Foranalyse - IKT-sikkerhet og drift i Hedmark fylkeskommune

Foranalyse 2014
Utarbeidet av Hedmark Revisjon IKS
på oppdrag fra kontrollutvalget i Hedmark
fylkeskommune
Foranalyse
IKT-sikkerhet og drift i Hedmark fylkeskommune
Postboks 84, 2341 Løten
Telefon: 62 43 58 00
www.hedmark-revisjon.no
E-post: post@hedmark-revisjon.no
Org.nr: 974 644 576 MVA
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
1 SAMMENDRAG
3
2 BESTILLING
3
2.1
4
FORMÅL MED FORANALYSE – OPPBYGGING AV RAPPORTEN
3 IKT-SIKKERHETENS AKTUALITET, SENTRALE BEGREPER OG LOVVERK
5
3.1
AKTUALITET
5
3.2
HVA ER PERSONLIGE OPPLYSNINGER, PERSONVERN OG IKT-SIKKERHET?
6
3.3
LOV OG FORSKRIFT
7
3.4
KS DIGITALISERINGSSTRATEGI OG KOMMIT
9
4 IKT-SIKKERHET I HEDMARK FYLKESKOMMUNE
9
4.1
ORGANISERING AV IKT-OMRÅDET
9
4.2
REGLEMENTER OG RETNINGSLINJER I FYLKESKOMMUNEN
11
4.3
REGISTRE MED PERSONOPPLYSNINGER
12
5 MULIG EMNE: DRIFT AV IKT I FYLKESKOMMUNEN
17
6 REVISORS VURDERING OG ANBEFALING
20
6.1
IKT-SIKKERHET OG DRIFT – VURDERING AV RISIKO OG VESENTLIGHET
20
6.2
ANBEFALING
22
6.3
GJENNOMFØRING OG TIMEFORBRUK
22
Forsidebilde: Image “Hand On Keyboard” courtesy of phanlop88 at FreeDigitalPhotos.net.
HEDMARK REVISJON IKS
Innhold
Side
2
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
1 Sammendrag
I denne foranalysen har vi sett på IKT-sikkerhet i Hedmark fylkeskommune samt på driften av
IKT-løsninger i fylkeskommunen.
Vi anbefaler en revisjon som vurderer om fylkeskommunen har en systematisk tilnærming til
IKT-sikkerhet og drift. Det leder til at vi anbefaler to overordnede problemstillinger:
1. I hvilken grad har fylkeskommunen tilfredsstillende retningslinjer og rutiner for å sikre
personopplysningers konfidensialitet, integritet og tilgjengelighet?, herunder:
 personopplysninger for fylkeskommunens ansatte som helhet
 elevenes personopplysninger på skolene
2. Har fylkeskommunen betryggende systemer for kontroll med drift og vedlikehold av
IKT-tjenester?
Med eventuell tilføyelse av følgende problemstilling:
3. Hvordan følges retningslinjer og rutiner opp i praksis?
Vi har innhentet informasjon via:
-
Presentasjon ved møte i Kontrollutvalget 10. februar 2015
Diverse regler og retningslinjer i fylkeskommunen
Diverse lover, regler og standarder for it-sikkerhet
Forvaltningsrevisjonsrapport «Styring av IKT-satsningen i Hedmark fylkeskommune»
med tilhørende datainnsamling
Relevante samfunnsundersøkelser
2 Bestilling
Høsten 2014 hadde kontrollutvalget gått gjennom de fleste temaene som ble trukket frem
som aktuelle forvaltningsrevisjonsprosjekter i plan for forvaltningsrevisjon for perioden. På
denne bakgrunn ble det utarbeidet en liste over relevante temaer for forvaltningsrevisjon i
perioden 2015/16. Kontrollutvalget valgte ut tre temaer fra listen som det ønsket å få belyst i
en foranalyse hvilket ses av følgende vedtak 18. november 2014 i sak nr. 27/14:
HEDMARK REVISJON IKS
I henhold til kommuneloven § 77 fjerde ledd skal kontrollutvalget påse at det blir gjennomført
forvaltningsrevisjon i kommunen/fylkeskommunen.
Side
3
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
Kontrollutvalget prioriterer følgende tema for forvaltningsrevisjon i perioden 2015-2016:
1. Utleie av bygninger og idrettshaller i regi av fylkeskommunen (omfang, prissetting, habilitet)
2. IKT-sikkerhet
3. Hvordan jobber fylkeskommunen som næringsutviklingsaktør?
Kontrollutvalget bestiller foranalyse fra Hedmark Revisjon IKS om de prioriterte temaene til de første
møtene i 2015, og kontrollutvalget ber sekretariatet sørge for orienteringer fra administrasjonen på
temaene.
Høsten 2014 ble forvaltningsrevisjonsprosjektet «Styring av IKT-satsningen i Hedmark
fylkeskommune» levert til Kontrollutvalget. Prosjektet hadde en overordnet og generell
synsvinkel, og har konsentrert seg om strategi, ledelse og kompetanse, samordning og
standardisering av IKT-løsninger, tilgjengelighet og digitalisering, IKT i forhold til
fylkeskommunens oppgaver innen utdanning (dvs. videregående opplæring) og helse
(tannhelse), samt IKT-sikkerhet på overordnet nivå.
Prosjektet omfattet ikke:
 Personvern, taushetsplikt og informasjonssikkerhet
 Sentral og lokal infrastruktur, fysisk sikring av data, tilgang til systemer og andre
tekniske tiltak som skal bidra til IKT-sikkerhet. Videre har prosjektet ikke omfattet
driftstiltak knyttet til IKT, eller implementering av IKT-systemer.
Kontrollutvalget prioriterte i møtet 18. november 2014 at foranalysen skulle fokusere på den
delen som ikke ble vurdert i førnevnte rapport, nemlig IKT-sikkerhet.
2.1 Formål med foranalyse – oppbygging av rapporten
1
Datamaskin – Norsk Datakunnskap Network skriver om definisjonen på IT og IKT: «IT og IKT brukes ofte om
hverandre av de i databransjen, men disse begrepene er forskjellige i definisjonen. IT står for
informasjonsteknologi og IKT står for Information Communication Technology. Dette er svært nært beslektet,
men vilkårene betegne to forskjellige studieretninger eller industri. Mest enkelt sagt, faller IKT under IT paraply
og refererer til bestemt område av IT som har å gjøre med kommunikasjon.»
(http://www.datamaskin.biz/Nettverk/other-computer-networking/77301.html#.VP2ZWY3KztR) Vi benevner det
her «IKT»-sikkerhet fordi dette er betegnelsen i Personopplysningsloven.
