Foranalyse - IKT-sikkerhet og drift i Hedmark fylkeskommune
Transcription
Foranalyse - IKT-sikkerhet og drift i Hedmark fylkeskommune
Foranalyse 2014 Utarbeidet av Hedmark Revisjon IKS på oppdrag fra kontrollutvalget i Hedmark fylkeskommune Foranalyse IKT-sikkerhet og drift i Hedmark fylkeskommune Postboks 84, 2341 Løten Telefon: 62 43 58 00 www.hedmark-revisjon.no E-post: post@hedmark-revisjon.no Org.nr: 974 644 576 MVA Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 1 SAMMENDRAG 3 2 BESTILLING 3 2.1 4 FORMÅL MED FORANALYSE – OPPBYGGING AV RAPPORTEN 3 IKT-SIKKERHETENS AKTUALITET, SENTRALE BEGREPER OG LOVVERK 5 3.1 AKTUALITET 5 3.2 HVA ER PERSONLIGE OPPLYSNINGER, PERSONVERN OG IKT-SIKKERHET? 6 3.3 LOV OG FORSKRIFT 7 3.4 KS DIGITALISERINGSSTRATEGI OG KOMMIT 9 4 IKT-SIKKERHET I HEDMARK FYLKESKOMMUNE 9 4.1 ORGANISERING AV IKT-OMRÅDET 9 4.2 REGLEMENTER OG RETNINGSLINJER I FYLKESKOMMUNEN 11 4.3 REGISTRE MED PERSONOPPLYSNINGER 12 5 MULIG EMNE: DRIFT AV IKT I FYLKESKOMMUNEN 17 6 REVISORS VURDERING OG ANBEFALING 20 6.1 IKT-SIKKERHET OG DRIFT – VURDERING AV RISIKO OG VESENTLIGHET 20 6.2 ANBEFALING 22 6.3 GJENNOMFØRING OG TIMEFORBRUK 22 Forsidebilde: Image “Hand On Keyboard” courtesy of phanlop88 at FreeDigitalPhotos.net. HEDMARK REVISJON IKS Innhold Side 2 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 1 Sammendrag I denne foranalysen har vi sett på IKT-sikkerhet i Hedmark fylkeskommune samt på driften av IKT-løsninger i fylkeskommunen. Vi anbefaler en revisjon som vurderer om fylkeskommunen har en systematisk tilnærming til IKT-sikkerhet og drift. Det leder til at vi anbefaler to overordnede problemstillinger: 1. I hvilken grad har fylkeskommunen tilfredsstillende retningslinjer og rutiner for å sikre personopplysningers konfidensialitet, integritet og tilgjengelighet?, herunder: personopplysninger for fylkeskommunens ansatte som helhet elevenes personopplysninger på skolene 2. Har fylkeskommunen betryggende systemer for kontroll med drift og vedlikehold av IKT-tjenester? Med eventuell tilføyelse av følgende problemstilling: 3. Hvordan følges retningslinjer og rutiner opp i praksis? Vi har innhentet informasjon via: - Presentasjon ved møte i Kontrollutvalget 10. februar 2015 Diverse regler og retningslinjer i fylkeskommunen Diverse lover, regler og standarder for it-sikkerhet Forvaltningsrevisjonsrapport «Styring av IKT-satsningen i Hedmark fylkeskommune» med tilhørende datainnsamling Relevante samfunnsundersøkelser 2 Bestilling Høsten 2014 hadde kontrollutvalget gått gjennom de fleste temaene som ble trukket frem som aktuelle forvaltningsrevisjonsprosjekter i plan for forvaltningsrevisjon for perioden. På denne bakgrunn ble det utarbeidet en liste over relevante temaer for forvaltningsrevisjon i perioden 2015/16. Kontrollutvalget valgte ut tre temaer fra listen som det ønsket å få belyst i en foranalyse hvilket ses av følgende vedtak 18. november 2014 i sak nr. 27/14: HEDMARK REVISJON IKS I henhold til kommuneloven § 77 fjerde ledd skal kontrollutvalget påse at det blir gjennomført forvaltningsrevisjon i kommunen/fylkeskommunen. Side 3 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 Kontrollutvalget prioriterer følgende tema for forvaltningsrevisjon i perioden 2015-2016: 1. Utleie av bygninger og idrettshaller i regi av fylkeskommunen (omfang, prissetting, habilitet) 2. IKT-sikkerhet 3. Hvordan jobber fylkeskommunen som næringsutviklingsaktør? Kontrollutvalget bestiller foranalyse fra Hedmark Revisjon IKS om de prioriterte temaene til de første møtene i 2015, og kontrollutvalget ber sekretariatet sørge for orienteringer fra administrasjonen på temaene. Høsten 2014 ble forvaltningsrevisjonsprosjektet «Styring av IKT-satsningen i Hedmark fylkeskommune» levert til Kontrollutvalget. Prosjektet hadde en overordnet og generell synsvinkel, og har konsentrert seg om strategi, ledelse og kompetanse, samordning og standardisering av IKT-løsninger, tilgjengelighet og digitalisering, IKT i forhold til fylkeskommunens oppgaver innen utdanning (dvs. videregående opplæring) og helse (tannhelse), samt IKT-sikkerhet på overordnet nivå. Prosjektet omfattet ikke: Personvern, taushetsplikt og informasjonssikkerhet Sentral og lokal infrastruktur, fysisk sikring av data, tilgang til systemer og andre tekniske tiltak som skal bidra til IKT-sikkerhet. Videre har prosjektet ikke omfattet driftstiltak knyttet til IKT, eller implementering av IKT-systemer. Kontrollutvalget prioriterte i møtet 18. november 2014 at foranalysen skulle fokusere på den delen som ikke ble vurdert i førnevnte rapport, nemlig IKT-sikkerhet. 2.1 Formål med foranalyse – oppbygging av rapporten 1 Datamaskin – Norsk Datakunnskap Network skriver om definisjonen på IT og IKT: «IT og IKT brukes ofte om hverandre av de i databransjen, men disse begrepene er forskjellige i definisjonen. IT står for informasjonsteknologi og IKT står for Information Communication Technology. Dette er svært nært beslektet, men vilkårene betegne to forskjellige studieretninger eller industri. Mest enkelt sagt, faller IKT under IT paraply og refererer til bestemt område av IT som har å gjøre med kommunikasjon.» (http://www.datamaskin.biz/Nettverk/other-computer-networking/77301.html#.VP2ZWY3KztR) Vi benevner det her «IKT»-sikkerhet fordi dette er betegnelsen i Personopplysningsloven. HEDMARK REVISJON IKS Formålet med forundersøkelsen er å skaffe til veie informasjon slik at kontrollutvalget kan ta stilling til hvorvidt det er grunnlag for å gå videre på området, dvs. om det er grunnlag for å bestille en forvaltningsrevisjon innenfor IKT-sikkerhet.1 Videre skal forundersøkelsen bidra til å gi kontrollutvalget grunnlag for å velge hvilket tema innenfor IKT-sikkerhet som anses mest Side 4 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 aktuelt å fokusere på. Endelig vil vi med forundersøkelsen søke å legge til rette for en effektiv gjennomføring av en eventuell forvaltningsrevisjon på området. I det følgende vil vi gi en generell redegjørelse for temaet IKT-sikkerhet og relevant regel- og lovverk. Deretter vil vi gi en redegjørelse for IKT-sikkerhet i Hedmark fylkeskommune. Endelig vil vi gi vår vurdering og anbefaling, herunder skissere alternative innfallsvinkler for et eventuelt forvaltningsrevisjonsprosjekt. 