Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Like dokumenter
Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Oppfølging av forvaltningsrevisjonsrapport "Næringsutvikling i Hedmark fylkeskommune

Saksframlegg. Ark.: Lnr.: 2079/15 Arkivsaksnr.: 15/467-1 FORVALTNINGSREVISJONSRAPPORTEN "GAUSDAL KOMMUNES ETTERLEVELSE AV ANSKAFFELSESREGLEMENTET"

Selskapskontroll "Kjørekontoret Innlandet"

Forvaltningsrevisjonsrapporten "Forvaltning av eierinteresser/-styring" i Hedmark fylkeskommune

Forvaltningsrevisjonsrapporten "Utleie/Utlån av eiendom og utstyr i Hedmark fylkeskommune"

Forvaltningsrevisjonsrapporten "Selskapskontroll Eidsiva - om roller, habilitet og sponsing"

Forvaltningsrevisjonsrapporten "Etterlevelse av gratisskoleprinsippet og likebehandlingsprinsippet ved Hedmark fylkeskommunes videregående skoler"

Status på oppfølging av anbefalinger i revisjonsrapporten "Kjøp av konsulent- tjenester i Hedmark fylkeskommune"

1. Følgende tema prioriteres i plan for forvaltningsrevisjon i Hedmark fylkeskommune :

Saksframlegg. Ark.: 210 Lnr.: 2115/15 Arkivsaksnr.: 15/477-1 FORVALTNINGSREVISJONSRAPPORTEN "JOURNALFØRING AV POST OG OPPFØLGING AV HENVENDELSER"

ÅRSRAPPORT FOR Kontrollutvalget i Hedmark fylkeskommune. Et handlekraftig kontrollutvalg er viktig for å sikre demokratisk innsyn og kontroll

Endelig kontrollrapport

Saksframlegg FORVALTNINGSREVISJONSRAPPORT "SELSKAPSKONTROLL EIDSIVA - OM ROLLER, HABILITET OG SPONSING"

Saksframlegg. Saksb: Eva Bueie Nygård Arkiv: 17/ Dato:

Saksframlegg. Ark.: 040 &58 Lnr.: 4970/17 Arkivsaksnr.: 16/1701-4

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Kontrollutvalget legger saken frem for fylkestinget med slikt forslag til

Saksframlegg. Saksb: Kari Louise Hovland Arkiv: / Dato:

Oppfølging av forvaltningsrevisjonsrapporten "Gjennomføring og frafall i videregående skoler i Hedmark"

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

MØTEPROTOKOLL. Kontrollutvalget Hedmark fylkeskommune. Dato: kl. 9:00 13:30 Møterom Femunden Hedmark fylkeskommune Arkivsak:

Forvaltningsrevisjonsrapport "Anskaffelser og kontraktsoppfølging"

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

(sign) tlf: / mob: e-post: liv.tronstad@komsek.no

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Endelig kontrollrapport

Endelig Kontrollrapport

FORVALTNINGSREVISJONSPROSJEKT "ARBEIDSMILJØ I HEDMARK FYLKESKOMMUNE". Trykte vedlegg: Fylkesrevisjonens rapport Arbeidsmiljø i Hedmark fylkeskommune.

MØTEPROTOKOLL KONTROLLUTVALGET I LUNNER KOMMUNE. Onsdag 24. september 2014 holdt kontrollutvalget møte i Lunner rådhus fra kl til kl

Saksframlegg. Ark.: 210 Lnr.: 6593/18 Arkivsaksnr.: 18/ FORVALTNINGSREVISJONSRAPPORTEN "LANDBRUKSKONTORET I LILLEHAMMER-REGIONEN"

Indre Østfold Kontrollutvalgssekretariat IKS

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Status personvern Hedmark og Oppland fylkeskommuner

Saksframlegg. Saksb: Øivind Nyhus Arkiv: / Dato: SELSKAPSKONTROLL LILLEHAMMER KOMMUNALE EIENDOMSSELSKAP AS

Styringssystem i et rettslig perspektiv

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Kontrollutvalget MØTEINNKALLING. Møtedato: Møtetid: Kl Møtested: Namsos - Namdalshagen

