Transcript Revisorernas skrivelse - Landstinget i Kalmar län

BREV
Beteckning
150246
Er beteckning
2015-04-17
Landstingets revisorer
Landstingsstyrelsen
Granskning av landstingets informationssäkerhet.
Landstingets revisorer har låtit granska landstingets informationssäkerhet. Granskningen har utförts av konsulter från KPMG och har utgått från de revisionsfrågor som
revisorerna fastställt.
Vid granskningen har såväl starka sidor som förbättringsområden framkommit:
Granskningen visar att landstinget under de senaste åren har tagit ett antal goda initiativ inom området informationssäkerhet och IT-säkerhet, t.ex. ny datahall, modernare IT-infrastruktur, vissa utbildningsinsatser, nätsegmentering, långsiktig lösning av
Cosmics produktionsmiljö för datadrift. Behörighetsportal som ska administrera behörigheter införs nu.
En tjänst som IT-säkerhetsansvarig har införts. En samverkansmodell, där IT och
verksamheterna är delaktiga, har implementerats. IT-förvaltningen har en modern,
anpassad och skalbar arkitektur för att hantera nya tillämpningar. Anställda inom ITförvaltningen får utbildning inom ny teknik, trender och innovation.
Bland de förbättringsområden som framkommit kan följande nämnas:
Landstinget uppfyller inte kravet att som vårdgivare minst årligen genomföra riskanalyser avseende informationssäkerheten. Landstinget har beslutat att informationssäkerhetsarbete ska bedrivas enligt SS-ISO/IEC 27001 och 27002. Standarden innehåller 35 viktiga säkerhetsområden men vilka som prioriteras styrs av individers
egna insatser och ambition – inte risk eller målbild.
Landstinget saknar struktur för informationsklassning. Även infrastrukturlogguppföljningen kan förbättras. Utbildning inom informations- och IT-säkerhet ges främst
inom HSF och IT-förvaltningen. Alla anställda inom landstinget bör få grundläggande
utbildning om informationssäkerhet.
Informationssäkerhetskrav är i vissa fall en del av upphandlingsprocessen men området kan utvecklas. Vissa brister kvarstår inom den fysiska säkerheten. Samverkansmodellen kan förtydligas och formaliseras när det gäller tillgänglighet och återställningstid för systemobjekt och infrastruktur som nyttjas av andra förvaltningar.
Den sammanfattande bedömningen av granskningen är att landstinget är på rätt väg
men att ytterligare åtgärder måste vidtas innan landstinget kan anses efterleva beslutade nivåer för informationssäkerhet.
REVISIONSKONTORET
Strömgatan 13
Box 601, 391 26 KALMAR
Tel. 0480-84 180. Fax. 0480-841 97
2
Mot bakgrund av vad som framkommit önskar revisorerna svar från landstingsstyrelsen med uppgift om vilka åtgärder som vidtagits respektive planeras för att tillvarata
de förbättringsmöjligheter som redovisas i granskningsrapporten. Detta svar vill revisorerna ha senast den 17 september 2015.
Granskningen presenteras i bilagd rapport som härmed överlämnas till landstingsstyrelsen.
På revisorernas vägnar
Anders Björkman
Ordförande
Bilaga: Granskningsrapport från KPMG.
Tomas Sandberg
Revisionschef