3 IKT-sikkerhetens aktualitet, sentrale begreper og lovverk 3.1 Aktualitet Fylkeskommunene råder som arbeidsgivere og virksomhetseiere over en stor mengde personopplysninger. I en digital tid kan disse opplysningene spre seg raskt og bli utsatt for misbruk. Datatilsynet kategoriserer misbruk av personopplysninger i to hovedgrupper, henholdsvis en utilsiktet handling (uhell eller uaktsomhet) eller tilsiktet handling fra en kriminell. 2 Uhell eller uaktsomhet betyr at beskyttelsesverdig informasjon kommer uvedkommende i hende. Det kan for eksempel skje ved at ansatte lekker informasjon, at bærbare datamaskiner kommer på avveie, ved uforsvarlig håndtering av sikkerhetskopier eller innbrudd. Helseopplysninger er et eksempel på sensitiv informasjon som gis under tillit og fortrolighet. Brudd på tillit kan medføre alvorlig tillitskrise. I 2011 gjennomførte Statens institutt for forbruksforskning (Sifo) og TNS Gallup en undersøkelse av omfanget av identitetstyveri i Norge.3 I undersøkelsen opplyser 3 % at de har opplevd at deres gode navn og rykte ble skadet ved misbruk av personens navn.4 3,3 % har opplevd at det er blitt kjøpt varer eller tjenester i sitt navn slik at personen har fått regningen. 2 https://www.datatilsynet.no/Sektor/ID-tyveri/Virksomheters-bruk-og-misbruk-av-personopplysninger/ STATENS INSTITUTT FOR FORBRUKSFORSKNING 2011: Identitetstyveri. Omfang, tillit og beskyttelse mot risiko av Ragnhild Brusdal og Randi Lavik 4 Tallene i undersøkelsen er basert på svar fra 1.124 personer i alderen 18–80 år 3 HEDMARK REVISJON IKS Enda verre er det når personopplysninger misbrukes til å fremme et illegitimt formål, slik som å skaffe seg tilgang til og kontroll over andres økonomiske midler, kredittinstrumenter eller eiendom. Dette innebærer at uvedkommende tar helt eller delvis kontroll på aktiver eller eiendeler tilhørende en annen person (ofte kalt identitetstyveri). Ved hjelp av personopplysninger kan man foreta uautoriserte endringer eller disposisjoner i en annens navn (eksempelvis ut fra et hevnmotiv). Personopplysninger kan også misbrukes til å skaffe seg ytterligere tilgang til informasjon om enkeltmenneskers bevegelse, kommunikasjon og økonomiske disposisjoner, mot vedkommendes vilje og ønske. Side 5 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 6,8 % svarer at de har blitt rammet av identitetstyveri 1 eller 2 ganger. Hvis dette tallet er representativt for hele befolkningen, har denne typen forbrytelse rammet nær en kvart million nordmenn. Samtidig har Datatilsynet opplevd en økning i henvendelser om personvern i arbeidslivet. I 2013 håndterte Datatilsynets veiledningstjeneste 7 578 telefon- og e-posthenvendelser om personvern. Av disse var 22 prosent om overvåking i arbeidslivet, og tilsynet ser en fortsatt tendens til at denne typen henvendelser øker. Henvendelsene omhandler for eksempel GPSsporing og kameraovervåking, samt innsyn i og sletting av ansattes e-postkorrespondanse. Her blir det gitt som eksempel fordi det er påfallende mange arbeidsgivere som uten motforestillinger går gjennom e-postkorrespondansen til sine ansatte, også i sammenhenger der den ansatte har sluttet.5 3.2 Hva er personlige opplysninger, personvern og IKT-sikkerhet? Personlige opplysninger Datatilsynet gjennomførte i 2013 og 2014 et tilsyn med bruk og lagring av personopplysninger i skoler og barnehager.6 En erkjennelse og en noe overraskende oppdagelse for dem, var at betydningen av begrepet «personopplysning» var uklar for svært mange. I Personopplysningslovens § 2 defineres personopplysninger som «opplysninger og vurderinger som kan knyttes til en enkeltperson». Med andre ord er personopplysninger alle opplysninger som kan knyttes til enkeltpersoner. Sensitive personopplysninger defineres i samme paragraf som opplysninger om: a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger. Både for personopplysninger og sensitive personopplysninger er det en rekke vilkår som må være tilstede før det er lov å dele og behandle dem.7 Det er særlig skjerpede krav knyttet til sensitive opplysninger, men alminnelige personopplysninger skal også vernes om. Datatilsynet definerer personvern som retten til et privatliv og retten til å bestemme over egne personopplysninger. Alle mennesker har en ukrenkelig egenverdi og rett på en privat sfære som personen selv kontrollerer. Det skal være mulig å handle fritt uten tvang eller innblanding fra staten eller andre mennesker. 5 https://www.datatilsynet.no/Nyheter/2014/En-av-fem-har-sporsmal-om-personvern-i-arbeidslivet/ http://www.datatilsynet.no/Global/04_planer_rapporter/Skoleprosjektet_samlerapport.pdf 7 Personopplysningslovens §§ 8 og 9 6 HEDMARK REVISJON IKS Personvern Side 6 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 Personvernbegrepet refererer ikke bare til vernet av privatlivets fred og den enkeltes personlige integritet. I norsk forståelse innebærer begrepet i stor grad også vernet av individers rett til å ha innflytelse på bruk og spredning av personopplysninger om seg selv. Den enkelte skal i størst mulig grad kunne bestemme over egne personopplysninger. 8 IKT-sikkerhet Når man taler om IKT-sikkerhet dreier det seg om at virksomheten må håndtere risikoen for at personopplysninger og andre informasjonsverdier sikres på en tilfredsstillende måte. Internkontroll handler om at virksomheten skal etablere og vedlikeholde planlagte og systematiske tiltak for å sikre at de oppfyller lovens krav til behandling av personopplysninger. Gjennom å ha god informasjonssikkerhet og god internkontroll sikrer virksomheten at den behandler personopplysninger lovlig, sikkert og forsvarlig.9 Konfidensialitet, integritet og tilgjengelighet Konfidensialitet er at uvedkommende ikke får tilgang til dataene. Integritet innebærer at ingen uautoriserte personer kan endre på opplysninger eller at informasjon utilsiktet blir endret. Med tilgjengelighet menes det at opplysningene må være tilgjengelige for personer som har behov for disse.10 I fortsettelsen ser vi på lov og forskrift i forbindelse med personopplysninger. 