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Endelig kontrollrapport

IKT-sikkerhet og sårbarhet i Risør kommune

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

ÅRSRAPPORT FOR Kontrollutvalget i Hedmark fylkeskommune. Et handlekraftig kontrollutvalg er viktig for å sikre demokratisk innsyn og kontroll

Saksframlegg. Ark.: 216 A24 Lnr.: 8726/16 Arkivsaksnr.: 16/1634-1

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Endelig kontrollrapport

Internkontroll og informasjonssikkerhet lover og standarder

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Vedlegg: Revisjonsrapporten «Selskapskontroll Ikomm AS» fra Innlandet revisjon IKS, rapport

Kommunens Internkontroll

DATO: 17. september 2015 TID: 14:30 STED: KomRev Trøndelag IKS sine kontorer i Stjørdal (Kjøpmannsgata 13, vis a vis Quality Airport Hotel Værnes)

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Verdal kommune Rådmannen

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

INDERØY KOMMUNE Kontrollutvalget

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Saksframlegg. Ark.: 210 Lnr.: 1209/16 Arkivsaksnr.: 16/267-1 REVISJONSRAPPORT «SELSKAPSKONTROLL - EIERSKAPSFORVALTNING I GAUSDAL KOMMUNE»

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

AUDNEDAL KOMMUNE KONTROLLUTVALGET MØTEBOK

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

MØTEINNKALLING. Kontrollutvalget. Møtedato: Møtetid: Kl Møtested: Namdalshagen - Kamme Greiff

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Saksframlegg. Revisjonsrapporten «Selskapskontroll Ikomm AS» fra Innlandet revisjon IKS, rapport

Saksframlegg. Ark.: 210 Lnr.: 4257/18 Arkivsaksnr.: 18/ Revisjonsrapport "Selskapskontroll Lipro AS" fra Innlandet Revisjon IKS

Forvaltningsrevisjonsrapporten "Styring av IKT-satsningen i Hedmark fylkeskommune

Saksframlegg. Saksb: Øivind Nyhus Arkiv: 18/ Dato:

Møteinnkalling. Kontrollutvalget. Møtested: Galleriet, Schweigaards gate 4, Oslo, Møterom Tidspunkt: kl. 14:00

Evaluering av kontrollutvalg og kontrollutvalgssekretariat. FKT Kontrollutvalgskonferanse. Gardermoen, 4. juni 2015 Bire Bjørkelo, Director i Deloitte

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

PLAN FOR FORVALTNINGSREVISJON GAUSDAL KOMMUNE Vedlegg: Plan for forvaltningsrevisjon Gausdal kommune

Det var ingen bemerkninger til m øteinnkalling og saksliste. Det var ingen bemerkninger til møte protokoll fra møtet den

Dato: kl. 9:00-13:00 Møterom Lillehammer, 4. etasje, Kirkegt. 76, Lillehammer Arkivsak:

1. Kontrollutvalget ber om å få tilsendt kopi av alle tilsynsrapporter etter tilsynsbesøk i kommunen.

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Kan du legge personopplysninger i skyen?

NORD TRØNDELAG FYLKESKOMMUNE Kontrollutvalget MØTEINNKALLING. DATO: 14.juni 2016 TID: Kl STED: Overhalla Gimlehallen

MØTEINNKALLING KOMMUNESTYRET TILLEGGSSAKLISTE 35/14 FORVALTNINGSREVISJON OM ARBEIDSMILJØ OG SYKEFRAVÆR

Endelig kontrollrapport

Endelig kontrollrapport

Holtålen kommune. Dag Knudsen Paul Ådne Svendsen Liv Grete Heksem (Sak 01/12-07/12) Ole Roger Gundersen Ole Anders Holden. Varamedlem: Marit Stene

GAUSDAL KOMMUNE KONTROLLUTVALGET SAKNR: 12/018 SELSKAPSKONTROLL I EIDSIVA ENERGI AS SKAL BEHANDLES / ER BEHANDLET I:

Personopplysninger og opplæring i kriminalomsorgen

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

FORVALTNI N GSREVI SJON SRAPPORT "I N TE RN KON TROLL I BYGGE SAKSBEH AN DLI N GE N"

