Difi 14. oktober 2011 Innføring av kvalitetssystem i Larvik kommune Terje D. Hasle IT-sjef
Disposisjon Larvik kommune Historikk/bakgrunn for sertifiseringen Prosessen Systemet Erfaringer Larvik der det gode liv lever!
Fakta om Larvik Antall innbyggere: ca 43 000 Areal: ca 350 km2 Kystlinje: 123 km Næring: skog og landbruk, trefordeling, logistikk, steinbrudd (larvikitt) Turisme: 4 500 hytter, 26 campingplasser Antall fast ansatte: 2970 Antall kommunale årsverk: 2430
Administrativ organisering Rådmann 1 ass. rådmenn 20 resultatenheter Team relatert til Utviklingsoppgaver Sentraladministrasjonen 7 avdelinger
Disposisjon Larvik kommune Historikk/bakgrunn for sertifiseringen Prosessen Systemet Erfaringer Larvik der det gode liv lever!
Bakgrunn for ISO-sertifisering Innovativ rådmann med pågangsmot og konkurranseinstinkt Benchmarking - Larvik skulle være best! Styring etter FBR (Fullstendig BalanseRegnskap) Et planleggings og styringsverktøy Hvordan kan Larvik kommune forbedre ressursbruk og planlegging ved bruk av nøkkeltall? Sertifiseringsprosjekt startet høsten 1999 ISO 9001 på plass i 2000 ISO 14001 på plass i 2001
Bakgrunn for 27001 Kommunen er en informasjonsbedrift Svært mye personsensitivt Informasjonen finnes i mange varianter, på mange medier og i mange versjoner En organisasjon med stor variasjon Geografisk, ca. 110 lokasjoner Faglig, ca. 80 ulike fagsystemer Organisatorisk, ca. 70 resultatenheter Krav om sikring av informasjon Personopplysningsloven Diverse særlover Interne krav og retningslinjer
Prosjektmål for 27001 Informasjonssikkerheten i Larvik kommune er på et nivå som gjør at kommunen kan sertifiseres etter Standard for informasjonssikkerhet BS7799 i løpet av 2002.
Disposisjon Larvik kommune Historikk/bakgrunn for sertifiseringen Prosessen Systemet Erfaringer Larvik der det gode liv lever!
Organisert som prosjekt Rådmannen er prosjekteier Prosjektleder 50% Prosjektgruppe bredt sammensatt Ekstern konsulent ved behov Prosjektperiode 1/1 31/12 2002 Prosjektmandat og prosjektbeskrivelse i henhold til kvalitetssystemet Avgrensning: hele kommuneadministrasjonen Prosjektets hensikt: Systematisere og utvikle Larvik kommunes informasjonssikkerhetsarbeid
Noen hovedmilepæler Prosjektmandat og -beskrivelse godkjent 1.1.2002 Sikkerhetspolicy (retningslinjer for informasjonssikkerhet) godkjent 15.01.2002 Risikovurderinger gjennomført 01.06.2002 Mange svakheter ble avdekket Implementering IT-systemet 01.07.2002 Dokumentasjon utarbeidet 01.09.2002 Full implementering i Kvalitetssystemet 01.10.2002 Start sertifisering 01.11.2002 Flagget til topps 06.03.2003
Sterke sider / utfordring Meget god ledelsesforankring Omstillingsvant organisasjon Korte kommandolinjer 2-nivå modell Allerede etablert et kvalitetssystem Skapte stort engasjement, samhold og entusiasme BS7799 ny og uprøvd i kommunesektoren Svært detaljert standard Tilpasset IT-bedrifter (del 2, SofA)
Disposisjon Larvik kommune Historikk/bakgrunn for sertifiseringen Prosessen Systemet Erfaringer Larvik der det gode liv lever!
