Da Haugesund kommune invitere KPMG til å sjekke kommunens status når det gjelder IT-sikkerhet, fikk de 10 forbedringspunkter. Blant disse også når det gjaldt anskaffelse av nye systemer, der det heter at det bør komme tydeligere frem når IKT-enheten skal inngå ved anskaffelser av nye. Dette må kommuniseres ut til de ulike tjenesteområdene. Samtidig påpeker KPMG at det kan være hensiktsmessig å begynne med å gjennomføre risikovurderinger ut over personvern i visse anskaffelser.
Det er positivt at krav til IT-sikkerhet har blitt inkludert i hele livsløpet fra anskaffelse til avhending i forespørsler til IT-leverandører, heter det i rapporten. KPMG konstaterer at det er etablert i kommunen at IKT-enheten skal involveres i anskaffelser av IKT- produkter og tjenester. Samtidig er det et forbedringspotensial i at disse kravene og IKT-enhetens involvering i IKT-anskaffelser kunne vært tydeliggjort i rutiner for anskaffelser.
Risikovurderinger
Det er formalisert visse krav til å ivareta sikkerhet ved avhending av utstyr i kommunens sikkerhetsmål og -strategi. Av rapporten fremgår det også at gjennomføring av DPIA (vurdering av personvernkonsekvenser) ved anskaffelser er etablert. Det kan være hensiktsmessig å gjennomføre risikovurderinger utover DPIA ved visse anskaffelser, heter det. KPMG er ikke blitt gjort kjent med at gjennomføring av slike risikovurderinger gjennomføres i dag.
Av oversendt dokumentasjon, heter det i rapporten, fremgår det at det alltid skal gjøres en vurdering av behov for gjennomføring av DPIA før nye systemer anskaffes. I intervjuene framstår det for KPMG imidlertid som uklart hvilke andre risikovurderinger som gjennomføres i anskaffelsesprosesser.
Etablere rutiner
Det er gitt tilbakemelding om at det er varierende hvor langt de ulike tjenesteområdene har kommet i forbindelse med gjennomføring av DPIA. Det er identifisert et behov for å etablere rutiner for å fange opp denne problematikken, og det henvises blant annet til at et IKT-reglement eller innkjøpsreglement kan være gode alternativer.
I økonomireglementet for kommunen står det at det skal foreligge rutiner for innkjøp, samt at relevante fagpersoner skal trekkes inn i utarbeidelse av konkurransedokumenter for å oppnå best mulig resultat i anskaffelsesprosessen. Det henvises ikke eksplisitt til at aktuelle fagpersoner skal trekkes inn ved anskaffelsesprosesser, og det uttrykkes i intervju at det har vært noe varierende praksis knyttet til om IKT blir involvert ved anskaffelser av nye systemer. IKT-enheten påpeker også selv at de har uttrykt et sterkt ønske om å være delaktig i alle anskaffelser, selv om disse håndteres av innkjøpsavdelingen.
Kassering av gammelt utstyr
Det er ikke etablert en egen rutine for kassering av gammelt utstyr, men i intervjuene framgår det at krav til sikker avhending av datautstyr er inkludert i anskaffelsesprosesser og innkjøpsavtaler ved at kommunen stiller krav til sine leverandører. Et av tildelingskriteriene omhandler IT-sikkerhet i forbindelse med innsamling av utstyr og sletting av data. Det andre omhandler i større grad de miljømessige aspektene ved kassering, og IT- sikkerhet er tilstrekkelig dekket gjennom det første kriteriet. Dette fordrer, slår KPMG fast, imidlertid at kommunen aktivt vektlegger og vurderer dette tildelingskriteriet ved anskaffelser.
Bli den første til å kommentere på "Fikk sjekket IKT-sikkerheten sin, resultatet ble 10 forbedringspunkter"