MANDAL KOMMUNE KONTROLLUTVALGET MØTEBOK

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Forvaltningsrevisjonsrapporten "Hedmark fylkeskommunes internasjonale engasjement med utgangspunkt i Interreg Sverige-Norge programmet "

FORVALTNINGSREVISJONSRAPPORT "BRUKERBETALING INSTITUSJON" FRA INNLANDET REVISJON IKS

Transkript:

Saknr. 17/4005-1 Saksbehandler: Kari Lousie Hovland Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken fram for fylkestinget med følgende Fylkestinget tar oppfølgingen av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" til orientering og merker seg at anbefalingene har og vil bli fulgt opp på en god måte Vedlegg: - Saksprotokoll sak 14/17 fra møte i Kontrollutvalget 9.5.2017 - Brev fra Hedmark fylkeskommune datert 18.4.2017 "Forvaltningsrevisjon - IKT-sikkerhet, drift og utvikling - tilbakemelding på oppfølging" - Overordnet styringsdokument IKT-sikkerhet i HFK Hamar, 16.05.2017 Dette dokumentet er elektronisk godkjent.

Saksutredning Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Innledning og bakgrunn Kontrollutvalget behandlet sak om rullering av planer for forvaltningsrevisjon og selskapskontroll i sak 27/14. Det ble da vedtatt å bestille foranalyse om temaet IKT-sikkerhet. Foranalyse ble behandlet den 24.3.2015 (sak 7/15) og prosjektplan den 5.5.2015 (sak 19/15). Tittel på prosjektet ble endret til IKT-sikkerhet, drift og utvikling. Revisjonsrapporten ble behandlet av kontrollutvalget den 30.8.2016 (sak 13/16) og av fylkestinget i oktober 2016 (sak 50/16). Fylkestinget vedtok som innstilt fra kontrollutvalget: 1. Fylkestinget tar forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" til orientering, og merker seg at det har blitt gjort et betydelig arbeid for å sørge for internkontroll på informasjonssikkerhetsområdet og krav i personopplysningsloven med forskrift. 2. Fylkestinget merker seg for øvrig at det er rom for forbedringer, og spesielt anbefalingene fra revisjonen om at fylkesrådet bør sørge for at Hedmark fylkeskommune: 1. Utarbeider og dokumenterer etablert sikkerhetsledelse for personopplysninger, hvor etablert sikkerhetsorganisasjon med roller og ansvar bør fremkomme. Videre bør Hedmark fylkeskommune sørge for å utarbeide sikkerhetsstrategi og etablere konkrete sikkerhetsmål. 2. Jevnlig gjennomfører sikkerhetsøvelser og etablerer egenkontroll knyttet til sikkerhetsarbeidet, og dokumenterer dette. 3. Jevnlig gjennomfører sikkerhetsrevisjon og dokumenterer dette skriftlig. 4. Jevnlig gjennomfører risikovurderinger og dokumenterer risikoen for sikkerhetsbrudd i sine informasjonssystemer. 5. Etablerer skriftlig rutine for behandling av avvik knyttet til informasjonssystemet. 6. Videre bør fylkesrådet vurdere: i. Om det finnes tilstrekkelig og god oversikt over alle brukere av alle informasjonssystemer. ii. Om reglementer, retningslinjer og rutiner som vedrører bruk av informasjonssystemer, i tilstrekkelig grad er gjort kjent for ansatte. Det kan vurderes om det bør gjennomføres konkrete opplæringstiltak for alle eller utvalgte ansatte. iii. Om det er mulig å etablere samlede logger som viser både forsøk på uautorisert bruk og autorisert bruk av fylkeskommunens informasjonssystemer, herunder å etablere et register over forsøk på uautorisert bruk som oppbevares i minimum 3 måneder. iv. Å videreføre arbeidet med å utarbeide skriftlig og fullstendig dokumentasjon av rutiner og annen informasjon som har betydning for informasjonssikkerheten.

