurdert opp mot revisjonskriterier knyttet til regelverket for informasjonssikkerhet, samt politiske vedtak i Bergen kommune som har relevans for dette området. Listen med kriterier under er ikke uttømmende for det som kan være relevant for prosjektet. Kriterier vil kunne bli lagt og/eller utdypet dersom det skulle være nødvendig for å få en fullstendig gjennomgang og vurdering av problemstillingene. 2.1 Regelverket om informasjonssikkerhet Informasjonssikkerhet innebærer at personopplysninger og annen informasjon skal beskyttes mot uberettiget innsyn, og at den skal bli ivaretatt og være tilgjengelig for de som skal ha tilgang til den. 2.1.1 Personopplysningslov og -forskrift Regelverket knyttet til informasjonssikkerhet omfatter bl.a. personopplysningslov og -forskrift. I personopplysningsforskriften er det gitt utfyllende bestemmelser og veiledninger knyttet til informasjonssikkerhet. Sentrale punkt i forskriften og tilhørende veiledere er bl.a. å: 1 fastsette sikkerhetsstrategi for virksomheten gjennomføre risikovurderinger etter fastsatte kriterier etablere klare ansvars og myndighetsforhold for bruk av informasjonssystem etablere fysiske og tekniske tiltak for informasjonssikkerhet sørge for at de ansatte har tilstrekkelig kunnskap om informasjonssikkerhet gjennomføre sikkerhetsrevisjoner for å etterprøve at tiltak er iverksatt og fungerer foreta regelmessig ledelsesgjennomgang av sikkerhetsmål og -strategi For å kunne tilfredsstille disse kravene må kommunen etablere et styringssystem for informasjonssikkerhet. 2.1.2 Annet regelverk I tillegg til kravene i personopplysningsforskriften er det også flere andre regler knyttet til informasjonssikkerhet som er relevant i kommunen. Til dels er kravene i disse regelverkene overlappende med kravene til et styringssystem for informasjonssikkerhet. I helseregisterloven er det gitt konkrete bestemmelser knyttet til håndtering av helseopplysninger, og her fremkommer det bl.a. konkrete krav knyttet til informasjonssikkerhet ( 16). Det er utarbeidet en norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren (Normen), som stiller krav med utgangspunkt i både personopplysningsforskriften og helseregisterloven. I normen er det også innarbeidet ulike krav knyttet til taushetsplikt og informasjonsrett etter særlovgiving for kommunehelsetjenester, sosialtjenester, psykisk helsevern, samt forvaltnings- og offentlighetslov. Kommunen er også omfattet av sikkerhetsloven, og har som følge av dette plikt til å ha betryggende informasjonssikkerhet for informasjon som kan være kritisk for å forhindre trusler som spionasje, sabotasje og terrorhandlinger. Disse kravene kan være relevante for kommunen f.eks. når det gjelder å beskytte vannforsyningen fra forurensing av drikkevann. 2 1 Følgende punkter kommer frem i personopplysningsforskriften kap. 2 2 Jf. Drikkevannsforskriften 14. 4
2.2 Kommunale vedtak knyttet til informasjonssikkerhet Forvaltningsrevisjonsrapporten fra 2009 om informasjonssikkerhet konkluderte med at Bergen kommune bør: Opprettholde fokus på arbeidet med det nye systemet for informasjonssikkerhet, 3 og sikre at dette ivaretar kravene i personopplysningsforskriften, bl.a. når det gjelder o risikovurderinger o sikkerhetsrevisjon o avvikshåndtering o dokumentasjon o sikkerhet hos kommunikasjonspartnere og leverandører Sørge for at rutiner og retningslinjer knyttet til informasjonssikkerhet holdes oppdatert og blir tilstrekkelig implementert på alle nivå i kommunen, samt at medarbeiderne har nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Tilrettelegge for et godt samarbeid mellom de ulike aktørene som er involvert i kommunens IKT arbeid, og utarbeide skriftlige rollebeskrivelser som tydeliggjør ansvar og oppgaver. Bystyret vedtok i 2011 informasjonssikkerhetsstrategi for Bergen kommune. Strategien omfatter bl.a. to fokusområder for arbeidet med informasjonssikkerhet: Organisering, systematikk og styring: Bergen kommune skal iverksette systematiske tiltak for å tydeliggjøre, følge opp og dokumentere den enkeltes ansvar for informasjonsressurser og behandlingsprosesser Informasjon, bevisstgjøring og sikkerhetskultur: Bergen kommune skal iverksette tiltak for å tilby integrert opplæring og informasjon om informasjonssikkerhet som i størst mulig grad er tilpasset, tilgjengelig og teknologinøytral, samt tilstrebe at informasjonssikkerhet blir en naturlig del av kommunens organisasjonskultur 3 Når beskriver «det nye systemet for informasjonssikkerhet» vises det til at kommunen på dette tidspunktet hadde satt i gang et arbeid med å systematisere styringsdokumentene knyttet til informasjonssikkerhet, og at retningslinjer og rutiner skulle samles på en egen intranettside. 5