Oversikt, hovedelementer Styrende dokumenter: Kommuneplanen (12 år) Arealdel Samfunnsdel Viser strategiske mål Planer (næringsplan, kommunedelsplaner ) Policyer (kvalitet, miljø, arbeidsmiljø, informasjonssikkerhet, informasjon) Strategidokumentet (4 år, årlig rullering) Viser styringsmål Virksomhetsplaner (1 år) Viser tiltak for å nå målene
Oversikt, hovedelementer Risikovurderinger I alle enheter inkl. STR Utføres av enhetene selv Maler og eksempler tilgjengelig i kvalitetssystemet Bistand fra internrevisorer ved behov Trusler - sannsynlighet konsekvenser tiltak Driftsrutiner og prosjekter Risikostyring Kontrollere, redusere, eliminere risiko Forebyggende og beredskap
Oversikt, hovedelementer Kvalitetsystemet Forbedringsordningen Stimulere alle medarbeidere til kontinuerlig kvalitetsutvikling Sikre at muligheter for og krav til forbedringer blir identifisert, dokumentert og behandlet på en enhetlig og effektiv måte Meldingsordningen Alle innbyggere oppfordres til å komme med forslag klager ris/ros Meldinger kan komme muntlig skriftlig elektronisk Melder er sikret tilbakemelding pr. telefon, fra rett ansvarlig person og innen 14 dager Kvalitetshåndboka
Oversikt, løpende rapportering Månedsrapport Tertialrapport Årsrapport Ledelsens gjennomgang Interne og eksterne revisjonsrapporter Forbedringsrapporter Status forbedringstiltak Resultat lederevaluering Klimaundersøkelsen Miljøgjennomgang Brukerundersøkelse Mmm
Oversikt, revisjoner Interne revisjoner Egne revisjonskorps Eksterne revisjoner Veritas Årlig foreteelse Utvalgte enheter og fagområder Resultat fra ledelsens gjennomgang Virksomhetsplanen Risikovurderinger Etc.etc.
Oversikt, revisjoner Resultat fra revisjoner: Kategorier Avvik kategori 1: Sterk tvil om produkter eller tjenester tilfredsstiller avtalte krav Mangel på dokumentasjon eller implementering gav systemelementer Avvik kategori 1 som ikke er lukket innen fristen Avvik kategori 2: Enkeltstående feil og mangler i forhold til gitte krav Observasjon, noe som kan føre til avvik Forbedringsmulighet Positivt tiltak Alt meldes inn og følges opp i forbedringsordningen
Larvik kommunes felles kvalitetsledelses- og miljøstyringssystem Forbedrings-ordningen C2 Forbedringsordningen - papirskjema Kvalitets- og miljøhåndbøker: Meldekort (Reg. av muntlige meldinger fra innbyggerne) Til innholdsfortegnelser Resultatenheter Til innholdsfortegnelse Felles Helse, miljø og sikkerhet HMS For å slippe å trykke Ctrl + mus når du bruker Word-linker, trykk her for veiledning.
Kvalitetshåndbok Larvik kommune Innholdsfortegnelse FELLES Snarvei til: Kap. 1 Kap. 2 Kap. 3 Kap. 4 Kap. 5 Kap. 6 Kap. 7 Kap. 8 Bruk musa og trykk. Du kan gå fram og tilbake mellom dokumenter med de små blå pilene i verktøylinjen, som kommer fram ved å trykke Vis-Verktøylinjer-Web. Trykk her for en kort introduksjon til kvalitetssystemet. Systemet skal tilfredsstille følgende ISO-standarder: ISO 9001, ISO 14001 og ISO 27001. Sist oppdatert: 17.08.2011 kl 14.35 Forrige oppdatering: 18.07.2011 kl 09.15 INNHOLD UTGAVE PROSESSEIER 1. Larvik kommune 1.1. Organisasjonsplan rådmann 1.1.1Organisasjonsplan 14 / 14.06.2011 1.1.2Delegering 5 / 19.03.2010
