Kompetansen på området som kommunen har tilgang til, benyttes ikke i utstrakt grad i forbindelse med anskaffelsene. Dette slår Revisjon Øst IKS fast i en forvaltningsrevisjon som gjelder Grue kommune og IKT-anskaffelser der. Og revisjonen kritiserer sikkerhetskravene som stilles til potensielle leverandører i mange av anskaffelsesprosessene. De er lite systematiske, heter det, og kommunens oversikt over egne avtaler er mangelfull.
Grue kommune har om lag 4500 innbygger og ligger i Innlandet fylke. Sammen med Hamar, Stange, Kongsvinger, Sør-Odal, Løten, Nord-Odal, Våler og Åsnes eier kommunen Indigo IKT. Det er et interkommunalt IKT-selskap som drifter, forvalter og utvikler løsninger for de 9 kommunene.
Benytter ikke tilgjengelig kompetanse nok
Blant spørsmålene som revisjonen skulle ta fatt i, var om Grue kommune har rutiner og praksis ved anskaffelse av IKT-tjenester som sørger for betryggende sikkerhet for kommunens digitale informasjonsverdier.
Det fremgår av undersøkelses-resultatene som finnes i rapporten «Data- og informasjonssikkerhet i Grue kommune» at kommunen har gode rutiner for anskaffelse av IKT-tjenester. Samtidig, heter det, viser undersøkelsen at praksisen ikke alltid samsvarer med rutinene, og at kompetansen på området som kommunen har tilgang til, ikke benyttes i utstrakt grad i forbindelse med anskaffelsene.
Akseptable risikogrenser
Revisjonen skriver at de mener at kommunen i større grad bør bruke kompetansen de har tilgang til gjennom Indigo-samarbeidet med hensyn til anskaffelser av IKT-tjenester og IKT-produkter.
Kommunen har, etter det revisjonen har sett, fastsatt akseptable grenser for risiko med tilhørende risikoreduserende tiltak knyttet til IKT. Kommunen har dessuten kartlagt alle klienter og all programvare i sitt nettverk, samt kartlagt ansvar og roller for IKT-sikkerhet. Kommunen har også sikkerhetsprosedyrer for anskaffelser av IKT-tjenester gjennom Indigo-samarbeidet.
Lite systematiske sikkerhetskrav
Men: Undersøkelsen viser samtidig at Grue kommunes gjennomførte anskaffelser av IKT-tjenester i perioden 2020-2025 på flere områder ikke er tilfredsstillende. Sikkerhetskravene som stilles til potensielle leverandører i mange av anskaffelsesprosessene er lite systematiske og kommunens oversikt over egne avtaler er mangelfull.
Revisjonen vurderer det derfor at kommunen i større grad bør benytte seg av kompetansen til Indigo IKT på området. Konklusjonen er at Grue kommune ikke på alle områder i tilstrekkelig grad har rutiner og praksis ved anskaffelse av IKT-tjenester som sørger for betryggende sikkerhet for kommunens digitale informasjonsverdier.
Et par anbefalinger
Når det gjelder anskaffelser av IKT-tjenester anbefaler revisjonen at kommunedirektøren bør sikre at kommunen overholder rutiner og prosedyrer for anskaffelser utarbeidet i Indigosamarbeidet. Likeledes sørger for at kommunen i større grad involverer Indigo IKT i IKT-anskaffelser.
Bli den første til å kommentere på "Revisjons-kritikk: Lite systematiske sikkerhetskrav til IKT-leverandører"