3. Metode Oppdraget skal gjennomføres i samsvar med gjeldende standard for forvaltningsrevisjon, RSK 001. 3.1 Dokumentanalyse Vi vil gjennomgå Bergen kommunes styringssystem for informasjonssikkerhet for å kartlegge rutiner og retningslinjer opp mot krav i lovverk og standarder. Vi vil se både på styrende og gjennomførende/kontrollerende dokumentasjon. Vi vil også, dersom det vurderes som hensiktsmessig, gjennomføre stikkprøvemessig testing av hvordan systemet benyttes, slik som f.eks. dokumentasjon av risikovurderinger og oversikt over behandling av personopplysninger. 3.2 Intervju Som en del av revisjonen vil det gjennomføres intervju med et mindre utvalg ledere i kommunen som har særskilt ansvar knyttet til informasjonssikkerhet. Vi forventer å intervjue ca. 4 personer i forbindelse med prosjektet. 3.3 Elektronisk spørreundersøkelse I undersøkelsen fra 2009 ble det gjennomført en elektronisk spørreundersøkelse knyttet til informasjonssikkerhet i utvalgte enheter i kommunen. Vi vil gjennomføre en ny undersøkelse. Denne vil omhandle kjennskap og holdning til informasjonssikkerhet blant de ansatte, og vil bestå av en kombinasjon av spørsmål som ble stilt i undersøkelsen fra 2009 og nye spørsmål. Utvalget av respondenter vil gjennomføres av en samlet oversikt over e-postadresser til kommunalt ansatte. Vi vil enten gjennomføre det som en ren tilfeldig trekking, eller gjennom en stratifisert utvelging for å sikre representasjon fra spesifikke avdelinger, virksomheter eller stillingsnivå. Vi vil innhente innspill fra Bergen kommunes leder for informasjonssikkerhet i utarbeidingen av undersøkelsen, for å sikre at begrepsbruk og formuleringer er mest mulig forståelig for respondentene. 3.4 Verifiseringsprosesser Referat fra intervju vil bli sendt til intervjuobjektene for verifisering. Det er informasjon fra verifiserte intervju som vil bli benyttet i rapporten. Faktadelen i rapporten vil bli sendt til byrådsavdelingen for verifisering i samsvar med fremgangsmåte avtalt mellom Bergen kommune og Deloitte. 6
4. Tid og ressursbruk 4.1 Nøkkelpersonell Gunnar Husabø vil være prosjektleder. I tillegg vil Iver Fiksdal og Anders Blomhof Pedersen delta i prosjektet. Stein Ove Songstad vil være ansvarlig partner på oppdraget. 4.2 Tidsbruk Med utgangspunkt i prosjektets art og planen for gjennomføring, er det stipulert at det vil ta 299 timer å gjennomføre prosjektet. Dette inkluderer forberedelse, utarbeidelse av problemstillinger og prosjektplan, forberedelse og gjennomføring av datainnsamling, analyse av data i forhold til revisjonskriterier, utarbeiding av rapport og kvalitetssikring. Prosjektet vil kunne startes opp 15. august 2014 og vil sendes til kontrollutvalget ved sekretariatet innen 22. desember 2014. For å kunne gjennomføre prosjektet innen denne fristen og med stipulert timebruk er det nødvendig at kommunen bistår med innhenting av dokumentasjon, og at utvalgte personer stiller til og verifiserer intervjuer. Fakturering av kostnadene ved prosjektet vil skje i samsvar med avtale. Bergen, 26.5.2014 Stein Ove Songstad, ansvarlig partner 7
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network of member firms, each of which is a legally separate and independent entity. Please see www.deloitte.com/no/omoss for a detailed description of the legal structure of Deloitte Touche Tohmatsu Limited and its member firms. Deloitte provides audit, tax, consulting, and financial advisory services to public and private clients spanning multiple industries. With a globally connected network of member firms in more than 150 countries, Deloitte brings world-class capabilities and deep local expertise to help clients succeed wherever they operate. Deloitte's approximately 200.000 professionals are committed to becoming the standard of excellence. 2014 Deloitte AS