HEDMARK REVISJON IKS
Formålet med forundersøkelsen er å skaffe til veie informasjon slik at kontrollutvalget kan ta
stilling til hvorvidt det er grunnlag for å gå videre på området, dvs. om det er grunnlag for å
bestille en forvaltningsrevisjon innenfor IKT-sikkerhet.1 Videre skal forundersøkelsen bidra til å
gi kontrollutvalget grunnlag for å velge hvilket tema innenfor IKT-sikkerhet som anses mest
Side
4
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
aktuelt å fokusere på. Endelig vil vi med forundersøkelsen søke å legge til rette for en effektiv
gjennomføring av en eventuell forvaltningsrevisjon på området.
I det følgende vil vi gi en generell redegjørelse for temaet IKT-sikkerhet og relevant regel- og
lovverk. Deretter vil vi gi en redegjørelse for IKT-sikkerhet i Hedmark fylkeskommune. Endelig
vil vi gi vår vurdering og anbefaling, herunder skissere alternative innfallsvinkler for et
eventuelt forvaltningsrevisjonsprosjekt.
3 IKT-sikkerhetens aktualitet, sentrale begreper og lovverk
3.1 Aktualitet
Fylkeskommunene råder som arbeidsgivere og virksomhetseiere over en stor mengde
personopplysninger. I en digital tid kan disse opplysningene spre seg raskt og bli utsatt for
misbruk. Datatilsynet kategoriserer misbruk av personopplysninger i to hovedgrupper,
henholdsvis en utilsiktet handling (uhell eller uaktsomhet) eller tilsiktet handling fra en
kriminell. 2
Uhell eller uaktsomhet betyr at beskyttelsesverdig informasjon kommer uvedkommende i
hende. Det kan for eksempel skje ved at ansatte lekker informasjon, at bærbare datamaskiner
kommer på avveie, ved uforsvarlig håndtering av sikkerhetskopier eller innbrudd.
Helseopplysninger er et eksempel på sensitiv informasjon som gis under tillit og fortrolighet.
Brudd på tillit kan medføre alvorlig tillitskrise.
I 2011 gjennomførte Statens institutt for forbruksforskning (Sifo) og TNS Gallup en
undersøkelse av omfanget av identitetstyveri i Norge.3 I undersøkelsen opplyser 3 % at de har
opplevd at deres gode navn og rykte ble skadet ved misbruk av personens navn.4 3,3 % har
opplevd at det er blitt kjøpt varer eller tjenester i sitt navn slik at personen har fått regningen.
2
https://www.datatilsynet.no/Sektor/ID-tyveri/Virksomheters-bruk-og-misbruk-av-personopplysninger/
STATENS INSTITUTT FOR FORBRUKSFORSKNING 2011: Identitetstyveri. Omfang, tillit og beskyttelse mot risiko av
Ragnhild Brusdal og Randi Lavik
4
Tallene i undersøkelsen er basert på svar fra 1.124 personer i alderen 18–80 år
3
HEDMARK REVISJON IKS
Enda verre er det når personopplysninger misbrukes til å fremme et illegitimt formål, slik som
å skaffe seg tilgang til og kontroll over andres økonomiske midler, kredittinstrumenter eller
eiendom. Dette innebærer at uvedkommende tar helt eller delvis kontroll på aktiver eller
eiendeler tilhørende en annen person (ofte kalt identitetstyveri). Ved hjelp av
personopplysninger kan man foreta uautoriserte endringer eller disposisjoner i en annens
navn (eksempelvis ut fra et hevnmotiv). Personopplysninger kan også misbrukes til å skaffe
seg ytterligere tilgang til informasjon om enkeltmenneskers bevegelse, kommunikasjon og
økonomiske disposisjoner, mot vedkommendes vilje og ønske.
Side
5
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
6,8 % svarer at de har blitt rammet av identitetstyveri 1 eller 2 ganger. Hvis dette tallet er
representativt for hele befolkningen, har denne typen forbrytelse rammet nær en kvart
million nordmenn.
Samtidig har Datatilsynet opplevd en økning i henvendelser om personvern i arbeidslivet. I
2013 håndterte Datatilsynets veiledningstjeneste 7 578 telefon- og e-posthenvendelser om
personvern. Av disse var 22 prosent om overvåking i arbeidslivet, og tilsynet ser en fortsatt
tendens til at denne typen henvendelser øker. Henvendelsene omhandler for eksempel GPSsporing og kameraovervåking, samt innsyn i og sletting av ansattes e-postkorrespondanse. Her
blir det gitt som eksempel fordi det er påfallende mange arbeidsgivere som uten
motforestillinger går gjennom e-postkorrespondansen til sine ansatte, også i sammenhenger
der den ansatte har sluttet.5
3.2 Hva er personlige opplysninger, personvern og IKT-sikkerhet?
Personlige opplysninger
Datatilsynet gjennomførte i 2013 og 2014 et tilsyn med bruk og lagring av personopplysninger
i skoler og barnehager.6 En erkjennelse og en noe overraskende oppdagelse for dem, var at
betydningen av begrepet «personopplysning» var uklar for svært mange.
I Personopplysningslovens § 2 defineres personopplysninger som «opplysninger og
vurderinger som kan knyttes til en enkeltperson». Med andre ord er personopplysninger alle
opplysninger som kan knyttes til enkeltpersoner. Sensitive personopplysninger defineres i
samme paragraf som opplysninger om:
a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning,
b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling,
c) helseforhold,
d) seksuelle forhold,
e) medlemskap i fagforeninger.
Både for personopplysninger og sensitive personopplysninger er det en rekke vilkår som må
være tilstede før det er lov å dele og behandle dem.7 Det er særlig skjerpede krav knyttet til
sensitive opplysninger, men alminnelige personopplysninger skal også vernes om.
Datatilsynet definerer personvern som retten til et privatliv og retten til å bestemme over
egne personopplysninger. Alle mennesker har en ukrenkelig egenverdi og rett på en privat
sfære som personen selv kontrollerer. Det skal være mulig å handle fritt uten tvang eller
innblanding fra staten eller andre mennesker.
5
https://www.datatilsynet.no/Nyheter/2014/En-av-fem-har-sporsmal-om-personvern-i-arbeidslivet/
http://www.datatilsynet.no/Global/04_planer_rapporter/Skoleprosjektet_samlerapport.pdf
7
Personopplysningslovens §§ 8 og 9
6
HEDMARK REVISJON IKS
Personvern
Side
6
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
Personvernbegrepet refererer ikke bare til vernet av privatlivets fred og den enkeltes
personlige integritet. I norsk forståelse innebærer begrepet i stor grad også vernet av
individers rett til å ha innflytelse på bruk og spredning av personopplysninger om seg selv. Den
enkelte skal i størst mulig grad kunne bestemme over egne personopplysninger. 8
IKT-sikkerhet
Når man taler om IKT-sikkerhet dreier det seg om at virksomheten må håndtere risikoen for at
personopplysninger og andre informasjonsverdier sikres på en tilfredsstillende måte.