3.3 Lov og forskrift Personopplysningslovens § 13 første og annet ledd om «Informasjonssikkerhet» lyder: «Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene...» 8 http://www.datatilsynet.no/personvern/Hva-er-personvern/ 9 http://www.datatilsynet.no/Sikkerhet-internkontroll/ jf. Personopplysningsforskriften § 2-11 til 2-13 10 HEDMARK REVISJON IKS Med digitalisering av offentlig sektor blir det i økt grad samlet inn, bearbeidet og analysert store mengder opplysninger. Opplysningene kan omhandle enkeltpersoner, forretningsprosesser, produktutvikling, strategier og metoder. Felles for alle opplysninger, er at det stilles varierende krav til behandling og beskyttelse. Opplysninger som kan knyttes til individet, skal behandles i samsvar med Personopplysningsloven og Personopplysningsforskriften. Reglene er fastsatt for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet. Side 7 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 Dette innholdet er utdypet i Personopplysningsforskriftens kapittel 2. I forskriftet fremgår det en rekke konkrete krav til informasjonssikkerhet for IT-systemer hvor det behandles personopplysninger. Det er krav til følgende områder (§§ 2, nr. 3-16): - - - Sikkerhetsledelse: Den som har den daglige ledelsen av virksomheten har ansvaret. Risikovurdering: Det skal føres oversikt over hva slags personopplysninger som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Sikkerhetsrevisjon: Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Avvik: Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. Organisering: Det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. Personell og taushetsplikt: Medarbeidere hos den behandlingsansvarlige skal bare bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for slik bruk. Medarbeidere hos den behandlingsansvarlige skal pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig. Fysisk sikring: Det skal treffes tiltak mot uautorisert adgang til utstyr som brukes for å behandle personopplysninger etter forskriften her. Sikring av konfidensialitet, tilgjengelighet og integritet. Sikkerhetstiltak: Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Sikkerhet hos andre virksomheter: Den behandlingsansvarlige skal bare overføre personopplysninger elektronisk til den som tilfredsstiller kravene i personopplysningsforskriften. Dokumentasjon: Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for informasjonssikkerheten, skal dokumenteres. Personopplysningsloven stiller krav til internkontroll i form av etablering og vedlikehold av planlagte og systematiske tiltak for å oppfylle kravene i, eller i medhold av, Personopplysningsloven – herunder å sikre personopplysningenes kvalitet. Datatilsynet skriver i sin veileder at det ikke forventer at øverste leder alltid har inngående kunnskap om informasjonssikkerhet. Derimot forventes det at personopplysninger er sikret på en forsvarlig måte, og at øverste leder ser etter at dette blir gjort. I praksis betyr det å sørge for at virksomheten har oversikt over hvilke plikter som gjelder, hvordan opplysninger behandles og sikres, at alle rutiner knyttet til dette er godkjent og blir fulgt opp av alle ansatte.11 11 Jf. Personopplysningsforskriftens kapittel 3 om Internkontroll. HEDMARK REVISJON IKS - Side 8 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 3.4 KS Digitaliseringsstrategi og KommIT Staten og Kommunenes sentralforbund (KS) er viktige premissgivere for kommunal sektor når det gjelder utviklingen på IKT området. Hedmark fylkeskommune er deltaker i KommIT (Program for IKT-utvikling i kommunesektoren) som ble etablert av KS våren 2012. Dette programmet eies av KS og styres av et programstyre bestående av kommuner, fylkeskommuner og KS. Formålet med KommIT er å bistå kommuner og fylkeskommuner slik at de kan nå målene i Digitaliseringsstrategi 2013 – 2016 for kommuner og fylkeskommuner (KS). Denne strategien fastsetter de viktigste satsningsområdene og målene for kommuner og fylkeskommuner i perioden. KS har i strategien følgende mål for IKT-sikkerhet - Kommuner og fylkeskommuner har strategi for informasjonssikkerhet - Kommuner og fylkeskommuner har databehandleravtaler med andre som behandler personopplysninger på vegne av kommunen - Kommuner og fylkeskommuner har databehandleravtaler med andre som kommunen behandler personopplysninger for - Kommuner og fylkeskommuner har ledelsesforankret internkontroll og styringssystem på plass. - Kommuner og fylkeskommuner har løsninger som tilfredsstiller kravene til sikkerhetsarkitektur - Kommuner og fylkeskommuner som tar i bruk skytjenester, har gjennomført grundige risiko- og sårbarhetsanalyser og inngått en databehandleravtale (s. 15). I forvaltningsrevisjonsprosjektet «Styring av IKT satsningen» ble det valgt å la være å benytte mål fra KS digitaliseringsstrategi som grunnlag for å utlede konkrete revisjonskriterier. Det ble begrunnet med at strategien nettopp var iverksatt. Hvis det bestilles et forvaltningsrevisjonsprosjekt om IKT-sikkerhet kan det vurderes om revisjonskriteriene skal utledes av Personopplysningsloven og Personopplysningsforskriften eller KS digitaliseringsstrategi eller begge deler. En forvaltningsrevisjon vil som regel ta utgangspunkt i den kilde som er mest autoritativ. I dette tilfellet er lovverk med forskrift mere autoritativ enn en KS strategi. Det synes å være overensstemmelse mellom lovverket og KS digitaliseringsstrategi, og grunnlaget for revisjonskriteriene kan således avvente beslutningen om det skal gjennomføres en forvaltningsrevisjon på området. 