v. Om dokumentasjon for informasjonssystemer som blir erstattet i tilstrekkelig grad blir tatt vare på, herunder om kravet om oppbevaring i 5 år etterleves. 7. Etablerer en samlet oversikt over: i. Systemer som behandler personopplysninger og hvem som er behandlingsansvarlig. ii. Hvem som er databehandler, dvs. behandler personopplysninger på vegne av behandlingsansvarlig, i de ulike informasjonssystemer og på de ulike enheter/virksomheter. iii. Hvilke typer personopplysninger som behandles, samt det rettslige grunnlaget for hver behandling. iv. Til hvilket formål de ulike opplysninger er samlet inn. v. Hvilke krav i personopplysningsloven og - forskriften som gjelder for de ulike behandlingene. 8. Har rutiner for vedlikehold av og oppfølging av internkontrollen, herunder: i. At det blir fastsatt tidsplaner for vedlikehold av internkontrollen på informasjonssikkerhetsområdet. ii. Sørger for at rutiner av betydning for internkontrollen er kjent for de som skal følge dem. iii. Gjennomføre jevnlig stikkprøvekontroll for å avdekke hvordan internkontrollen fungerer. 3. Fylkestinget ber fylkesrådet om å gi kontrollutvalget en orientering om status i oppfølging av anbefalingene i revisjonsrapporten innen 1.4.2017. Fylkesrådet har gitt en skriftlig tilbakemelding på oppfølging av anbefalingene, se vedlagte brev. Saksopplysninger og fakta Hovedformålet til prosjektet var å vurdere fylkeskommunens systematiske tilnærming til IKTsikkerhet, drift og utvikling. Formålet ble belyst gjennom følgende overordnede problemstillinger: 1. I hvilken grad har Hedmark fylkeskommune sørget for tilfredsstillende internkontroll på informasjonssikkerhetsområdet? Herunder internkontrolltiltak for å sikre konfidensialitet, integritet og tilgjengelighet for a. Personopplysninger for fylkeskommunens ansatte b. Personopplysninger for elevene i de videregående skolene c. Personopplysninger for pasienter hos tannhelsetjenesten 2. I hvilken grad har Hedmark fylkeskommune sørget foren slik internkontroll som er nødvendig for å oppfylle øvrige krav i personopplysningsloven og tilhørende forskrift? Undersøkelsene ble gjennomført via intervjuer og dokumentanalyse. Revisor konkluderte med at det var blitt gjort et betydelig arbeid for å sørge for internkontroll på informasjonssikkerhetsområdet og oppfylling av krav i personopplysningsloven med forskrift. Det

ble allikevel funnet en del svakheter/forbedringspunkter som det ble gitt relativt mange anbefalinger omkring. Anbefalingene ble gitt per problemstilling. Revisjonen hadde følgende anbefalinger for problemstilling 1: Fylkesrådet bør sørge for at Hedmark fylkeskommune: 1. utarbeider og dokumenterer etablert sikkerhetsledelse for personopplysninger. Etablert sikkerhetsorganisasjon med roller og ansvar bør fremkomme klart av dokumentasjonen. Videre bør Hedmark fylkeskommune sørge for å utarbeide sikkerhetsstrategi og etablere konkrete sikkerhetsmål. 2. jevnlig gjennomfører sikkerhetsøvelser og etablerer egenkontroll knyttet til sikkerhetsarbeidet. Sikkerhetsøvelser og egenkontroll bør dokumenteres. 3. jevnlig gjennomfører sikkerhetsrevisjon og dokumenterer dette skriftlig. 4. jevnlig gjennomfører risikovurderinger og dokumenterer risikoen for sikkerhetsbrudd i sine informasjonssystemer. 5. etablerer skriftlig rutine for behandling av avvik knyttet til informasjonssystemet. Videre bør fylkesrådet vurdere: i. om det finnes tilstrekkelig og god oversikt over alle brukere av alle informasjonssystemer. ii. om reglementer, retningslinjer og rutiner som vedrører bruk av informasjonssystemer, i tilstrekkelig grad er gjort kjent for ansatte. Det kan vurderes om det bør gjennomføres konkrete opplæringstiltak for alle eller utvalgte ansatte. iii. om det er mulig å etablere samlede logger som viser både forsøk på uautorisert bruk og autorisert bruk av fylkeskommunens informasjonssystemer, herunder å etablere et register over forsøk på uautorisert bruk som oppbevares i minimum 3 måneder. iv. å videreføre arbeidet med å utarbeide skriftlig og fullstendig dokumentasjon av rutiner og annen informasjon som har betydning for informasjonssikkerheten. v. om dokumentasjon for informasjonssystemer som blir erstattet i tilstrekkelig grad blir tatt vare på, herunder om kravet om oppbevaring i 5 år etterleves. Revisjonen hadde følgende anbefalinger for problemstilling 2: Fylkesrådet bør sørge for at Hedmark fylkeskommune: 1. Etablerer en samlet oversikt over: a. Systemer som behandler personopplysninger og hvem som er behandlingsansvarlig. b. Hvem som er databehandler, dvs. behandler personopplysninger på vegne av behandlingsansvarlig, i de ulike informasjonssystemer og på de ulike enheter/virksomheter. c. Hvilke typer personopplysninger som behandles, samt det rettslige grunnlaget for hver behandling. d. Til hvilket formål de ulike opplysninger er samlet inn.

