Beredskapen ved brudd på informasjonssikkerhet til Rogalands-kommunen Sola fikk godkjent av revisjonen. Ett og annet å sette fingeren på, men inntrykket er, heter det i revisjonsrapporten, at kommunen har en godt utviklet beredskapsorganisasjon på overordnet nivå. Men det er usikkerhet om det føres tilsyn med databehandleravtalene ute i organisasjonen. Dette dreier seg om leverandørens praksis og skal sikre at disse følger avtalte sikkerhetsstandarder. Kommunen har et tresifret antall databehandleravtaler.
Rogaland Revisjon har gjennomført en forvaltningsrevisjon av beredskapsarbeidet i Sola kommune – en Rogalandskommune med godt 28 000 innbyggere.. Årlig gjennomføres både skrivebords- og praktiske øvelser på overordnet nivå.
Viktig å ha kontroll
I revisjonsrapporten kan vi lese at det i intervju fremheves at for å hindre brudd på informasjonssikkerhet, er det viktig å ha kontroll med kjøp av IT-tjenester. Hovedregelen er at den enkelte virksomhet, eksempelvis en barnehage eller skole, skal ta kontakt med IT-avdelingen før de går til anskaffelse av en IT-tjeneste. For å ha kontroll på anskaffelser, er virksomheten pålagt å sende en endringsmelding til IT-avdelingen før tjenesten tas i bruk.
IT-avdelingen forteller også at det generelle inntrykket er at de ansatte er blitt flinkere til å ta kontakt på et tidlig stadium av en anskaffelsesprosess
Databehandleravtale
For å sikre innkjøpene har skolene inngått en felles rammeavtale med nabokommunene Randaberg, Sandnes og Stavanger. Avtalene innebærer at alle innkjøp og digitale lisenser skjer via denne. I henhold til Sola kommunes interne rutiner skal det kalles inn til et ad-hoc endringsråd ved større endringer.
Det presiseres det at kravet om å inngå en databehandleravtale avhenger av hvilken type informasjon datasystemet skal behandle. Hovedregelen er at en slik avtale inngås dersom det dreier seg om en IT-tjeneste som skal behandle personopplysninger.
Føre tilsyn
Databehandleravtalene utgjør et tresifret antall, og disse gjelder for ulike systemer, applikasjoner og verktøy. Gjennom databehandleravtalene har kommunen mulighet til å føre tilsyn med leverandørens praksis og sikre at disse følger avtalte sikkerhetsstandarder. Fra Kontrakts- og anskaffelsesteamet får revisjonen opplyst at de sørger for nødvendig tilsyn overfor de anskaffelsene de er involvert i, men at de er usikre på om den enkelte leder for tjenesteområdet utfører tilsyn.
Bli den første til å kommentere på "Revisjon: Godkjent beredskap, men en aldri så liten tilsyns-usikkerhet"