Internkontroll handler om at virksomheten skal etablere og vedlikeholde planlagte og
systematiske tiltak for å sikre at de oppfyller lovens krav til behandling av personopplysninger.
Gjennom å ha god informasjonssikkerhet og god internkontroll sikrer virksomheten at den
behandler personopplysninger lovlig, sikkert og forsvarlig.9
Konfidensialitet, integritet og tilgjengelighet
Konfidensialitet er at uvedkommende ikke får tilgang til dataene. Integritet innebærer at
ingen uautoriserte personer kan endre på opplysninger eller at informasjon utilsiktet blir
endret. Med tilgjengelighet menes det at opplysningene må være tilgjengelige for personer
som har behov for disse.10
I fortsettelsen ser vi på lov og forskrift i forbindelse med personopplysninger.
3.3 Lov og forskrift
Personopplysningslovens § 13 første og annet ledd om «Informasjonssikkerhet» lyder:
«Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske
tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet,
integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå
tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren
dokumentere informasjonssystemet og sikkerhetstiltakene...»
8
http://www.datatilsynet.no/personvern/Hva-er-personvern/
9
http://www.datatilsynet.no/Sikkerhet-internkontroll/
jf. Personopplysningsforskriften § 2-11 til 2-13
10
HEDMARK REVISJON IKS
Med digitalisering av offentlig sektor blir det i økt grad samlet inn, bearbeidet og analysert
store
mengder
opplysninger.
Opplysningene
kan
omhandle
enkeltpersoner,
forretningsprosesser, produktutvikling, strategier og metoder. Felles for alle opplysninger, er
at det stilles varierende krav til behandling og beskyttelse. Opplysninger som kan knyttes til
individet,
skal
behandles
i
samsvar
med
Personopplysningsloven
og
Personopplysningsforskriften. Reglene er fastsatt for å hindre fare for tap av liv og helse,
økonomisk tap eller tap av anseelse og personlig integritet.
Side
7
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
Dette innholdet er utdypet i Personopplysningsforskriftens kapittel 2. I forskriftet fremgår det
en rekke konkrete krav til informasjonssikkerhet for IT-systemer hvor det behandles
personopplysninger. Det er krav til følgende områder (§§ 2, nr. 3-16):
-
-
-
Sikkerhetsledelse: Den som har den daglige ledelsen av virksomheten har ansvaret.
Risikovurdering: Det skal føres oversikt over hva slags personopplysninger som
behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet
med behandlingen av personopplysninger.
Sikkerhetsrevisjon: Sikkerhetsrevisjon av bruk av informasjonssystemet skal
gjennomføres jevnlig.
Avvik: Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og
sikkerhetsbrudd, skal behandles som avvik.
Organisering: Det skal etableres klare ansvars- og myndighetsforhold for bruk av
informasjonssystemet.
Personell og taushetsplikt: Medarbeidere hos den behandlingsansvarlige skal bare
bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for
slik bruk. Medarbeidere hos den behandlingsansvarlige skal pålegges taushetsplikt for
personopplysninger hvor konfidensialitet er nødvendig.
Fysisk sikring: Det skal treffes tiltak mot uautorisert adgang til utstyr som brukes for å
behandle personopplysninger etter forskriften her.
Sikring av konfidensialitet, tilgjengelighet og integritet.
Sikkerhetstiltak: Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet
og gjøre det mulig å oppdage forsøk på slik bruk.
Sikkerhet hos andre virksomheter: Den behandlingsansvarlige skal bare overføre
personopplysninger elektronisk til den som tilfredsstiller kravene i
personopplysningsforskriften.
Dokumentasjon: Rutiner for bruk av informasjonssystemet og annen informasjon med
betydning for informasjonssikkerheten, skal dokumenteres.
Personopplysningsloven stiller krav til internkontroll i form av etablering og vedlikehold av
planlagte og systematiske tiltak for å oppfylle kravene i, eller i medhold av,
Personopplysningsloven – herunder å sikre personopplysningenes kvalitet. Datatilsynet skriver
i sin veileder at det ikke forventer at øverste leder alltid har inngående kunnskap om
informasjonssikkerhet. Derimot forventes det at personopplysninger er sikret på en forsvarlig
måte, og at øverste leder ser etter at dette blir gjort. I praksis betyr det å sørge for at
virksomheten har oversikt over hvilke plikter som gjelder, hvordan opplysninger behandles og
sikres, at alle rutiner knyttet til dette er godkjent og blir fulgt opp av alle ansatte.11
11
Jf. Personopplysningsforskriftens kapittel 3 om Internkontroll.
HEDMARK REVISJON IKS
-
Side
8
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
3.4 KS Digitaliseringsstrategi og KommIT
Staten og Kommunenes sentralforbund (KS) er viktige premissgivere for kommunal sektor når
det gjelder utviklingen på IKT området. Hedmark fylkeskommune er deltaker i KommIT
(Program for IKT-utvikling i kommunesektoren) som ble etablert av KS våren 2012. Dette
programmet eies av KS og styres av et programstyre bestående av kommuner,
fylkeskommuner og KS. Formålet med KommIT er å bistå kommuner og fylkeskommuner slik
at de kan nå målene i Digitaliseringsstrategi 2013 – 2016 for kommuner og fylkeskommuner
(KS). Denne strategien fastsetter de viktigste satsningsområdene og målene for kommuner og
fylkeskommuner i perioden. KS har i strategien følgende mål for IKT-sikkerhet
- Kommuner og fylkeskommuner har strategi for informasjonssikkerhet
- Kommuner og fylkeskommuner har databehandleravtaler med andre som behandler
personopplysninger på vegne av kommunen
- Kommuner og fylkeskommuner har databehandleravtaler med andre som kommunen
behandler personopplysninger for
- Kommuner og fylkeskommuner har ledelsesforankret internkontroll og styringssystem
på plass.
- Kommuner og fylkeskommuner har løsninger som tilfredsstiller kravene til
sikkerhetsarkitektur
- Kommuner og fylkeskommuner som tar i bruk skytjenester, har gjennomført grundige
risiko- og sårbarhetsanalyser og inngått en databehandleravtale (s. 15).