4 IKT-sikkerhet i Hedmark fylkeskommune 4.1 Organisering av IKT-området Fylkeskommunen har egen IKT avdeling som har som oppgave å koordinere fylkeskommunens IT-satsning, og å drifte fylkeskommunens IT-løsninger. Avdelingen har i alt 11 faste stillinger + lærlinger. IKT drifter løsninger for fylkeshuset, de videregående skolene, de fylkeskommunale HEDMARK REVISJON IKS Etter disse avklaringer ser vi nå på IKT-sikkerhet i Hedmark fylkeskommune. Side 9 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 tannklinikkene og regionskontorene. Øvrige kunder er Hedmark Trafikk FKF, Kjørekontoret Innlandet AS og Kunstbanken. IKT sin servicedesk yter 1. og 2. linje brukerstøtte til sentraladministrasjonen, regionkontorene og tannklinikkene, samt 2. linje brukerstøtte til de videregående skolene. Servicedesken er IKTs kontaktflate mot brukere og leverandører og behandler 6500 saker i året. Desken tar i mot og behandler feilmeldinger, driftsproblemer, brukerspørsmål, endringsønsker, samt bestillinger.12 Fylkeskommunens IT-løsninger benyttes av over 13000 brukere13. I tillegg til de oppgavene som løses av de ansatte ved IKT avdelingen, er det også oppgaver som løses ved den enkelte enhet/virksomhet. Sentral infrastruktur er IKT avdelingens ansvar. I sentral infrastruktur ligger sentralt serverrom, bredbåndslinjer, brannmurer og felles lisensavtaler. Lokal infrastruktur er den enkelte enhet/virksomhet sitt ansvar, og omfatter lokalt nettverk, pc’er, skrivere og mobile enheter. Fylkeskommunen hadde våren 2013 i alt 10 konsernsystemer og 27 fagsystemer som skulle driftes, vedlikeholdes og utvikles.14 På noen områder, og særlig innenfor videregående utdanning, er det etablert samarbeid med andre/konsulentbistand. Som eksempel kan nevnes at Hedmark fylkeskommune er medeier i Vigo IKS som ivaretar utvikling av noen av fylkeskommunens IT-systemer innen videregående opplæring. Fylkeskommunen er også medeier i NDLA som er et fylkeskommunalt innkjøpssamarbeid som har som formål å tilby kvalitetssikrede, fritt tilgjengelige, nettbaserte læremidler i alle fag i videregående skole. Ellers deltar fylkeskommunen i BUDDY samarbeidet som er et samarbeid mellom fylkeskommuner og kommuner om en løsning for identitetsforvaltning. Hedmark fylkeskommune samarbeider også tett med andre fylkeskommuner i Visma fylkesforum. 12 Fra Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune, utkast februar 2015 https://www.hedmark.org/Om-fylkeskommunen/Fag-stab-og-serviceenheter/IKT 14 Fra Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune, utkast februar 2015 13 HEDMARK REVISJON IKS Vi ser av organisasjonskartet under at IKT-avdelingen er en service-enhet som er underlagt fylkesdirektøren. I fylkeskommunen det i særlig grad bli håndtert personopplysninger og registre med personfølsomme opplysninger i Personal og organisasjon, Arkivet samt i IKTavdelingen. Dessuten finnes behandling av personopplysninger i følgende av fylkeskommunens virksomheter: Tannhelsetjenesten og de videregående skolene (se pilene). Side 10 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 Figur 1 Organisasjonskart Hedmark fylkeskommune 4.2 Reglementer og retningslinjer i fylkeskommunen 10. februar presenterte fylkeskommunen utkast til «Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune», 27. februar 2015. I kapittel 8 står det mer om Informasjonssikkerhet og informasjonsteknologi. Her beskriver fylkeskommunen at KS-digitaliseringsstrategi er en av de føringer man forholder seg til. Av fylkeskommunale føringer har man: HEDMARK REVISJON IKS Fylkeskommunens gjeldende IT strategi ble vedtatt av fylkesdirektøren i 2006 og var ment å skulle rulleres i 2008. Dette har foreløpig ikke skjedd. Det er imidlertid nedsatt en arbeidsgruppe som har utarbeidet forslag til ny IT strategi (juni 2013). Visjonen i gjeldende IT strategi er at Hedmark fylkeskommune skal ligge i forkant når det gjelder bruk av informasjonsteknologi administrativt og pedagogisk. Videre at fylkeskommunen skal ligge i forkant når det gjelder elektronisk samhandling med kommuner, innbyggere, næringsliv, folkevalgte og frivillige organisasjoner i Hedmark, samt andre samarbeidspartnere nasjonalt og internasjonalt. Side 11 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 - Reglement for bruk av Hedmark fylkeskommunes IT-løsninger, fastsatt av fylkesdirektøren 18.12.2013 IT-reglement for elever i videregående skole i Hedmark fylkeskommune, fastsatt av fylkesdirektøren 3.7.2014. Disse reglementene er sentrale i forhold til en eventuell revisjon av emnet. I den forbindelse kan revisor se på om reglementene lever opp til lov og forskrifter, om de er kjent i de enkelte virksomhetene / enhetene, og om de i praksis bidrar til at personopplysninger håndteres på en god måte. 4.3 Registre med personopplysninger IKT-avdelingen i Hedmark fylkeskommune fortalte ved sin presentasjon i Kontrollutvalget 10. februar 2015 om de forskjellige registre som behandler og inneholder personopplysninger. I tråd med fylkeskommunens ansvar og oppgaver er det tre overordnede kategorier av personopplysninger: - Opplysninger om de ansatte Opplysninger om elever i de videregående skoler Pasientopplysninger i Tannhelsetjenesten Det er en håndfull av registrene som inneholder opplysninger både om ansatte og om elever. I det følgende beskrives de tre kategoriene. Ansatte i fylkeskommunen Det er litt over 2000 ansatte i Hedmark fylkeskommune.15 For å kunne utføre sin funksjon som arbeidsgiver har Hedmark fylkeskommune behov for en rekke opplysninger om ansatte. Fylkeskommunen må bruke kontonummer for å utbetale lønn, adresse for å sende brev, personnummer for å identifisere personen. Disse opplysningene er sentrale i forhold til identitetstyveri som omtalt i innledningen. Avanserte systemer om de ansatte kan dessuten inneholde alt fra CV og opplysninger om sertifikater, fravær, sykdom osv. 15 • Visma HRM; lønn- og personalsystem samt rekruttering • Wintid; tidregistrering (gjelder ikke alle ansatte) • ESA (EDB sak/arkiv); personalmapper • SATS; skoleadministrativt system (gjelder vgs) SSB «Sysselsatte i kommunen i alt – Enhet: Sysselsatte» for 2013 HEDMARK REVISJON IKS Følgende registre behandler opplysninger om de ansatte: Side 12 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 • It’s learning; læringsplattform (gjelder vgs) • Novaschem; timeplanverktøy (gjelder vgs) • Ansattoversikt på internett/intranett • Trio; sentralbord/telefonistøtte • Nødvendige tilgangsløsninger IT-reglementet gjelder for alt personell som har tilgang fylkeskommunens IT-løsninger og ITutstyr, og har følgende innhold: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. Virkeområde