Granskning av informationssäkerhet och fördjupning av beredskap för IT-säkerhetshändelser

Uppdraget ingår i revisionsplanen för år 2024.

Syfte och granskningsfrågor

Granskningen har syftat till att följa upp om kommunstyrelsen beaktat och hörsammat tidigare lämnade rekommendationer i granskning av it-säkerhet från 2020. Utifrån tidigare identifierade brister i informationssäkerheten har granskningen även syftat till att bedöma om kommunstyrelsen och vård- och omsorgsnämnden har säkerställt en tillräcklig planering för att upprätthålla kontinuitet i verksamheten vid kritiska it-säkerhetshändelser.

Granskningen har omfattat följande revisionsfrågor:

• Har tillräckliga åtgärder vidtagits mot bakgrund av lämnade rekommendationer (avseende den tidigare granskningen)?

• Har kritiska beroenden till informationssystem beaktats i verksamhetens kontinuitetsplanering?

• Har åtgärder för att säkerställa kontinuiteten identifierats och vidtagits?

• Finns avtalade servicenivåer och beredskap baserade på skyddsvärde och behov av tillgänglighet för verksamhetskritiska informationssystem?

• Har övningar genomförts i syfte att säkerställa att kontinuitetsplaneringen för it-avbrott är tillräcklig?

• Finns en tillräcklig intern kontroll över att kontinuitetsplaneringen kan tillgodose att verksamheter fungerar tillfredsställande om kritiska it-säkerhetshändelser inträffar?

Bedömning

Vår samlade bedömning avseende uppföljning av den tidigare granskningen av it-säkerhet är att kommunstyrelsen inte vidtagit tillräckliga åtgärder mot bakgrund av lämnade rekommendationer.

Vi ser att arbete för att stärka informationssäkerhetsarbetet med avseende på tidigare lämnade rekommendationer påbörjats och i vissa delar även fullföljts. Det är positivt att det finns en tänkt process för informationsklassningar och riskbedömningar då dessa är centrala moment för att kunna identifiera och vidta adekvata säkerhetsåtgärder. Av den anledningen behöver också processen etableras och efterlevas i högre grad.

Likaledes anser vi att kommunstyrelsen behöver prioritera framtagandet av en strategi för informationssäkerhet, samt fastställa de styrdokument som då granskningen genomfördes fanns i arbetsversion. En strategi liksom nämnda moment är fundamentala i ett systematiskt informationssäkerhetsarbete tillsammans med en regelbunden uppföljning av det arbete som genomförs.

Vi vill också påpeka vikten av att kommunstyrelsen följer upp att åtgärder utifrån rekommendationer vidtas.

Vår samlade bedömning är att kommunstyrelsen, både utifrån sitt övergripande ansvar för styrning och ledning av kommunens beredskapsarbete, samt utifrån sitt verksamhetsansvar, delvis säkerställt en tillräcklig planering för att upprätthålla kontinuiteten i verksamheten vid kritiska IT-säkerhetshändelser. Vår bedömning är att vård- och omsorgsnämnden delvis säkerställt detta.

Vi konstaterar att det på grund av en pågående omorganisering saknas styrande dokument för kommunens beredskapsarbete, utöver risk- och sårbarhetsanalysen. Kommunfullmäktige har däremot formulerat ett mål för verksamheternas framtagande av kontinuitetsplaner, vilket är ett effektivt sätt att skapa en övergripande kravnivå och styr- och uppföljningskedja för arbetet.

Genom en centraliserad samordning med utpekade funktioner anser vi att kommunstyrelsen skapat förutsättningar för en enhetlig kontinuitetsplanering inom hela kommunkoncernen. Vidare är vår uppfattning att befintligt stödmaterial bidrar till likriktning av kontinuitetsplanering, men att tydliga kravnivåer för arbetet behöver fastställas då det stärker den strategiska styrningen och bidrar till att underlätta då kritiska beroenden mellan olika verksamheter ska beaktas. Revisionsobjektens granskade verksamheter har påbörjat framtagande av kontinuitetsplaner och i arbetet beaktat väsentliga planeringsmoment och aspekter.

