Fikk sjekket IKT-sikkerheten sin, resultatet ble 10 forbedringspunkter

Anbud365: Fikk sjekket IKT-sikkerheten sin, resultatet ble 10 forbedringspunkterHaugesund fikk gjennomført en forvaltningsrevisjon rettet mot IK-sikker. På bildet - ordfører Arne-Christian Mohn (foto: Håkon Nordvik).

Skriv ut artikkelen

Da Haugesund kommune invitere KPMG til å sjekke kommunens status når det gjelder IT-sikkerhet, fikk de 10 forbedringspunkter. Blant disse også når det gjaldt anskaffelse av nye systemer, der det heter at det bør komme tydeligere frem når IKT-enheten skal inngå ved anskaffelser av nye. Dette må kommuniseres ut til de ulike tjenesteområdene. Samtidig påpeker KPMG at det kan være hensiktsmessig å begynne med å gjennomføre risikovurderinger ut over personvern i visse anskaffelser.

Etter vedtak i kontrollutvalget i Haugesund kommune gjennomførte KPMG en forvaltningsrevisjon rettet mot IT-sikkerhet. Formålet med revisjonen har vært å kartlegge rutiner, prosedyrer og rammer for arbeidet med IT-sikkerhet i kommunen.

Det er positivt at krav til IT-sikkerhet har blitt inkludert i hele livsløpet fra anskaffelse til avhending i forespørsler til IT-leverandører, heter det i rapporten. KPMG konstaterer at det er etablert i kommunen at IKT-enheten skal involveres i anskaffelser av IKT- produkter og tjenester. Samtidig er det et forbedringspotensial i at disse kravene og IKT-enhetens involvering i IKT-anskaffelser kunne vært tydeliggjort i rutiner for anskaffelser.

Risikovurderinger

Det er formalisert visse krav til å ivareta sikkerhet ved avhending av utstyr i kommunens sikkerhetsmål og -strategi. Av rapporten fremgår det også at gjennomføring av DPIA (vurdering av personvernkonsekvenser) ved anskaffelser er etablert. Det kan være hensiktsmessig å gjennomføre risikovurderinger utover DPIA ved visse anskaffelser, heter det. KPMG er ikke blitt gjort kjent med at gjennomføring av slike risikovurderinger gjennomføres i dag.

Av oversendt dokumentasjon, heter det i rapporten, fremgår det at det alltid skal gjøres en vurdering av behov for gjennomføring av DPIA før nye systemer anskaffes. I intervjuene framstår det for KPMG imidlertid som uklart hvilke andre risikovurderinger som gjennomføres i anskaffelsesprosesser.

Etablere rutiner

Det er gitt tilbakemelding om at det er varierende hvor langt de ulike tjenesteområdene har kommet i forbindelse med gjennomføring av DPIA. Det er identifisert et behov for å etablere rutiner for å fange opp denne problematikken, og det henvises blant annet til at et IKT-reglement eller innkjøpsreglement kan være gode alternativer.

I økonomireglementet for kommunen står det at det skal foreligge rutiner for innkjøp, samt at relevante fagpersoner skal trekkes inn i utarbeidelse av konkurransedokumenter for å oppnå best mulig resultat i anskaffelsesprosessen. Det henvises ikke eksplisitt til at aktuelle fagpersoner skal trekkes inn ved anskaffelsesprosesser, og det uttrykkes i intervju at det har vært noe varierende praksis knyttet til om IKT blir involvert ved anskaffelser av nye systemer. IKT-enheten påpeker også selv at de har uttrykt et sterkt ønske om å være delaktig i alle anskaffelser, selv om disse håndteres av innkjøpsavdelingen.

Kassering av gammelt utstyr

Det er ikke etablert en egen rutine for kassering av gammelt utstyr, men i intervjuene framgår det at krav til sikker avhending av datautstyr er inkludert i anskaffelsesprosesser og innkjøpsavtaler ved at kommunen stiller krav til sine leverandører. Et av tildelingskriteriene omhandler IT-sikkerhet i forbindelse med innsamling av utstyr og sletting av data. Det andre omhandler i større grad de miljømessige aspektene ved kassering, og IT- sikkerhet er tilstrekkelig dekket gjennom det første kriteriet. Dette fordrer, slår KPMG fast, imidlertid at kommunen aktivt vektlegger og vurderer dette tildelingskriteriet ved anskaffelser.

Bli den første til å kommentere på "Fikk sjekket IKT-sikkerheten sin, resultatet ble 10 forbedringspunkter"

Legg inn kommentar

Epostadressen din vil ikke vises.


*


Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.