e. Hvilke krav i personopplysningsloven og - forskriften som gjelder for de ulike behandlingene. 2. Har rutiner for vedlikehold av og oppfølging av internkontrollen, herunder: a. at det blir fastsatt tidsplaner for vedlikehold av internkontrollen på informasjonssikkerhetsområdet. b. Sørger for at rutiner av betydning for internkontrollen er kjent for de som skal følge dem. c. Gjennomføre jevnlig stikkprøvekontroll for å avdekke hvordan internkontrollen fungerer. Anbefalingene ble forkortet noe og tatt med i vedtaket til fylkestinget. Fylkesrådet har gitt tilbakemelding på alle anbefalingene per problemstilling, derfor tas alle med her. Vurderinger Revisjonsrapporten var relativt omfattende, da det er et komplekst regelverk som ligger til grunn for temaet. Anbefalingene var også mange, og fylkesrådet har gitt en ryddig tilbakemelding på status på oppfølging av hver av de konkrete anbefalingene. Dette er oppsummert i tabellform i det vedlagte svarbrev og sekretariatet har vurdert hver tilbakemelding. Det kan være greit å merke seg at noen anbefalinger ble gitt med ordlyden "fylkesrådet bør sørge for" mens andre anbefalinger ble gitt med ordlyden " fylkesrådet bør vurdere". Dette kan ha noe betydning for hvor "strengt" kontrollutvalget skal mene at anbefalingene skal føre til et konkret tiltak. Kontrollutvalget setter ikke veldig lage frister på tilbakemelding etter gjennomførte forvaltningsrevisjoner. Dette er bevisst for at ikke temaet skal "glemmes" og at oppfølging utsettes til det nærmer seg fristen. En ulempe ved dette kan være at enkelte tema og anbefalinger kan være krevende å igangsette tiltak på. Det kan kreve utredninger og involvering av flere parter og tar dermed en del tid. I dette prosjektet ser man at det skriftlige i form av et nytt overordnet styringsdokument er på plass. Fylkesrådet sier for øvrig i sin tilbakemelding at de nå går over i iverksettingsfasen, ergo er ikke alt implementert enda. Dette er en naturlig konsekvens av lengden på fristen. Det viktigste blir da at det er gjort vurderinger og at tilbakemeldingen sier noe om status på arbeidet. Det kan være aktuelt for kontrollutvalget å be om en orientering om arbeidet omkring IKT-sikkerhet senere, da det er et område som det stadig er viktig at det jobbes kontinuerlig med. Sekretariatet gjentar ikke hvordan hver anbefaling er fulgt opp, da dette er gjort på en ryddig måte i vedlagte tilbakemelding fra fylkesrådet. Oppsummert mener sekretariatet at fylkesrådet har svart opp de anbefalingene som ble gitt på en god måte. I etterkant av revisjonen har fylkesdirektøren utarbeidet og vedtatt "Overordnet styringsdokument for informasjonssikkerhet i Hedmark fylkeskommune". De fleste av anbefalingene som ble gitt er hensyntatt i dette dokumentet og beskriver en internkontroll på området.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding