Revisor var ikke sikker på hvilken rutine IKT-avdelingen hadde i å vurdere selve programvaren. Det fremgår av rapporten fra en forvaltningsrevisjon utført for Vefsn kommune. Dermed kunne ikke revisor svare 100% på om sikkerheten blir ivaretatt av kommunens anskaffelse- og utviklingsprosesser.
Revisjon Midt-Norge har gjennomført en forvaltningsrevisjon på oppdrag av Vefsn kommune – Nordlands-kommunen med litt i overkant av 13 000 innbyggere – om «Beredskap og informasjonssikkerhet».
Et av revisjonskriteriene var: Kommunen bør ivareta sikkerhet i anskaffelses- og utviklingsprosesser. Revisor vurderer kriteriet som delvis oppfylt.
Hva med selve programvaren?
Slik revisor ser det, har kommunen har en praksis hvor det er bestiller av systemet (systemansvarlige) som er ansvarlig for å følge opp systemet – at det blir utarbeidet en databehandleravtale og risiko- og sårbarhetsanalyse. Kommunen kvalitetssikrer arbeidet gjennom at personvernombudet leser gjennom og kommer med innspill på databehandleravtale, samt at IKT-avdelingen er påkoblet i prosessen.
Revisor er imidlertid ikke sikker på hvilken rutine IKT-avdelingen har i å vurdere selve programvaren. Nasjonal sikkerhetsmyndighet (NSM) har som grunnprinsipp at det å ivareta sikkerhet i anskaffelsesprosesser handler om at dersom det anskaffes IKT-produkter og tjenester som har svak sikkerhet eller som ikke er integrert med kommunens øvrige arkitektur og eksisterende produkter, kan dette øke sårbarheten og redusere sikkerhetsnivåene i IKT-systemet.
Minimere risiko
Målet med prinsippet er å minimere risiko for at nye IKT-produkter og IKT-tjenester innfører konfigurasjonsmessige og arkitekturmessige sårbarheter.
Bli den første til å kommentere på "Revisor kunne ikke bekrefte at sikkerhet i kommunens anskaffelser ble 100% ivaretatt"