Grunnregler Aktsomhet Passord Endringer på IT-utstyr og programvare E-post Dokument- og utskriftsikkerhet Fratreden Innsyn for arbeidsgiver i e-post-kasse mv. Gjennomsøkning av lagringsområder Utlevering til politi eller påtalemyndighet Avhending av utstyr Det er 14 videregående skoler i Hedmark fylkeskommune: 16 • Elverum videregående skole, Elverum • Hamar katedralskole, Hamar Fra Datatilsynets rapport 2014: Personvern i skole og barnehage HEDMARK REVISJON IKS Elever på de videregående skolene Det lagres store mengder opplysninger om elever i de videregående skoler. Opplysninger om orden, oppførsel og karakterer er noen eksempler. Det finnes også verktøy som gjør det mulig å logge hvilke nettsteder elevene har besøkt i skoletiden eller som logger når og hvor lenge elevene jobber med spesifikke oppgaver. Dessuten lagres bilder, kommunikasjon mellom elever, kommunikasjon mellom lærer og elev, kommunikasjon mellom skole og hjem, informasjon om allergier, logg fra elevenes bruk av skolens nettverk. Læringsplattformer inneholder eksempelvis kommunikasjonsverktøy som chat, kommentarfelt/diskusjonsforum, e-post og meldingstjenester hvor private samtaler i noen tilfeller lagres. Videokonferansefunksjon hvor det er mulig å ta opp både lyd og bilde, er også ofte integrert. Ofte er det dessuten mulig for lærerne å sende SMS fra læringsplattformene til andre lærere, elever og foreldre. Dette er også personopplysninger.16 Side 13 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 • Jønsberg videregående skole, Stange • Midt-Østerdal videregående skole, Koppang • Nord-Østerdal videregående skole, Tynset • Ringsaker videregående skole, Brumunddal • Sentrum videregående skole, Kongsvinger • Skarnes videregående skole, Skarnes • Solør videregående skole, Flisa • Stange videregående skole, Stange • Storhamar videregående skole, Hamar • Storsteigen videregående skole, Alvdal • Trysil videregående skole, Trysil • Øvrebyen videregående skole, Kongsvinger De fleste skoler bruker digitale læringsplattformer (LMS – Learning Management System). Det åpner for kontinuerlig logging av elevens aktivitet, for eksempel når på døgnet eleven leverer oppgaver, hvor lang tid eleven bruker på oppgaveløsning, logg av kommunikasjon med lærer og andre elever, samt hvilke fag eleven har jobbet aktivt med i leksearbeidet. Mange skoler benytter seg også av andre digitale og nettbaserte læringsressurser, som i ulik grad registrerer elevenes aktiviteter. De skoleadministrative systemene registrerer blant annet fravær og karakterer, og noen skoler bruker digitale verktøy til å kartlegge og registrere uønsket atferd. Samlet utgjør dette et sett med opplysninger som gir et omfattende og detaljert bilde av barns utvikling og barnets faglige og sosiale atferd gjennom et helt utdannelsesløp.17 17 18 • VIGO; inntakssystem18 • OTTO; system for oppfølgingstjenesten • SATS; skoleadministrativt system • Privatistweb; webbasert oppmelding til privatisteksamen • SkoleArena; fraværs- og karaktersystem • ESA (EDB sak/arkiv); personalmapper • It’s learning; læringsplattform Fra Datatilsynets rapport 2014: Personvern i skole og barnehage https://www.vigo.no/vigo/servlet/vigo HEDMARK REVISJON IKS Disse registrene behandler opplysninger om elevene: Side 14 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 • Novaschem; timeplanverktøy • Visma utfakturering; kundereskontro • Elev-PC register • Nødvendige tilgangsløsninger • Diverse pedagogiske verktøy • NDLA19 • Lokus20 • Kikora21 • Geogebra22 • Etc Det er fylkeskommunen som skoleeier som har ansvaret for å sikre personvern i skolene.23 Fra et personvernperspektiv er det viktig at skoleeieren har en klar formening om hva personopplysninger er. Det er skoleeierens plikt å ha oversikt over personopplysningene. Skoleeieren skal vite hvorfor de enkelte opplysningene lagres, hvem som skal ha tilgang til dem, hvor lenge de skal lagres og så videre. IKT-avdelingen fortalte på møtet i Hedmark fylkeskommunes kontrollutvalg 10. februar at det pågår et arbeide med å sikre personvern i de videregående skolene. Dette kan oppsummeres som følger: Hva er gjort? Brukeropplæring, rutiner for oppretting og sletting av brukertilganger. Rutiner for sletting av personopplysninger. Informasjon til elever og foresatte med avtale for signatur. Inngåelse av databehandleravtaler Hva arbeides det med? Kartlegging av datasystemer med personopplysninger på skolene. Utarbeidelse av mal og rutiner for risikovurdering av disse systemene og gjennomgang av databehandleravtaler. Bedre informasjon til ansatte. Hva gjenstår? Total oversikt over datasystemer med personopplysninger. Gjennomgående rutiner for: 19 http://ndla.no/ http://www.lokus.no/ 21 http://www.kikora.no/ 22 http://www.geogebra.no/ 23 Datatilsynets artikkel: «Store utfordringer for personvernet i skole og barnehage», 2. juli 2014 20 HEDMARK REVISJON IKS Side 15 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 Risikovurdering av datasystemer med personopplysninger. Databehandleravtale. Oppretting og sletting av brukertilganger på datasystemer anskaffet av den enkelte skole. It-avdelingen fortalte at dagens situasjon ikke er tilfredsstillende med hensyn til de skoleadministrative systemene, og at det er et stort behov for fornyelse og modernisering. Skoleadministrative arbeidsoppgaver er blant annet preget av mye manuelt arbeid, informasjonssikkerheten kan forbedres med hensyn til behandlingen av elevdata, og kontroller som sikrer dataintegritet kan forbedres. VISMA FLYT skole (VFS) innføres i Hedmark skoleåret 2017/2018. VFS skal erstatte totalt 54 installasjoner av 9 ulike systemer og vil kunne realisere betydelige gevinster gjennom økt standardisering, bedre brukervennlighet, bedre datakvalitet og effektivitet, samt lavere administrasjonskostnader. Pasientene Av fylkeskommunens hjemmeside fremgår det at Tannhelsetjenesten har klinikker i 20 av fylkets kommuner. Engerdal og Rendalen betjenes av naboklinikk eller ved privatpraktiserende tannlege som har avtale med fylkeskommunen. To registre behandler opplysninger om pasienter • OPUS; elektronisk pasientjournal • Digora; digital