I forvaltningsrevisjonsprosjektet «Styring av IKT satsningen» ble det valgt å la være å benytte
mål fra KS digitaliseringsstrategi som grunnlag for å utlede konkrete revisjonskriterier. Det ble
begrunnet med at strategien nettopp var iverksatt. Hvis det bestilles et
forvaltningsrevisjonsprosjekt om IKT-sikkerhet kan det vurderes om revisjonskriteriene skal
utledes
av Personopplysningsloven og Personopplysningsforskriften eller KS
digitaliseringsstrategi eller begge deler. En forvaltningsrevisjon vil som regel ta utgangspunkt i
den kilde som er mest autoritativ. I dette tilfellet er lovverk med forskrift mere autoritativ enn
en KS strategi. Det synes å være overensstemmelse mellom lovverket og KS
digitaliseringsstrategi, og grunnlaget for revisjonskriteriene kan således avvente beslutningen
om det skal gjennomføres en forvaltningsrevisjon på området.
4 IKT-sikkerhet i Hedmark fylkeskommune
4.1 Organisering av IKT-området
Fylkeskommunen har egen IKT avdeling som har som oppgave å koordinere fylkeskommunens
IT-satsning, og å drifte fylkeskommunens IT-løsninger. Avdelingen har i alt 11 faste stillinger +
lærlinger. IKT drifter løsninger for fylkeshuset, de videregående skolene, de fylkeskommunale
HEDMARK REVISJON IKS
Etter disse avklaringer ser vi nå på IKT-sikkerhet i Hedmark fylkeskommune.
Side
9
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
tannklinikkene og regionskontorene. Øvrige kunder er Hedmark Trafikk FKF, Kjørekontoret
Innlandet AS og Kunstbanken.
IKT sin servicedesk yter 1. og 2. linje brukerstøtte til sentraladministrasjonen, regionkontorene og tannklinikkene, samt 2. linje brukerstøtte til de videregående skolene.
Servicedesken er IKTs kontaktflate mot brukere og leverandører og behandler 6500 saker i
året. Desken tar i mot og behandler feilmeldinger, driftsproblemer, brukerspørsmål,
endringsønsker, samt bestillinger.12
Fylkeskommunens IT-løsninger benyttes av over 13000 brukere13. I tillegg til de oppgavene
som løses av de ansatte ved IKT avdelingen, er det også oppgaver som løses ved den enkelte
enhet/virksomhet.
Sentral infrastruktur er IKT avdelingens ansvar. I sentral infrastruktur ligger sentralt
serverrom, bredbåndslinjer, brannmurer og felles lisensavtaler. Lokal infrastruktur er den
enkelte enhet/virksomhet sitt ansvar, og omfatter lokalt nettverk, pc’er, skrivere og mobile
enheter. Fylkeskommunen hadde våren 2013 i alt 10 konsernsystemer og 27 fagsystemer som
skulle driftes, vedlikeholdes og utvikles.14
På noen områder, og særlig innenfor videregående utdanning, er det etablert samarbeid med
andre/konsulentbistand. Som eksempel kan nevnes at Hedmark fylkeskommune er medeier i
Vigo IKS som ivaretar utvikling av noen av fylkeskommunens IT-systemer innen videregående
opplæring. Fylkeskommunen er også medeier i NDLA som er et fylkeskommunalt
innkjøpssamarbeid som har som formål å tilby kvalitetssikrede, fritt tilgjengelige, nettbaserte
læremidler i alle fag i videregående skole. Ellers deltar fylkeskommunen i BUDDY samarbeidet
som er et samarbeid mellom fylkeskommuner og kommuner om en løsning for
identitetsforvaltning. Hedmark fylkeskommune samarbeider også tett med andre
fylkeskommuner i Visma fylkesforum.
12
Fra Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune, utkast februar 2015
https://www.hedmark.org/Om-fylkeskommunen/Fag-stab-og-serviceenheter/IKT
14
Fra Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune, utkast februar 2015
13
HEDMARK REVISJON IKS
Vi ser av organisasjonskartet under at IKT-avdelingen er en service-enhet som er underlagt
fylkesdirektøren. I fylkeskommunen det i særlig grad bli håndtert personopplysninger og
registre med personfølsomme opplysninger i Personal og organisasjon, Arkivet samt i IKTavdelingen. Dessuten finnes behandling av personopplysninger i følgende av
fylkeskommunens virksomheter: Tannhelsetjenesten og de videregående skolene (se pilene).
Side
10
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
Figur 1 Organisasjonskart Hedmark fylkeskommune
4.2 Reglementer og retningslinjer i fylkeskommunen
10. februar presenterte fylkeskommunen utkast til «Internkontroll og kontinuerlig forbedring i
Hedmark fylkeskommune», 27. februar 2015. I kapittel 8 står det mer om
Informasjonssikkerhet og informasjonsteknologi.
Her beskriver fylkeskommunen at KS-digitaliseringsstrategi er en av de føringer man forholder
seg til. Av fylkeskommunale føringer har man:
HEDMARK REVISJON IKS
Fylkeskommunens gjeldende IT strategi ble vedtatt av fylkesdirektøren i 2006 og var ment å
skulle rulleres i 2008. Dette har foreløpig ikke skjedd. Det er imidlertid nedsatt en
arbeidsgruppe som har utarbeidet forslag til ny IT strategi (juni 2013). Visjonen i gjeldende IT
strategi er at Hedmark fylkeskommune skal ligge i forkant når det gjelder bruk av
informasjonsteknologi administrativt og pedagogisk. Videre at fylkeskommunen skal ligge i
forkant når det gjelder elektronisk samhandling med kommuner, innbyggere, næringsliv,
folkevalgte og frivillige organisasjoner i Hedmark, samt andre samarbeidspartnere nasjonalt
og internasjonalt.
Side
11
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
-
Reglement for bruk av Hedmark fylkeskommunes IT-løsninger, fastsatt av
fylkesdirektøren 18.12.2013
IT-reglement for elever i videregående skole i Hedmark fylkeskommune, fastsatt av
fylkesdirektøren 3.7.2014.
Disse reglementene er sentrale i forhold til en eventuell revisjon av emnet. I den forbindelse
kan revisor se på om reglementene lever opp til lov og forskrifter, om de er kjent i de enkelte
virksomhetene / enhetene, og om de i praksis bidrar til at personopplysninger håndteres på
en god måte.
4.3 Registre med personopplysninger
IKT-avdelingen i Hedmark fylkeskommune fortalte ved sin presentasjon i Kontrollutvalget 10.
februar 2015 om de forskjellige registre som behandler og inneholder personopplysninger. I
tråd med fylkeskommunens ansvar og oppgaver er det tre overordnede kategorier av
personopplysninger:
-
Opplysninger om de ansatte
Opplysninger om elever i de videregående skoler
Pasientopplysninger i Tannhelsetjenesten
Det er en håndfull av registrene som inneholder opplysninger både om ansatte og om elever. I
det følgende beskrives de tre kategoriene.
Ansatte i fylkeskommunen
Det er litt over 2000 ansatte i Hedmark fylkeskommune.15 For å kunne utføre sin funksjon som
arbeidsgiver har Hedmark fylkeskommune behov for en rekke opplysninger om ansatte.
Fylkeskommunen må bruke kontonummer for å utbetale lønn, adresse for å sende brev,
personnummer for å identifisere personen. Disse opplysningene er sentrale i forhold til
identitetstyveri som omtalt i innledningen. Avanserte systemer om de ansatte kan dessuten
inneholde alt fra CV og opplysninger om sertifikater, fravær, sykdom osv.
15
•
Visma HRM; lønn- og personalsystem samt rekruttering
•
Wintid; tidregistrering (gjelder ikke alle ansatte)
•
ESA (EDB sak/arkiv); personalmapper
•
SATS; skoleadministrativt system (gjelder vgs)
SSB «Sysselsatte i kommunen i alt – Enhet: Sysselsatte» for 2013
HEDMARK REVISJON IKS
Følgende registre behandler opplysninger om de ansatte:
Side
12
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
•
It’s learning; læringsplattform (gjelder vgs)
•
Novaschem; timeplanverktøy (gjelder vgs)
•
Ansattoversikt på internett/intranett
•
Trio; sentralbord/telefonistøtte
•
Nødvendige tilgangsløsninger
IT-reglementet gjelder for alt personell som har tilgang fylkeskommunens IT-løsninger og ITutstyr, og har følgende innhold:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Virkeområde
Grunnregler
Aktsomhet
Passord
Endringer på IT-utstyr og programvare
E-post
Dokument- og utskriftsikkerhet
Fratreden
Innsyn for arbeidsgiver i e-post-kasse mv.
Gjennomsøkning av lagringsområder
Utlevering til politi eller påtalemyndighet
Avhending av utstyr
Det er 14 videregående skoler i Hedmark fylkeskommune:
16
•
Elverum videregående skole, Elverum
•
Hamar katedralskole, Hamar
Fra Datatilsynets rapport 2014: Personvern i skole og barnehage
HEDMARK REVISJON IKS
Elever på de videregående skolene
Det lagres store mengder opplysninger om elever i de videregående skoler. Opplysninger om
orden, oppførsel og karakterer er noen eksempler. Det finnes også verktøy som gjør det mulig
å logge hvilke nettsteder elevene har besøkt i skoletiden eller som logger når og hvor lenge
elevene jobber med spesifikke oppgaver. Dessuten lagres bilder, kommunikasjon mellom
elever, kommunikasjon mellom lærer og elev, kommunikasjon mellom skole og hjem,
informasjon om allergier, logg fra elevenes bruk av skolens nettverk. Læringsplattformer
inneholder eksempelvis kommunikasjonsverktøy som chat, kommentarfelt/diskusjonsforum,
e-post og meldingstjenester hvor private samtaler i noen tilfeller lagres.
Videokonferansefunksjon hvor det er mulig å ta opp både lyd og bilde, er også ofte integrert.
Ofte er det dessuten mulig for lærerne å sende SMS fra læringsplattformene til andre lærere,
elever og foreldre. Dette er også personopplysninger.16
Side
13
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
•
Jønsberg videregående skole, Stange
•
Midt-Østerdal videregående skole, Koppang
•
Nord-Østerdal videregående skole, Tynset
•
Ringsaker videregående skole, Brumunddal
•
Sentrum videregående skole, Kongsvinger
•
Skarnes videregående skole, Skarnes
•
Solør videregående skole, Flisa
•
Stange videregående skole, Stange
•
Storhamar videregående skole, Hamar
•
Storsteigen videregående skole, Alvdal
•
Trysil videregående skole, Trysil
•
Øvrebyen videregående skole, Kongsvinger
De fleste skoler bruker digitale læringsplattformer (LMS – Learning Management System). Det
åpner for kontinuerlig logging av elevens aktivitet, for eksempel når på døgnet eleven leverer
oppgaver, hvor lang tid eleven bruker på oppgaveløsning, logg av kommunikasjon med lærer
og andre elever, samt hvilke fag eleven har jobbet aktivt med i leksearbeidet. Mange skoler
benytter seg også av andre digitale og nettbaserte læringsressurser, som i ulik grad registrerer
elevenes aktiviteter. De skoleadministrative systemene registrerer blant annet fravær og
karakterer, og noen skoler bruker digitale verktøy til å kartlegge og registrere uønsket atferd.
Samlet utgjør dette et sett med opplysninger som gir et omfattende og detaljert bilde av
barns utvikling og barnets faglige og sosiale atferd gjennom et helt utdannelsesløp.17
17
18
•
VIGO; inntakssystem18
•
OTTO; system for oppfølgingstjenesten
•
SATS; skoleadministrativt system
•
Privatistweb; webbasert oppmelding til privatisteksamen
•
SkoleArena; fraværs- og karaktersystem
•
ESA (EDB sak/arkiv); personalmapper
•
It’s learning; læringsplattform
Fra Datatilsynets rapport 2014: Personvern i skole og barnehage
https://www.vigo.no/vigo/servlet/vigo
HEDMARK REVISJON IKS
Disse registrene behandler opplysninger om elevene:
Side
14
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
•
Novaschem; timeplanverktøy
•
Visma utfakturering; kundereskontro
•
Elev-PC register
•
Nødvendige tilgangsløsninger
•
Diverse pedagogiske verktøy
•
NDLA19
•
Lokus20
•
Kikora21
•
Geogebra22
•
Etc
Det er fylkeskommunen som skoleeier som har ansvaret for å sikre personvern i skolene.23 Fra
et personvernperspektiv er det viktig at skoleeieren har en klar formening om hva
personopplysninger er. Det er skoleeierens plikt å ha oversikt over personopplysningene.
Skoleeieren skal vite hvorfor de enkelte opplysningene lagres, hvem som skal ha tilgang til
dem, hvor lenge de skal lagres og så videre.
IKT-avdelingen fortalte på møtet i Hedmark fylkeskommunes kontrollutvalg 10. februar at det
pågår et arbeide med å sikre personvern i de videregående skolene. Dette kan oppsummeres
som følger:
Hva er gjort?




Brukeropplæring, rutiner for oppretting og sletting av brukertilganger.
Rutiner for sletting av personopplysninger.
Informasjon til elever og foresatte med avtale for signatur.
Inngåelse av databehandleravtaler
Hva arbeides det med?



Kartlegging av datasystemer med personopplysninger på skolene.
Utarbeidelse av mal og rutiner for risikovurdering av disse systemene og gjennomgang av
databehandleravtaler.
Bedre informasjon til ansatte.
Hva gjenstår?
Total oversikt over datasystemer med personopplysninger.
