Oplæg om it-revision af selvejende institutioner
Transcription
Oplæg om it-revision af selvejende institutioner
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat maj 2013 CBJ@Rigsrevisionen.dk Chefkonsulent Ingolf Holm Clausen, CISA Bred erfaring i Rigsrevisionen med it-udvikling, lønrevision og it-revision Ansat december 1985 IHC@Rigsrevisionen.dk 2 Formålet med vores indlæg • • • Input til drøftelse, gerne undervejs Fortælle om vores erfaringer med it-revision o Generelt o Uddannelsesinstitutioner Præsentere vores koncept for revision af små institutioner 3 Dagsorden • • • • • Hvorfor er der behov for it-revision ved skolerne? Formelle krav i love og bekendtgørelser mv. Skolernes ansvar på it-området Dialog om metode til it-revision af små institutioner Spørgsmål og kommentarer 4 Hvorfor er der behov for it-revision ved skolerne? It-revision omfatter generelle it-kontroller og it-systemer It-revisionen har fokus på FIT: • fortrolighed • integritet • tilgængelighed Fejl i skolernes it-systemer giver ikke kun fejl i regnskabet. Kan afsløre personlige oplysninger og kræve ekstra omkostninger. Skader skolens og ministeriets renommé. 5 Formelle krav om it-revision i love og bekendtgørelser mv. • • • • Persondataloven ISO 27001 i staten, jf. Digitaliseringsstyrelsen hjemmeside § 9-aftalen, ingen direkte krav om it-revision Undervisningsministeriets love og bekendtgørelser 6 Bekendtgørelsen 7 1. Systemrevision, der skal udføres af Rigsrevisionen • Årlig revision af SLS og Navision i Moderniseringsstyrelsen. • Rigsrevisionen udarbejder rapport med observationer og anbefalinger. • Gennemgår departementets tilsyn med opfølgning på vores anbefalinger. • Erklæringer fra eksterne leverandører, fx om CSC. • Statens It er ISO-certificeret – kan få betydning. Rigsrevisionen afgiver ikke revisionserklæringer. 8 2. Systemrevision, der skal udføres af særligt udpegede revisorer • Omfatter specifikke studieadministrative systemer • UVM vælger revisor og følger op på rapporteringen Rigsrevisionen vil i 2015 følge op på status, herunder spørgsmålet om en eventuel ny bekendtgørelse fra UVM 9 3. Systemrevision, der skal udføres af institutionens interne revisor • Har skolen fulgt de gældende brugervejledninger? • Revision af alternative systemer, der ikke er omfattet af Rigsrevisionens eller Undervisningsministeriets kontrol • Hvad med de generelle it-kontroller på skolerne? 10 Skolernes ansvar på it-området Vigtigste opgaver: • Skolernes ledelser bør stå i spidsen • Formulere politikker og regler • Implementere sikkerhedsstandard ISO27001? • Uddanne og informere brugerne • Styre brugernes adgang og rettigheder • Følge op på sikkerhedshændelser 11 Dialog om metode til it-revision af generelle itkontroller i små institutioner Udkast til nyt koncept: • Vi sender et brev og beder om nogle basale oplysninger. • Vi beder også om en selvevaluering. • Vi holder et dialogmøde med institutionen og modtager vigtig dokumentation. • Vi rapporterer efter en standardskabelon. • Eventuel drøftelse af vores udkast til rapport. 12 13 Intern organisation Kontrolmål: Roller, ansvar og opgaver i forhold til informationssikkerhed er klart defineret og sikkerhedsarbejdet er forankret i institutionens ledelse. Eksempler på spørgsmål: • Hvem træffer beslutninger om informationssikkerhed? • Er institutionens ledelse involveret og hvordan? • Er der en it-sikkerhedsansvarlig? • Hvem har ansvar for faglige- og administrative systemer? • Er sikkerhedsopgaverne beskrevet? • Er institutionen i dialog med departementet, fx ved it-tilsyn? 14 It-sikkerhedsstyring Kontrolmål: Der er på basis af en risikovurdering fastsat et sikkerhedsniveau, som er beskrevet i ledelsesgodkendte politikker og udmøntet i skriftlige retningslinjer mv. Eksempler på emner/spørgsmål: • Risikovurderinger, sikkerhedsniveau, risikobillede • It-sikkerhedsstandard (ISO 27001) • Information til medarbejderne (awareness) • Regler for anvendelse af privat it-udstyr på arbejde • Mobile enheder i øvrigt • Håndtering af sikkerhedshændelser • Regler for anvendelse af internettet 15 Adgang til systemer og data Kontrolmål: Adgangsstyringen sikrer, at alene autoriserede medarbejdere og konsulenter får tildelt adgangsrettigheder svarende til deres arbejdsbetingede behov. Eksempler på emner/spørgsmål: • Hvem er ansvarlige for adgangsstyringen? • Er der beskrevne procedurer? • Føres der jævnlig kontrol af brugerfortegnelsen • Procedurer for tildeling af rettigheder i systemerne 16 Eksterne leverandører og konsulenter Kontrolmål: Institutionen har indgået skriftlige aftaler med eksterne partnere og følger op på, at disse lever op til de aftalte servicemål. Eksempler på emner/spørgsmål: • Drift og hosting af data • Udviklingsleverandør • Serviceaftaler og servicemål • Revisorerklæringer eller lignende 17 Ekstern kommunikation Kontrolmål: Dataudveksling over internettet, fx via e-mail, er beskyttet, så risikoen for uautoriseret adgang til informationer er minimeret. Eksempler på emner/spørgsmål: • Mail-system • Digital kommunikation med borgerne • Anvendelse af kryptering 18 Sikring af lokalnet og data Kontrolmål: Lokalnet og data er beskyttet mod adgang for uvedkommende og data kan genskabes fra sikkerhedskopier. Eksempler på emner/spørgsmål: • Firewall, politik for tilladt trafik, penetrationstest • Administratorrettigheder på egne computere • Beskyttelse mod virus og anden malware • Logning • Backup 19 Sikkerhedsopdatering af software Kontrolmål: Operativsystemer og anden software på servere og computere bliver løbende opdateret, så kendte sårbarheder bliver elimineret. Eksempler på emner/spørgsmål: • Hvordan gennemføres sikkerhedsopdateringer i praksis? • Bliver opdateringer testet og godkendt? • Procedure for implementering af ændringer i øvrigt 20 Beredskabsplan og nødplan Kontrolmål: Institutionen har på basis af en risikovurdering truffet foranstaltninger til at kunne genoptage driften efter et nedbrud. Eksempler på emner/spørgsmål: • Har institutionen overvejet afhængighed af it-systemerne og eventuelle alternative løsninger? • Er der udarbejdet en nødplan og en retableringsplan? 21 Fysisk sikkerhed Kontrolmål: Lokaler og teknisk infrastruktur er beskyttet med fysiske foranstaltninger, som begrænser risikoen for uvedkommendes adgang til informationsaktiverne. Eksempler på emner/spørgsmål: • Overvejelser om risici • Adgang til bygningen, nøgler og kort • Sikkerhed i og omkring serverrum og andre sikre områder 22