Saknr. 17/4005-1 Saksbehandler: Kari Lousie Hovland Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken fram for fylkestinget med følgende Fylkestinget tar oppfølgingen av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" til orientering og merker seg at anbefalingene har og vil bli fulgt opp på en god måte Vedlegg: - Saksprotokoll sak 14/17 fra møte i Kontrollutvalget 9.5.2017 - Brev fra Hedmark fylkeskommune datert 18.4.2017 "Forvaltningsrevisjon - IKT-sikkerhet, drift og utvikling - tilbakemelding på oppfølging" - Overordnet styringsdokument IKT-sikkerhet i HFK Hamar, 16.05.2017 Dette dokumentet er elektronisk godkjent.
Saksutredning Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Innledning og bakgrunn Kontrollutvalget behandlet sak om rullering av planer for forvaltningsrevisjon og selskapskontroll i sak 27/14. Det ble da vedtatt å bestille foranalyse om temaet IKT-sikkerhet. Foranalyse ble behandlet den 24.3.2015 (sak 7/15) og prosjektplan den 5.5.2015 (sak 19/15). Tittel på prosjektet ble endret til IKT-sikkerhet, drift og utvikling. Revisjonsrapporten ble behandlet av kontrollutvalget den 30.8.2016 (sak 13/16) og av fylkestinget i oktober 2016 (sak 50/16). Fylkestinget vedtok som innstilt fra kontrollutvalget: 1. Fylkestinget tar forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" til orientering, og merker seg at det har blitt gjort et betydelig arbeid for å sørge for internkontroll på informasjonssikkerhetsområdet og krav i personopplysningsloven med forskrift. 2. Fylkestinget merker seg for øvrig at det er rom for forbedringer, og spesielt anbefalingene fra revisjonen om at fylkesrådet bør sørge for at Hedmark fylkeskommune: 1. Utarbeider og dokumenterer etablert sikkerhetsledelse for personopplysninger, hvor etablert sikkerhetsorganisasjon med roller og ansvar bør fremkomme. Videre bør Hedmark fylkeskommune sørge for å utarbeide sikkerhetsstrategi og etablere konkrete sikkerhetsmål. 2. Jevnlig gjennomfører sikkerhetsøvelser og etablerer egenkontroll knyttet til sikkerhetsarbeidet, og dokumenterer dette. 3. Jevnlig gjennomfører sikkerhetsrevisjon og dokumenterer dette skriftlig. 4. Jevnlig gjennomfører risikovurderinger og dokumenterer risikoen for sikkerhetsbrudd i sine informasjonssystemer. 5. Etablerer skriftlig rutine for behandling av avvik knyttet til informasjonssystemet. 6. Videre bør fylkesrådet vurdere: i. Om det finnes tilstrekkelig og god oversikt over alle brukere av alle informasjonssystemer. ii. Om reglementer, retningslinjer og rutiner som vedrører bruk av informasjonssystemer, i tilstrekkelig grad er gjort kjent for ansatte. Det kan vurderes om det bør gjennomføres konkrete opplæringstiltak for alle eller utvalgte ansatte. iii. Om det er mulig å etablere samlede logger som viser både forsøk på uautorisert bruk og autorisert bruk av fylkeskommunens informasjonssystemer, herunder å etablere et register over forsøk på uautorisert bruk som oppbevares i minimum 3 måneder. iv. Å videreføre arbeidet med å utarbeide skriftlig og fullstendig dokumentasjon av rutiner og annen informasjon som har betydning for informasjonssikkerheten.