røntgen I det tidligere gjennomførte forvaltningsrevisjonsprosjektet fikk vi opplyst at alle data fra tannklinikkene lagres på sentrale servere, og ikke ute på den enkelte tannklinikk. Dataene herfra omfatter i stor grad pasientopplysninger (sensitive opplysninger), og disse lagres innenfor såkalt sikker sone. Vi fikk videre opplyst at IKT avdelingen har vært ute og tatt bilder av og har oversikt over alt IKT - utstyr som finnes ute på de enkelte tannklinikkene.24 Dessuten har vi fått opplyst at Tannhelsetjenesten: Følger norm for informasjonssikkerhet i helse- og omsorgstjenesten Revideres årlig internt i tjenesten.25 Vi har nå gjennomgått sentralt lovverk på personvernområdet. Videre har vi redegjort for Hedmark fylkeskommunes oppgave- og ansvarsområder i forbindelse med personvern. Før vi vurderer hvilke temaer vi mener har høyest risiko og vesentlighet, og som dermed bør 24 25 Forvaltningsrevisjon 2014 «Styring av IKT-satsningen i Hedmark fylkeskommune», s. 35 Presentasjon 10. februar 2015 HEDMARK REVISJON IKS • • Side 16 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 omfattes av revisjonen, vil vi se på et annet tema som vi også vurderer som vesentlig for en revisjon på området. 5 Mulig emne: Drift av IKT i fylkeskommunen IKT-sikkerhet er et begrep som i lovmessig forstand dekker over vern om personopplysninger. Dette har vi nettopp beskrevet. I dagligdags tale har vi nok en bredere forståelse av begrepet IKT-sikkerhet, og det vil inkludere sikkerhet i forbindelse med fylkeskommunens IT-løsninger. Vi må sikre IT-løsningene slik at vi unngår systemsammenbrudd, herunder at vi sikrer oss mot katastrofer, og at vi sikrer forsvarlig tilgangsstyring til systemene og de potensielt fortrolige opplysningene som ligger der. Arbeidsplasser i dag er digitale. Alle elever får i dag utlevert computer og medarbeidere i fylkeskommunen arbeider digitalt. Driftssikkerhet er en vesentlig forutsetning for en effektiv arbeids- og skoledag. I forvaltningsrevisjonsrapporten «Styring av IKT satsningen» som ble utarbeidet i høsten 2014 ble det ikke skrevet om drift. Med bakgrunn i dette ser vi en relevans i at en revisjon også ser på dette området. Fylkeskommunens drift I dokumentet «Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune» (utkast) beskriver fylkeskommunen at sentral infrastruktur er IKT avdelingens ansvar. I sentral infrastruktur ligger sentralt serverrom, bredbåndslinjer, brannmurer og felles lisensavtaler. Lokal infrastruktur er den enkelte enhet/virksomhet sitt ansvar, og omfatter lokalt nettverk, pc’er, skrivere og mobile enheter. Som vi var inne på i Kapittel 4.1 hadde fylkeskommunen våren 2013 i alt 10 konsernsystemer og 27 fagsystemer som skal driftes, vedlikeholdes og utvikles. IKT-enheten holder til i fylkeshuset og har 11 ansatte pluss lærlinger. Den daglige driften omfatter: Ca 50 fysiske servere Ca 150 virtuelle servere Ca 70 brannmurer Ca 95 switcher Ca 700 trådløse aksesspunkter Ca 500 PC-er og tynnklienter Dessuten beskrives det at IT-plattformen har følgende hovedelementer: - Sentral infrastruktur med sentralt serverrom, bredbåndslinjer, brannmur og lisensavtaler Lokal infrastruktur med lokale nettverk, PC’er, mobile enheter samt perifèrutstyr Konsernsystemer; systemer som brukes på tvers i organisasjonen, uavhengig av fagområde. Fagsystemer, eksempelvis skolesystemer og tannhelsesystemer. HEDMARK REVISJON IKS - Side 17 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 IKT sin servicedesk yter 1. og 2. linje brukerstøtte til sentraladministrasjonen, regionkontorene og tannklinikkene, samt 2. linje brukerstøtte til de videregående skolene. Servicedesken er IKTs kontaktflate mot brukere og leverandører og behandler 6500 saker i året. Desken tar i mot og behandler feilmeldinger, drifts-problemer, brukerspørsmål, endringsønsker, samt bestillinger, jf. kapittel 4.1 Organisering av IKT-området. Servicedesken er til en hver tid bemannet med minimum to ansatte. Henvendelser rettes til 44300@hedmark.org. Relevant regelverk Hvordan man drifter IT-området er ikke hjemlet i et samlet lov- eller regelverk. Derfor må vi overveie hvilke anerkjente, internasjonale standarder det kan være relevant å bruke. ISACA er en non-profit organisasjon som er en verdensomspennende forening for IT-styring, sikkerhet, kontroll og revisjon av informasjonsteknologi. ISACA Norge har utgitt heftet Grunnleggende retningslinjer for god IT-skikk som er gir en oversikt over hva som oppfattes som god IT-skikk på utvalgte områder. COBIT er en forkortelse for Control Objectives for Information and related Technology som er utviklet av ISACA. Dette er et fullstendig, internasjonalt akseptert prosessrammeverk for bruk til kvalitetssikring og revisjon av IT-prosjekter. Ser vi under COBITs avsnitt Driftleveranse og støtte nevnes 13 punkter for å sikre driften; definere og styre servicenivået, styre tjenester fra eksterne it-leverandører, styring av ytelse og kapasitet, sikre kontinuerlig service/kriseplanlegging, sikre systemsikkerhet, identifisere og fordele kostnader, brukeropplæring, mottak for behandling av hendelser, håndtering av problemer og hendelser, håndtering av data, fysiske omgivelser, styring av driften. Det vil avhenge av en nærmere vurdering om en forvaltningsrevisjon skal se på alle punktene her eller velge ut aktuelle temaer. Disse kan eventuelt ta utgangspunkt i fylkeskommunens målsetninger for informasjonssikkerhet. Her skriver fylkeskommunen at hovedmålsettingen med bruk av informasjonsteknologi er å gjøre Hedmark fylkeskommune til en moderne og effektiv organisasjon og tjenesteprodusent. Fylkeskommunen skal være en attraktiv arbeidsgiver med gode, sikre og brukervennlige ITsystemer. Delmålene for å oppnå dette er: HEDMARK REVISJON IKS Fylkeskommunens målsetninger Hedmark fylkeskommune er i skrivende stund i ferd med å utarbeide dokumentet Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune. I fylkeskommunens presentasjon i kontrollutvalget 10. februar 2015 fikk vi presentert utkastet til dette dokumentet. Kapittel 8 handler om Informasjonssikkerhet og informasjonsteknologi. Side 18 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 1. 