5.5. IT-drift rådmann 5.5.1BrukermeldingIT 5.5.2BestillingUtstyr1 5.5.3RepAvUtstyr 5.5.4HandteringAvBruktUtrangertIT_Utstyr 5.5.5RaderingAvData 5.5.6ÅrligKontrollAv BrukerregisterIT 5.5.7BestillingTelefonsentraler 5.5.8 Melding om prosjekter og større oppdrag 7 / 14.04.2011 7 / 27.04.2011 9 / 27.04.2011 3 / 14.04.2011 5 / 14.04.2011 5 / 14.04.2011 4 / 14.04.2011 3 / 14.04.2011
KVALITETS HÅNDBOKEN Felles / Enhet: Felles Inngår i kapittel 5. STØTTEPROSESSER Utgave/Gyldig f.o.m 3 / 14.04.2011 Erstatter 2 / 08.04.2010 Side 1(3) Dokumentnavn 5.5.4HandteringAvBruktUtrangertIT_Utstyr.doc Prosesseier/ sist endret av (for og etternavn) Rådmannen/ Terje D. Hasle HENSIKT Prosessen skal sikre en forsvarlig håndtering av brukt IT-utstyr slik at kravene til sikkerhet og REFERANSER Miljøpolicy definert i kap. 1.3.2 i kvalitetshåndboka. Strategi for informasjonssikkerhet definert i kap. 1.5.1 i kvalitetshåndboka. ANSVAR OG MYNDIGHET IT-avdelingen har ansvar for å beskrive og gjøre kjent rutiner for retur av IT-utstyr fra enhetene og sentraladministrasjonen. BESKRIVELSE IT-avdelingen vurderer innlevert utstyr og rangerer i to kategorier: -utstyr som skal kasseres -utstyr som kan benyttes videre 1: Utstyr som skal kasseres: DOKUMENT Sjekklister/ maler som brukes i prosessen Original Ansvarlig 5.5.5RaderingAvData Q:\Felles Rådmannen Dokumenter som skapes i prosessen Arkiv Arkiveringstid Kvittering for mottatt utstyr IT-avdelingen 10 år Q:\Felles\5.5.4HandteringAvBruktUtrangertIT_Utstyr.doc
Brukt/utrangert utstyr er levert til IT-avdelingen 5.5.5RaderingAvData Sletter data fra faste disker Skal PC en gjenbrukes? Nei Sletting av data med KillDisk Nyttige deler som for eksempel ram o.a tas vare på Norsk Gjenvinning Ja Skal PC en i Larvik kommunes nettverk? Nei Sletting av data med KillDisk PC en leveres til AOK AOK Ja PC en ghostes IT sender melding til RE/ mottaker når PC en er klar PC en hentes og kvitteres ut SupportPoint RE/ Mottaker
Larvik kommune Felles kvalitetssystem Versjon 16, 27.04.2011 Ansvarlig: Kvalitetsleder SofA Statement of Applicability (anvendelsesklæring) Dette dokumentet skal: gi referanser til hvor Larvik kommune har beskrevet oppfyllelsen av de enkelte sikkerhetskrav i standard ISO/IEC 27001:2005 (engelsk), se også veiledningsstandarden: NS ISO/IEC 17799:2005 (på norsk) Dokumentasjonen er i form av ren tekst, eller link til prosedyrer, rutiner, sjekklister - i kvalitetssystemet, på intranett etc beskrive årsak til at standardens sikkerhetskrav søkes oppfylt, evt. til at kravet ikke er aktuelt eller relevant. (Et punkt kan ha flere begrunnelser, årsaken til dette kan f.eks. være at egne krav går lengre enn lovkrav, eller at kravet indirekte er pålagt i lov.) gi referanser også for eventuelle sikkerhetskrav som ikke dekkes av standarden Begrunnelse ISO 27001 NS-ISO 17799 Sikkerhetskrav i standarden (norsk tekst er brukt i hovedsak her, for å øke forståelsen i organisasjonen) Oppfylles kravet? Ja/Delvis/Ne i/ikke Relevant Lovkrav Egne krav Risiko vurd. Dokumentasjon Ansvarlig 1 OMFANG Prosjektbeskrivelse fra innføring 2002 8.4.1 Kvalitetssystem manual Kvalitetsleder 1.1 Generelt - - - - - - 1.2 Anvendelse - - - - - - 2 NORMATIVE REFERANSER 3 TERMER OG DEFINISJONER Q:\Felles\TilleggKap1\SofA.doc