Gjennomgående rutiner for:
19
http://ndla.no/
http://www.lokus.no/
21
http://www.kikora.no/
22
http://www.geogebra.no/
23
Datatilsynets artikkel: «Store utfordringer for personvernet i skole og barnehage», 2. juli 2014
20
HEDMARK REVISJON IKS

Side
15
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015



Risikovurdering av datasystemer med personopplysninger.
Databehandleravtale.
Oppretting og sletting av brukertilganger på datasystemer anskaffet av den enkelte skole.
It-avdelingen fortalte at dagens situasjon ikke er tilfredsstillende med hensyn til de
skoleadministrative systemene, og at det er et stort behov for fornyelse og modernisering.
Skoleadministrative arbeidsoppgaver er blant annet preget av mye manuelt arbeid,
informasjonssikkerheten kan forbedres med hensyn til behandlingen av elevdata, og
kontroller som sikrer dataintegritet kan forbedres.
VISMA FLYT skole (VFS) innføres i Hedmark skoleåret 2017/2018. VFS skal erstatte totalt 54
installasjoner av 9 ulike systemer og vil kunne realisere betydelige gevinster gjennom økt
standardisering, bedre brukervennlighet, bedre datakvalitet og effektivitet, samt lavere
administrasjonskostnader.
Pasientene
Av fylkeskommunens hjemmeside fremgår det at Tannhelsetjenesten har klinikker i 20
av fylkets kommuner. Engerdal og Rendalen betjenes av naboklinikk eller ved
privatpraktiserende tannlege som har avtale med fylkeskommunen.
To registre behandler opplysninger om pasienter
•
OPUS; elektronisk pasientjournal
•
Digora; digital røntgen
I det tidligere gjennomførte forvaltningsrevisjonsprosjektet fikk vi opplyst at alle data fra
tannklinikkene lagres på sentrale servere, og ikke ute på den enkelte tannklinikk. Dataene
herfra omfatter i stor grad pasientopplysninger (sensitive opplysninger), og disse lagres
innenfor såkalt sikker sone. Vi fikk videre opplyst at IKT avdelingen har vært ute og tatt bilder
av og har oversikt over alt IKT - utstyr som finnes ute på de enkelte tannklinikkene.24
Dessuten har vi fått opplyst at Tannhelsetjenesten:
Følger norm for informasjonssikkerhet i helse- og omsorgstjenesten
Revideres årlig internt i tjenesten.25
Vi har nå gjennomgått sentralt lovverk på personvernområdet. Videre har vi redegjort for
Hedmark fylkeskommunes oppgave- og ansvarsområder i forbindelse med personvern. Før vi
vurderer hvilke temaer vi mener har høyest risiko og vesentlighet, og som dermed bør
24
25
Forvaltningsrevisjon 2014 «Styring av IKT-satsningen i Hedmark fylkeskommune», s. 35
Presentasjon 10. februar 2015
HEDMARK REVISJON IKS
•
•
Side
16
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
omfattes av revisjonen, vil vi se på et annet tema som vi også vurderer som vesentlig for en
revisjon på området.
5 Mulig emne: Drift av IKT i fylkeskommunen
IKT-sikkerhet er et begrep som i lovmessig forstand dekker over vern om personopplysninger.
Dette har vi nettopp beskrevet. I dagligdags tale har vi nok en bredere forståelse av begrepet
IKT-sikkerhet, og det vil inkludere sikkerhet i forbindelse med fylkeskommunens IT-løsninger.
Vi må sikre IT-løsningene slik at vi unngår systemsammenbrudd, herunder at vi sikrer oss mot
katastrofer, og at vi sikrer forsvarlig tilgangsstyring til systemene og de potensielt fortrolige
opplysningene som ligger der.
Arbeidsplasser i dag er digitale. Alle elever får i dag utlevert computer og medarbeidere i
fylkeskommunen arbeider digitalt. Driftssikkerhet er en vesentlig forutsetning for en effektiv
arbeids- og skoledag.
I forvaltningsrevisjonsrapporten «Styring av IKT satsningen» som ble utarbeidet i høsten 2014
ble det ikke skrevet om drift. Med bakgrunn i dette ser vi en relevans i at en revisjon også ser
på dette området.
Fylkeskommunens drift
I dokumentet «Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune» (utkast)
beskriver fylkeskommunen at sentral infrastruktur er IKT avdelingens ansvar. I sentral
infrastruktur ligger sentralt serverrom, bredbåndslinjer, brannmurer og felles lisensavtaler.
Lokal infrastruktur er den enkelte enhet/virksomhet sitt ansvar, og omfatter lokalt nettverk,
pc’er, skrivere og mobile enheter. Som vi var inne på i Kapittel 4.1 hadde fylkeskommunen
våren 2013 i alt 10 konsernsystemer og 27 fagsystemer som skal driftes, vedlikeholdes og
utvikles. IKT-enheten holder til i fylkeshuset og har 11 ansatte pluss lærlinger. Den daglige
driften omfatter:
Ca 50 fysiske servere
Ca 150 virtuelle servere
Ca 70 brannmurer
Ca 95 switcher
Ca 700 trådløse aksesspunkter
Ca 500 PC-er og tynnklienter
Dessuten beskrives det at IT-plattformen har følgende hovedelementer:
-
Sentral infrastruktur med sentralt serverrom, bredbåndslinjer, brannmur og lisensavtaler
Lokal infrastruktur med lokale nettverk, PC’er, mobile enheter samt perifèrutstyr
Konsernsystemer; systemer som brukes på tvers i organisasjonen, uavhengig av fagområde.
Fagsystemer, eksempelvis skolesystemer og tannhelsesystemer.
HEDMARK REVISJON IKS
-
Side
17
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
IKT sin servicedesk yter 1. og 2. linje brukerstøtte til sentraladministrasjonen, regionkontorene og tannklinikkene, samt 2. linje brukerstøtte til de videregående skolene.
Servicedesken er IKTs kontaktflate mot brukere og leverandører og behandler 6500 saker i
året. Desken tar i mot og behandler feilmeldinger, drifts-problemer, brukerspørsmål,
endringsønsker, samt bestillinger, jf. kapittel 4.1 Organisering av IKT-området.
Servicedesken er til en hver tid bemannet med minimum to ansatte. Henvendelser rettes til
44300@hedmark.org.
Relevant regelverk
Hvordan man drifter IT-området er ikke hjemlet i et samlet lov- eller regelverk. Derfor må vi
overveie hvilke anerkjente, internasjonale standarder det kan være relevant å bruke. ISACA er
en non-profit organisasjon som er en verdensomspennende forening for IT-styring, sikkerhet,
kontroll og revisjon av informasjonsteknologi. ISACA Norge har utgitt heftet Grunnleggende
retningslinjer for god IT-skikk som er gir en oversikt over hva som oppfattes som god IT-skikk
på utvalgte områder. COBIT er en forkortelse for Control Objectives for Information and
related Technology som er utviklet av ISACA. Dette er et fullstendig, internasjonalt akseptert
prosessrammeverk for bruk til kvalitetssikring og revisjon av IT-prosjekter.