2. 3. 4. Oppdatert sentral infrastruktur Oppdaterte IT-systemer Tilfredse brukere Oppdatert og hensiktsmessig IT-plattform Oppfølging av delmål skjer som ledd i virksomhetsstyringen gjennom tertial- og årsrapporteringen. Sentrale parametere er: - Beskrivelse av status/tilstand og gjennomførte tiltak siste år på sentral IT-infrastruktur og bredbåndslinjer Beskrivelse av status/tilstand på avdelingenes/enhetenes IT-utstyr i fylkeshuset – årlig rapportering Andel ansatte i fylkeshuset med kun 1 PC Andel PCer i fylkeshuset med alder 0-4 år Tilfredshet med servicedesk, målt gjennom årlig brukerundersøkelse Antall større feilsituasjoner Beskrivelse av digitaliseringsstatus i HFK og gjennomførte digitaliseringstiltak siste år med bistand fra IKT HEDMARK REVISJON IKS En forvaltningsrevisjon kan ta utgangspunkt i en vurdering av hvordan disse delmålene nås. Vi vil understreke at Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune ennå er i utkastform og revisjonen må avklare en endelig godkjennelse før den kan anvendes som kriteriegrunnlag i en revisjon. Side 19 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 6 Revisors vurdering og anbefaling 6.1 IKT-sikkerhet og drift – vurdering av risiko og vesentlighet I denne foranalysen har vi fokusert oss inn mot to problemstillinger; IKT-sikkerhet og drift. IKT-sikkerhet Det er en generell samfunnstendens at mer informasjon lagres og deles. Hvor oppmerksomme er vi på å sikre personopplysninger? Hvor gode er rutinene rundt dette? Og hvor gode er fylkeskommunens ansatte til å praktisere disse rutinene slik at uvedkommende ikke får tilgang til opplysninger de ikke skal ha? Vi vurderer for det første at det er risiko og vesentlighet forbunnet med Hedmark fylkeskommunes generelle arbeidsgiveransvar. Det er litt over 2000 ansatte i Hedmark fylkeskommune. For å kunne utføre sin funksjon som arbeidsgiver har Hedmark fylkeskommune behov for en rekke opplysninger om den ansatte. Fylkeskommunen må bruke kontonummer for å utbetale lønn, adresse for å sende brev, og personnummer for å identifisere personen. Avanserte systemer om de ansatte kan dessuten inneholde alt fra CV og opplysninger om sertifikater, fravær, sykdom, opplysninger om bidragstrekk og påleggstrekk fra myndigheter osv. Det kan være krenkende hvis uvedkommende får adgang til disse informasjonene. Etter vår vurdering kan det derfor være sentralt for en forvaltningsrevisjon å se på rutiner og praksis for de medarbeidere som håndterer og har adgang til personal- og lønnområdet i fylkeskommunen, og på de enhetene og virksomhetene fylkeskommunen har ansvar for. Personopplysningene er sentrale i forhold til identitetstyveri som omtalt i innledningen. Samtidig handler det også om at forvaltningen må ha en ryddig og ordentlig måte å håndtere sine ansattes opplysninger på. Det handler om forvaltningens omdømme som kan være vanskelig å gjenreise hvis det først har vært et tillitsbrudd. Dette er en krevende oppgave i lys av at det er 14 ulike skoler som arbeider i mange ulike systemer. Det setter krav om gode rutiner, god informasjonssikkerhet og en gjennomtenkt holdning til hvordan personopplysninger skal behandles. 26 Datatilsynets artikkel: «Store utfordringer for personvernet i skole og barnehage», 2. juli 2014 HEDMARK REVISJON IKS Videre er det vår vurdering at det er vesentlig å sikre personvernsopplysninger i de videregående skoler. Det er fylkeskommunen som skoleeier som har ansvaret for å sikre personvern i skolene.26 Fra et personvernperspektiv er det viktig at skoleeieren har en klar formening om hva personopplysninger er. Det er skoleeierens plikt å ha oversikt over personopplysningene. Skoleeieren skal vite hvorfor de enkelte opplysningene lagres, hvem som skal ha tilgang til dem, hvor lenge de skal lagres og så videre. Side 20 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 Risikoen er særlig stor for sårbare barn og unge. Det kan være barn og unge som har fysiske eller psykiske helseproblemer, barn og unge med diagnoser og/eller er medisinert, barn med adferdsvanskeligheter og andre utfordringer. Dette er barn som er særlig følsomme overfor deling av deres personopplysninger. Hvis uvedkommende lærer får tak i informasjon som han/hun ikke har rett til, kan dette føre til stigmatisering av barnet/ungdommen i undervisningen. Hvis andre elever får tak i slike opplysninger, kan det føre til tap av omdømme i vennegruppen, det vil føles krenkende og vil være et brudd på personvernlovgivningen. Omvendt er det fare for at fylkeskommunen og skolene fokuserer så mye på konfidensialitet (at ingen ser opplysningene) at det minsker tilgjengeligheten (adgangen til opplysningene). Det var et av funnene i et studie som Datatilsynet gjennomførte i et utvalg barnehager og skoler, som nevnt tidligere. Studiet avslørte også tilfeller hvor skoleeieren ikke hadde kjennskap til personvern og dermed heller ikke hadde utarbeidet retningslinjer for, eller gitt opplæring i, håndtering av personfølsomme opplysninger. Datatilsynets reiste en rekke problemstillinger som også kan knytte seg til de videregående skoler. Det handler blant annet om å ha oversikt over skolens/barnehagens behandlinger av personopplysninger, sørge for innhenting av samtykke når det er nødvendig, sørge for at innsyn blir håndtert på riktig måte, sørge for å ha slette- og/eller arkivrutiner med videre. I lys av at det vil komme et nytt skoleadministrativt system vil det kanskje være mest relevant å se på rutiner og praksis rundt systemene på skoleområdet og ikke på systemene i seg selv. Vi vurderer samtidig at det er mindre risiko og vesentlighet knyttet til tannhelsetjenesten, enn for de to andre områdene (de ansatte og elevene). Tannhelsetjenestens informasjon er sensitive, meldepliktige opplysninger, men de behandles allerede i en «lukket sone», hvor det er ekstra it sikkerhet. Det er opplyst at tjenesten følger Norm for informasjonssikkerhet i Helsetjenesten. Samtidig er det et mindre fagområde som i seg selv ikke er forbunnet med like stor fare for identitetstyveri og omdømmetap. Selv om det er 20 tannhelseklinikker