Som grund för granskade verksamheters kontinuitetsplanering ligger informationsklassningar och riskbedömningar. Detta har genomförts för de granskade verksamheternas kritiska system. Vår bild är dock att det inte gäller samtliga verksamhetskritiska system inom kommunen, vilket vi ser som väsentligt då momenten är ett systematiskt och etablerat sätt att identifiera åtgärdsbehov. Vi bedömer även att kommunstyrelsen behöver överväga behovet av en intern it-beredskap då incidenter som inträffar utanför kontorstid i dagsläget riskerar att inte kunna hanteras tillräckligt omgående.

Vi konstaterar att vård- och omsorgsnämnden saknar kompletta kontinuitetsplaner, men att det finns en tydlig process för framtagandet av planerna. Framtagandet av planerna följer inte den kommungemensamma processen, vilket vi ser som en indikation på att kommunstyrelsen behöver stärka samordningen inom kommunen.

Rekommendationer

Utifrån resultatet av den uppföljande granskningen av it-säkerhet kvarstår följande rekommendationer till kommunstyrelsen:

• Följa upp och säkerställa att åtgärder avseende tidigare granskningar genomförs i enlighet med beslut.

• Säkerställa att det genomförs informationsklassning och riskanalyser för verksamhetskritiska informationssystem och att det finns tillhörande kontinuitetsplaner för dessa.

• Upprätta kontinuitetsplan för IT-infrastrukturen och testa denna regelbundet.

• Skapa struktur för enhetlig uppföljning av informationssäkerhet inklusive IT-säkerhet och etablera rapporteringsvägar till ledning och styrelse.

Utöver de kvarstående rekommendationerna tillkommer följande rekommendationer till kommunstyrelsen:

• Tillse att nya styrande dokument fastställs och följs upp enligt kravställning.

• Inkludera förtroendevalda i utbildningar avseende informationssäkerhet.

Utifrån resultatet av vår granskning rekommenderar vi kommunstyrelsen att:

• Fastställa styrande dokument som ger konkret inriktning för kontinuitetshantering.

• Fastställa och besluta om förvaltningsövergripande kontinuitetsplan.

• Tillse att övningar genomförs regelbundet i syfte att säkerställa att kontinuitetsplaneringen för it-avbrott är tillräcklig.

• Tillse att åtgärdsplanering genomförs och baseras på aktuell informationsklassning och riskbedömning för informationstillgångar som styrelsen ansvarar för.

• Överväga att etablera en intern it-beredskap.

• Ge samtliga verksamheter i uppdrag att till it-avdelningen överlämna dokumentation över prioritering av informationssystem som sedan kan utgöra underlag för en kommunövergripande ordning.

Utifrån resultatet av vår granskning rekommenderar vi vård- och omsorgsnämnden att:

• Följa upp att kontinuitetsplaner upprättas enligt fastställt nämndmål.

• Tillse att övningar genomförs regelbundet i syfte att säkerställa att kontinuitetsplaneringen för it-avbrott är tillräcklig.

• Säkerställa att dokumentation över prioriteringsordning för nämndens verksamhetskritiska informationssystem överlämnas till IT-avdelningen.

Texten här ovanför är en sammanfattning

Om du vill kan du beställa hela dokumentet här: Beställ dokument Länk till annan webbplats, öppnas i nytt fönster.. Då måste du ange diarienummer: KS-2024-01009.

Ange hur du vill ha dokumentet:

1. som pdf via e-post. Det är kostnadsfritt men tyvärr kan vi inte skicka den som tillgänglighetsanpassad pdf.
2. utskriven och skickad med vanlig post. Om det är fler än 50 sidor tillkommer en avgift på minst 100 kronor, enligt beslut i kommunfullmäktige 2016.