Ser vi under COBITs avsnitt Driftleveranse og støtte nevnes 13 punkter for å sikre driften;
definere og styre servicenivået, styre tjenester fra eksterne it-leverandører, styring av ytelse
og kapasitet, sikre kontinuerlig service/kriseplanlegging, sikre systemsikkerhet, identifisere og
fordele kostnader, brukeropplæring, mottak for behandling av hendelser, håndtering av
problemer og hendelser, håndtering av data, fysiske omgivelser, styring av driften.
Det vil avhenge av en nærmere vurdering om en forvaltningsrevisjon skal se på alle punktene
her eller velge ut aktuelle temaer. Disse kan eventuelt ta utgangspunkt i fylkeskommunens
målsetninger for informasjonssikkerhet.
Her skriver fylkeskommunen at hovedmålsettingen med bruk av informasjonsteknologi er å
gjøre Hedmark fylkeskommune til en moderne og effektiv organisasjon og tjenesteprodusent.
Fylkeskommunen skal være en attraktiv arbeidsgiver med gode, sikre og brukervennlige ITsystemer.
Delmålene for å oppnå dette er:
HEDMARK REVISJON IKS
Fylkeskommunens målsetninger
Hedmark fylkeskommune er i skrivende stund i ferd med å utarbeide dokumentet
Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune. I fylkeskommunens
presentasjon i kontrollutvalget 10. februar 2015 fikk vi presentert utkastet til dette
dokumentet. Kapittel 8 handler om Informasjonssikkerhet og informasjonsteknologi.
Side
18
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
1.
2.
3.
4.
Oppdatert sentral infrastruktur
Oppdaterte IT-systemer
Tilfredse brukere
Oppdatert og hensiktsmessig IT-plattform
Oppfølging av delmål skjer som ledd i virksomhetsstyringen gjennom tertial- og
årsrapporteringen.
Sentrale parametere er:
-
Beskrivelse av status/tilstand og gjennomførte tiltak siste år på sentral IT-infrastruktur og
bredbåndslinjer
Beskrivelse av status/tilstand på avdelingenes/enhetenes IT-utstyr i fylkeshuset – årlig
rapportering
Andel ansatte i fylkeshuset med kun 1 PC
Andel PCer i fylkeshuset med alder 0-4 år
Tilfredshet med servicedesk, målt gjennom årlig brukerundersøkelse
Antall større feilsituasjoner
Beskrivelse av digitaliseringsstatus i HFK og gjennomførte digitaliseringstiltak siste år med
bistand fra IKT
HEDMARK REVISJON IKS
En forvaltningsrevisjon kan ta utgangspunkt i en vurdering av hvordan disse delmålene nås. Vi
vil understreke at Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune ennå er
i utkastform og revisjonen må avklare en endelig godkjennelse før den kan anvendes som
kriteriegrunnlag i en revisjon.
Side
19
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
6 Revisors vurdering og anbefaling
6.1 IKT-sikkerhet og drift – vurdering av risiko og vesentlighet
I denne foranalysen har vi fokusert oss inn mot to problemstillinger; IKT-sikkerhet og drift.
IKT-sikkerhet
Det er en generell samfunnstendens at mer informasjon lagres og deles. Hvor oppmerksomme
er vi på å sikre personopplysninger? Hvor gode er rutinene rundt dette? Og hvor gode er
fylkeskommunens ansatte til å praktisere disse rutinene slik at uvedkommende ikke får tilgang
til opplysninger de ikke skal ha?
Vi vurderer for det første at det er risiko og vesentlighet forbunnet med Hedmark
fylkeskommunes generelle arbeidsgiveransvar.
Det er litt over 2000 ansatte i Hedmark fylkeskommune. For å kunne utføre sin funksjon som
arbeidsgiver har Hedmark fylkeskommune behov for en rekke opplysninger om den ansatte.
Fylkeskommunen må bruke kontonummer for å utbetale lønn, adresse for å sende brev, og
personnummer for å identifisere personen.
Avanserte systemer om de ansatte kan dessuten inneholde alt fra CV og opplysninger om
sertifikater, fravær, sykdom, opplysninger om bidragstrekk og påleggstrekk fra myndigheter
osv. Det kan være krenkende hvis uvedkommende får adgang til disse informasjonene. Etter
vår vurdering kan det derfor være sentralt for en forvaltningsrevisjon å se på rutiner og
praksis for de medarbeidere som håndterer og har adgang til personal- og lønnområdet i
fylkeskommunen, og på de enhetene og virksomhetene fylkeskommunen har ansvar for.
Personopplysningene er sentrale i forhold til identitetstyveri som omtalt i innledningen.
Samtidig handler det også om at forvaltningen må ha en ryddig og ordentlig måte å håndtere
sine ansattes opplysninger på. Det handler om forvaltningens omdømme som kan være
vanskelig å gjenreise hvis det først har vært et tillitsbrudd.
Dette er en krevende oppgave i lys av at det er 14 ulike skoler som arbeider i mange ulike
systemer. Det setter krav om gode rutiner, god informasjonssikkerhet og en gjennomtenkt
holdning til hvordan personopplysninger skal behandles.
26
Datatilsynets artikkel: «Store utfordringer for personvernet i skole og barnehage», 2. juli 2014
HEDMARK REVISJON IKS
Videre er det vår vurdering at det er vesentlig å sikre personvernsopplysninger i de
videregående skoler. Det er fylkeskommunen som skoleeier som har ansvaret for å sikre
personvern i skolene.26 Fra et personvernperspektiv er det viktig at skoleeieren har en klar
formening om hva personopplysninger er. Det er skoleeierens plikt å ha oversikt over
personopplysningene. Skoleeieren skal vite hvorfor de enkelte opplysningene lagres, hvem
som skal ha tilgang til dem, hvor lenge de skal lagres og så videre.
Side
20
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
Risikoen er særlig stor for sårbare barn og unge. Det kan være barn og unge som har fysiske
eller psykiske helseproblemer, barn og unge med diagnoser og/eller er medisinert, barn med
adferdsvanskeligheter og andre utfordringer. Dette er barn som er særlig følsomme overfor
deling av deres personopplysninger. Hvis uvedkommende lærer får tak i informasjon som
han/hun ikke har rett til, kan dette føre til stigmatisering av barnet/ungdommen i
undervisningen. Hvis andre elever får tak i slike opplysninger, kan det føre til tap av
omdømme i vennegruppen, det vil føles krenkende og vil være et brudd på
personvernlovgivningen.