v. Om dokumentasjon for informasjonssystemer som blir erstattet i tilstrekkelig grad blir tatt vare på, herunder om kravet om oppbevaring i 5 år etterleves. 7. Etablerer en samlet oversikt over: i. Systemer som behandler personopplysninger og hvem som er behandlingsansvarlig. ii. Hvem som er databehandler, dvs. behandler personopplysninger på vegne av behandlingsansvarlig, i de ulike informasjonssystemer og på de ulike enheter/virksomheter. iii. Hvilke typer personopplysninger som behandles, samt det rettslige grunnlaget for hver behandling. iv. Til hvilket formål de ulike opplysninger er samlet inn. v. Hvilke krav i personopplysningsloven og - forskriften som gjelder for de ulike behandlingene. 8. Har rutiner for vedlikehold av og oppfølging av internkontrollen, herunder: i. At det blir fastsatt tidsplaner for vedlikehold av internkontrollen på informasjonssikkerhetsområdet. ii. Sørger for at rutiner av betydning for internkontrollen er kjent for de som skal følge dem. iii. Gjennomføre jevnlig stikkprøvekontroll for å avdekke hvordan internkontrollen fungerer. 3. Fylkestinget ber fylkesrådet om å gi kontrollutvalget en orientering om status i oppfølging av anbefalingene i revisjonsrapporten innen 1.4.2017. Fylkesrådet har gitt en skriftlig tilbakemelding på oppfølging av anbefalingene, se vedlagte brev. Saksopplysninger og fakta Hovedformålet til prosjektet var å vurdere fylkeskommunens systematiske tilnærming til IKTsikkerhet, drift og utvikling. Formålet ble belyst gjennom følgende overordnede problemstillinger: 1. I hvilken grad har Hedmark fylkeskommune sørget for tilfredsstillende internkontroll på informasjonssikkerhetsområdet? Herunder internkontrolltiltak for å sikre konfidensialitet, integritet og tilgjengelighet for a. Personopplysninger for fylkeskommunens ansatte b. Personopplysninger for elevene i de videregående skolene c. Personopplysninger for pasienter hos tannhelsetjenesten 2. I hvilken grad har Hedmark fylkeskommune sørget foren slik internkontroll som er nødvendig for å oppfylle øvrige krav i personopplysningsloven og tilhørende forskrift? Undersøkelsene ble gjennomført via intervjuer og dokumentanalyse. Revisor konkluderte med at det var blitt gjort et betydelig arbeid for å sørge for internkontroll på informasjonssikkerhetsområdet og oppfylling av krav i personopplysningsloven med forskrift. Det
ble allikevel funnet en del svakheter/forbedringspunkter som det ble gitt relativt mange anbefalinger omkring. Anbefalingene ble gitt per problemstilling. Revisjonen hadde følgende anbefalinger for problemstilling 1: Fylkesrådet bør sørge for at Hedmark fylkeskommune: 1. utarbeider og dokumenterer etablert sikkerhetsledelse for personopplysninger. Etablert sikkerhetsorganisasjon med roller og ansvar bør fremkomme klart av dokumentasjonen. Videre bør Hedmark fylkeskommune sørge for å utarbeide sikkerhetsstrategi og etablere konkrete sikkerhetsmål. 2. jevnlig gjennomfører sikkerhetsøvelser og etablerer egenkontroll knyttet til sikkerhetsarbeidet. Sikkerhetsøvelser og egenkontroll bør dokumenteres. 3. jevnlig gjennomfører sikkerhetsrevisjon og dokumenterer dette skriftlig. 4. jevnlig gjennomfører risikovurderinger og dokumenterer risikoen for sikkerhetsbrudd i sine informasjonssystemer. 5. etablerer skriftlig rutine for behandling av avvik knyttet til informasjonssystemet. Videre bør fylkesrådet vurdere: i. om det finnes tilstrekkelig og god oversikt over alle brukere av alle informasjonssystemer. ii. om reglementer, retningslinjer og rutiner som vedrører bruk av informasjonssystemer, i tilstrekkelig grad er gjort kjent for ansatte. Det kan vurderes om det bør gjennomføres konkrete opplæringstiltak for alle eller utvalgte ansatte. iii. om det er mulig å etablere samlede logger som viser både forsøk på uautorisert bruk og autorisert bruk av fylkeskommunens informasjonssystemer, herunder å etablere et register over forsøk på uautorisert bruk som oppbevares i minimum 3 måneder. iv. å videreføre arbeidet med å utarbeide skriftlig og fullstendig dokumentasjon av rutiner og annen informasjon som har betydning for informasjonssikkerheten. v. om dokumentasjon for informasjonssystemer som blir erstattet i tilstrekkelig grad blir tatt vare på, herunder om kravet om oppbevaring i 5 år etterleves. Revisjonen hadde følgende anbefalinger for problemstilling 2: Fylkesrådet bør sørge for at Hedmark fylkeskommune: 1. Etablerer en samlet oversikt over: a. Systemer som behandler personopplysninger og hvem som er behandlingsansvarlig. b. Hvem som er databehandler, dvs. behandler personopplysninger på vegne av behandlingsansvarlig, i de ulike informasjonssystemer og på de ulike enheter/virksomheter. c. Hvilke typer personopplysninger som behandles, samt det rettslige grunnlaget for hver behandling. d. Til hvilket formål de ulike opplysninger er samlet inn.