ISO 27001 NS-ISO 17799 Sikkerhetskrav i standarden (norsk tekst er brukt i hovedsak her, for å øke forståelsen i organisasjonen) Oppfylles kravet? Ja/Delvis/N ei/ikke Relevant Begrunnelse Dokumentasjon Ansvarlig A.9.2.5 Sikkerhet for eksternt plassert utstyr Ja X Se kvalitetssystemets prosess 5.6.5 Fysisk og miljømessig sikkerhet. IT/ sikkerhetsjef A.9.2.6 Sikker avhending eller gjenbruk av utstyr Ja X X Avhending av utstyr skal skje via IT-avdelingen, jfr. kvalitetssystemets kap. 5.5.4 og kap. 5.5.5. IT A.9.2.7 Fjerning av eiendeler Ja X Det vises til kommunens Retningslinjer for informasjonssikkerhet, kap. 4.6 og kvalitetssystemets prosess 5.6.5 Fysisk og miljømessig sikkerhet. Sikkerhetsjef A.10 KOMMUNIKASJONS- OG DRIFTSADMINISTRASJON A.10.1 Driftsprosedyrer og ansvarsforhold Kvalitetsleder/IT A.10.1.1 Dokumenterte driftsprosedyrer Delvis X X IP-check benyttes for å systematisere daglige driftsoppgaver. Systemet melder avvik (for eksempel diskforbruk, tjenstestopp, linjefeil etc.). Backup-status sjekkes hver morgen. Melding om avvik sendes fra backup-systemet til driftsansvralig. Dette logges til driftsansvarlig i SupportPoint. IT A.10.1.2 Endringsadministrasjon Delvis X X Rutine for å melde fra om planlagte IT-systemer/endringer til IT-systemer fra andre enheter; se felles rutine 5.5.8 Melding om prosjekter og større oppdrag. Se også A 8.1.1 IT
ISO 27001 NS-ISO 17799 A.9.2.6 Sikkerhetskrav i standarden (norsk tekst er brukt i hovedsak her, for å øke forståelsen i organisasjonen) Sikker avhending eller gjenbruk av utstyr Oppfylles kravet? Ja/Delvis/Nei / Ikke Relevant Begrunnelse Ja X X Dokumentasjon Ansvarlig Avhending av utstyr skal skje via IT-avdelingen, jfr. kvalitetssystemets kap. 5.5.4 og kap. 5.5.5. IT
Måned: August År: 2011 Resultatenhet: IT-avdelingen Resultatenhetsleder: Terje Hasle TEMA STATUS (Obligatorisk) AVVIK? (Obligatorisk) LUKKING AV AVVIK Tiltak / frist / konsekvenser (Obligatorisk ved avvik) LEDERSTØTTE? (Obligatorisk ved avvik) 1. ØKONOMI JA NEI JA NEI Forbruk netto lønn i %:* 73,21 X Sum utgifter i %: ** 64,87 Sum inntekter i %: ** 184,74 X 2. SYKEFRAVÆR I % Korttidsfravær: (1 til 16 dg) 0,00 0 Langtidsfravær: (fom 17 dg) 6,07 0 Totalfravær, kort 0,32 0 Totalfravær, lang 7,53 0 3. UTVIKLINGSSAMTALER Antall samtaler/antall ansatte (skrives som brøk): 0/12 X 0 4. DOKUMENTERTE FORBEDRINGSRAPPORTER DENNE MND. 0 X Antall avslått: 0 X 5. BRUKERKONSEKVENSER DENNE MND. Antall klager (formell klagerett) og oppfølging: Antall meldekort (meldingsordningen) og oppfølging: Ikke relevant Ikke relevant 6. TJENESTEBESKRIVELSER OG BRUKERGARANTIER Antall garantibrudd Ikke relevant 7. UGYLDIG/BEKYMRINGSFULLT FRAVÆR (GRUNNSKOLEN) Ikke relevant 8. EVENTUELLE ANDRE FORHOLD:
Disposisjon Larvik kommune Historikk/bakgrunn for sertifiseringen Prosessen Systemet Erfaringer Larvik der det gode liv lever!
Oppsummering/erfaringer: Ja, det har vært nyttig!! Bevisstgjøring / Forståelse / Holdinger Klar plassering av ansvar Økt intern kompetanse Prosesser/rutiner er beskrevet Oversikt og orden (Tja. ) Systemer er på plass og lever! Sikrer kontinuerlige forbedringer Kvalitet gir økt troverdighet 90% organisasjon - 10% teknologi
Oppsummering/erfaringer: Men - Mye å vedlikeholde / vanskelig å holde alt materiell ajour Vanskelig å finne en god struktur Jakter på et nytt system Varierende lojalitet Stram oppfølging / rapportering Det koster å være sertifisert Trenger vi et politi? Er vi bedre enn andre?