så skal de håndtere personopplysninger i to registre. For både de ansatte og elever på videregående skoler er det en risiko forbunnet med at personopplysninger kan finnes i opp til 6-10 forskjellige registre. En annen side av den økte digitaliseringen, er at vi er avhengig av driftssikkerhet i vår hverdag. Uansett om det er i forbindelse med en eventuell katastrofe eller at IT-løsningen fungerer som den skal, så vil det være risiko for at ting ikke fungerer og det kan utgjøre en vesentlig kostnad i form av tapt utført arbeid. Vi så i forrige revisjonsgjennomgang at fylkeskommunen har en stor oppgaveportefølje i forbindelse med drift av fylkets IT-løsninger med 10 konsernsystemer og 27 fagsystemer som skal driftes, vedlikeholdes og utvikles, det er ca. 50 fysiske servere, ca. 150 virtuelle servere, ca. 70 brannmurer, ca. 95 switcher, ca. 700 trådløse aksesspunkter og HEDMARK REVISJON IKS Drift Side 21 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 ca. 500 PC-er og tynnklienter. Dette suppleres av at mange ansatte/brukere som henvender seg (6500 henvendelser årlig). Det relevante spørsmål her er om fylkeskommunen har en god beredskap dersom det skulle inntreffe en katastrofe, og om man har gode sikkerhetsrutiner, adgangsstyring til annen sensitiv informasjon, gode rutiner for implementering av nye systemer og om brukerne er tilfreds med driften. I forhold til drift kan det være relevant å avdekke om det er driftsområder som ikke fungerer og som skaper problemer i forhold til ansatte og elevenes hverdag. 6.2 Anbefaling Formålet med prosjektet er å vurdere fylkeskommunens systematisk tilnærming til IKTsikkerhet og drift. Med bakgrunn i den gjennomførte foranalysen anbefaler vi følgende to overordnede problemstillinger: 1. I hvilken grad har fylkeskommunen tilfredsstillende retningslinjer og rutiner for å sikre personopplysningers konfidensialitet, integritet og tilgjengelighet?, herunder: personopplysninger for fylkeskommunens ansatte som helhet elevenes personopplysninger på skolene 2. Har fylkeskommunen betryggende systemer for kontroll med drift og vedlikehold av IKT-tjenester? Med eventuell tilføyelse av følgende problemstilling: 3. Hvordan følges retningslinjer og rutiner opp i praksis? Ovenstående problemstillinger er overordnede, og det tas forbehold om at det kan bli aktuelt med endringer i første del av en forvaltningsrevisjon. 6.3 Gjennomføring og timeforbruk Det kan gjennomføres en revisjon som har sitt hovedfokus på å gå igjennom retningslinjer og rutiner for IKT-sikkerhet, drift og vedlikehold via dokumentstudier og med intervju (inntil 5 - 7 intervjuer). Det vil svare til problemstilling 1+2 over. I dette scenarioet forventer vi at besvarelsen av problemstillingene vil ha en ramme på 400 timer. Timetallet vil komme på dette nivået fordi det er en rekke forskjelligartede krav i Personopplysningsloven med tilhørende forskrifter som er omfattet. Hvis man eksempelvis skal se på databehandleravtaler, så må man se på alle avtaler som fylkeskommunen har inngått. Det samme gjelder for rutinene for drift. De er mange og fylkeskommunen har et stort driftsansvar med mange komponenter og mange ansatte. HEDMARK REVISJON IKS Med bakgrunn i ovenstående er det mulig med to alternative innfallsvinkler for en revisjon på området. Side 22 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 Den andre innfallsvinkelen er at revisjonen suppleres med problemstilling 3 som handler om IKT-sikkerhets- og driftsrutiner i praksis. I vurderingen av hvordan praksis er i fylkeskommunen vil det være relevant å velge ut nedslagsområder hvor det vurderes å være stor risiko og vesentlighet. Dette kan blant annet inkludere: 1. sentrale medarbeidernes opplevelse og bruk av rutinene i forhold til personopplysninger i fylkeskommunen og på de videregående skolene og, 2. brukernes opplevelse av drift og vedlikehold. Dette vil involvere spørreskjemaundersøkelse(r) og en mer omfattende intervjurunde av nøkkelmedarbeidere. For de ansatte kan det for eksempel være relevant å intervjue de som jobber med HR, lønn, IT. Det kan være relevant å undersøke de største problemområdene innen driften av it og spørre en utvalgt gruppe personer hvordan problemene blir håndtert i praksis. Samtidig er det mulig å spørre en større gruppe av ansatte og elever hvordan de håndterer personopplysninger. I dette scenarioet forventer vi en ramme på 550 timer. Spørreskjema og flere intervju Estimat antall timer (innfallsvinket 2) – økt antall intervjuer/undersøkelser Estimert antall timer 25 t. 50 t. 70 t 70 t. 70 t. 30 t. 15 t. 20 t. 50 t. 400 t 150 t. 550 t Sammensetningen av prosjektgruppen vil bli fastsatt i tilknytning til fremleggelse av prosjektplan / første fase av prosjektet. Vi ser for oss at prosjektet kan planlegges og startes opp i april 2015, med beregnet avslutning innen 31.12.2015. HEDMARK REVISJON IKS Aktivitet Planlegging, utarbeidelse av oppstartsbrev, forberedelse og møte med kontaktperson. Skriftlig utarbeidelse av rapportens innledning, formål, problemstillinger, avgrensning, metode samt utledning av revisjonskriterier Intervjuer(inntil 7 stk) Dokumentanalyse Rapportskrivning, funn, vurderinger og anbefalinger Kvalitetssikring Høring av rapport hos fylkesrådet (inkl. avklarende møte) Forberedelse og behandling i KU Uforutsett Estimat antall timer (innfallsvinkel 1) Side 23 Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune 2015 HEDMARK REVISJON IKS Mulige kilder til revisjonskriterier Lov om behandling av personopplysninger, nr. 31 av 14.04.00 (personopplysningsloven). Forskrift om behandling av personopplysninger, nr. 1265 av 15.12.00 (personopplysningsforskriften). Lov om kommuner og fylkeskommuner, nr. 107 av 25.09 1992 (kommuneloven). En veiledning om internkontroll og informasjonssikkerhet. Datatilsynet 2009. ISACA: Grunnleggende retningslinjer for god IT-skikk UTKAST – Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune, 27. februar 2014, kap. 8 om Informasjonssikkerhet Reglement for bruk av Hedmark fylkeskommunes IT-løsninger IT-reglement for elever i videregående skole i Hedmark fylkeskommune Andre relevante kilder Side 24