e. Hvilke krav i personopplysningsloven og - forskriften som gjelder for de ulike behandlingene. 2. Har rutiner for vedlikehold av og oppfølging av internkontrollen, herunder: a. at det blir fastsatt tidsplaner for vedlikehold av internkontrollen på informasjonssikkerhetsområdet. b. Sørger for at rutiner av betydning for internkontrollen er kjent for de som skal følge dem. c. Gjennomføre jevnlig stikkprøvekontroll for å avdekke hvordan internkontrollen fungerer. Anbefalingene ble forkortet noe og tatt med i vedtaket til fylkestinget. Fylkesrådet har gitt tilbakemelding på alle anbefalingene per problemstilling, derfor tas alle med her. Vurderinger Revisjonsrapporten var relativt omfattende, da det er et komplekst regelverk som ligger til grunn for temaet. Anbefalingene var også mange, og fylkesrådet har gitt en ryddig tilbakemelding på status på oppfølging av hver av de konkrete anbefalingene. Dette er oppsummert i tabellform i det vedlagte svarbrev og sekretariatet har vurdert hver tilbakemelding. Det kan være greit å merke seg at noen anbefalinger ble gitt med ordlyden "fylkesrådet bør sørge for" mens andre anbefalinger ble gitt med ordlyden " fylkesrådet bør vurdere". Dette kan ha noe betydning for hvor "strengt" kontrollutvalget skal mene at anbefalingene skal føre til et konkret tiltak. Kontrollutvalget setter ikke veldig lage frister på tilbakemelding etter gjennomførte forvaltningsrevisjoner. Dette er bevisst for at ikke temaet skal "glemmes" og at oppfølging utsettes til det nærmer seg fristen. En ulempe ved dette kan være at enkelte tema og anbefalinger kan være krevende å igangsette tiltak på. Det kan kreve utredninger og involvering av flere parter og tar dermed en del tid. I dette prosjektet ser man at det skriftlige i form av et nytt overordnet styringsdokument er på plass. Fylkesrådet sier for øvrig i sin tilbakemelding at de nå går over i iverksettingsfasen, ergo er ikke alt implementert enda. Dette er en naturlig konsekvens av lengden på fristen. Det viktigste blir da at det er gjort vurderinger og at tilbakemeldingen sier noe om status på arbeidet. Det kan være aktuelt for kontrollutvalget å be om en orientering om arbeidet omkring IKT-sikkerhet senere, da det er et område som det stadig er viktig at det jobbes kontinuerlig med. Sekretariatet gjentar ikke hvordan hver anbefaling er fulgt opp, da dette er gjort på en ryddig måte i vedlagte tilbakemelding fra fylkesrådet. Oppsummert mener sekretariatet at fylkesrådet har svart opp de anbefalingene som ble gitt på en god måte. I etterkant av revisjonen har fylkesdirektøren utarbeidet og vedtatt "Overordnet styringsdokument for informasjonssikkerhet i Hedmark fylkeskommune". De fleste av anbefalingene som ble gitt er hensyntatt i dette dokumentet og beskriver en internkontroll på området.