Omvendt er det fare for at fylkeskommunen og skolene fokuserer så mye på konfidensialitet
(at ingen ser opplysningene) at det minsker tilgjengeligheten (adgangen til opplysningene).
Det var et av funnene i et studie som Datatilsynet gjennomførte i et utvalg barnehager og
skoler, som nevnt tidligere. Studiet avslørte også tilfeller hvor skoleeieren ikke hadde
kjennskap til personvern og dermed heller ikke hadde utarbeidet retningslinjer for, eller gitt
opplæring i, håndtering av personfølsomme opplysninger. Datatilsynets reiste en rekke
problemstillinger som også kan knytte seg til de videregående skoler. Det handler blant annet
om å ha oversikt over skolens/barnehagens behandlinger av personopplysninger, sørge for
innhenting av samtykke når det er nødvendig, sørge for at innsyn blir håndtert på riktig måte,
sørge for å ha slette- og/eller arkivrutiner med videre.
I lys av at det vil komme et nytt skoleadministrativt system vil det kanskje være mest relevant
å se på rutiner og praksis rundt systemene på skoleområdet og ikke på systemene i seg selv.
Vi vurderer samtidig at det er mindre risiko og vesentlighet knyttet til tannhelsetjenesten, enn
for de to andre områdene (de ansatte og elevene). Tannhelsetjenestens informasjon er
sensitive, meldepliktige opplysninger, men de behandles allerede i en «lukket sone», hvor det
er ekstra it sikkerhet. Det er opplyst at tjenesten følger Norm for informasjonssikkerhet i
Helsetjenesten. Samtidig er det et mindre fagområde som i seg selv ikke er forbunnet med like
stor fare for identitetstyveri og omdømmetap. Selv om det er 20 tannhelseklinikker så skal de
håndtere personopplysninger i to registre. For både de ansatte og elever på videregående
skoler er det en risiko forbunnet med at personopplysninger kan finnes i opp til 6-10
forskjellige registre.
En annen side av den økte digitaliseringen, er at vi er avhengig av driftssikkerhet i vår hverdag.
Uansett om det er i forbindelse med en eventuell katastrofe eller at IT-løsningen fungerer som
den skal, så vil det være risiko for at ting ikke fungerer og det kan utgjøre en vesentlig kostnad
i form av tapt utført arbeid. Vi så i forrige revisjonsgjennomgang at fylkeskommunen har en
stor oppgaveportefølje i forbindelse med drift av fylkets IT-løsninger med 10 konsernsystemer
og 27 fagsystemer som skal driftes, vedlikeholdes og utvikles, det er ca. 50 fysiske servere, ca.
150 virtuelle servere, ca. 70 brannmurer, ca. 95 switcher, ca. 700 trådløse aksesspunkter og
HEDMARK REVISJON IKS
Drift
Side
21
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
ca. 500 PC-er og tynnklienter. Dette suppleres av at mange ansatte/brukere som henvender
seg (6500 henvendelser årlig).
Det relevante spørsmål her er om fylkeskommunen har en god beredskap dersom det skulle
inntreffe en katastrofe, og om man har gode sikkerhetsrutiner, adgangsstyring til annen
sensitiv informasjon, gode rutiner for implementering av nye systemer og om brukerne er
tilfreds med driften. I forhold til drift kan det være relevant å avdekke om det er driftsområder
som ikke fungerer og som skaper problemer i forhold til ansatte og elevenes hverdag.
6.2 Anbefaling
Formålet med prosjektet er å vurdere fylkeskommunens systematisk tilnærming til IKTsikkerhet og drift. Med bakgrunn i den gjennomførte foranalysen anbefaler vi følgende to
overordnede problemstillinger:
1. I hvilken grad har fylkeskommunen tilfredsstillende retningslinjer og rutiner for å sikre
personopplysningers konfidensialitet, integritet og tilgjengelighet?, herunder:
 personopplysninger for fylkeskommunens ansatte som helhet
 elevenes personopplysninger på skolene
2. Har fylkeskommunen betryggende systemer for kontroll med drift og vedlikehold av
IKT-tjenester?
Med eventuell tilføyelse av følgende problemstilling:
3. Hvordan følges retningslinjer og rutiner opp i praksis?
Ovenstående problemstillinger er overordnede, og det tas forbehold om at det kan bli aktuelt
med endringer i første del av en forvaltningsrevisjon.
6.3 Gjennomføring og timeforbruk
Det kan gjennomføres en revisjon som har sitt hovedfokus på å gå igjennom retningslinjer og
rutiner for IKT-sikkerhet, drift og vedlikehold via dokumentstudier og med intervju (inntil 5 - 7
intervjuer). Det vil svare til problemstilling 1+2 over. I dette scenarioet forventer vi at
besvarelsen av problemstillingene vil ha en ramme på 400 timer. Timetallet vil komme på
dette nivået fordi det er en rekke forskjelligartede krav i Personopplysningsloven med
tilhørende forskrifter som er omfattet. Hvis man eksempelvis skal se på databehandleravtaler,
så må man se på alle avtaler som fylkeskommunen har inngått. Det samme gjelder for
rutinene for drift. De er mange og fylkeskommunen har et stort driftsansvar med mange
komponenter og mange ansatte.
HEDMARK REVISJON IKS
Med bakgrunn i ovenstående er det mulig med to alternative innfallsvinkler for en revisjon på
området.
Side
22
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
Den andre innfallsvinkelen er at revisjonen suppleres med problemstilling 3 som handler om
IKT-sikkerhets- og driftsrutiner i praksis. I vurderingen av hvordan praksis er i fylkeskommunen
vil det være relevant å velge ut nedslagsområder hvor det vurderes å være stor risiko og
vesentlighet. Dette kan blant annet inkludere:
1. sentrale medarbeidernes opplevelse og bruk av rutinene i forhold til
personopplysninger i fylkeskommunen og på de videregående skolene og,
2. brukernes opplevelse av drift og vedlikehold.
Dette vil involvere spørreskjemaundersøkelse(r) og en mer omfattende intervjurunde av
nøkkelmedarbeidere. For de ansatte kan det for eksempel være relevant å intervjue de som
jobber med HR, lønn, IT. Det kan være relevant å undersøke de største problemområdene
innen driften av it og spørre en utvalgt gruppe personer hvordan problemene blir håndtert i
praksis. Samtidig er det mulig å spørre en større gruppe av ansatte og elever hvordan de
håndterer personopplysninger.
I dette scenarioet forventer vi en ramme på 550 timer.
Spørreskjema og flere intervju
Estimat antall timer (innfallsvinket 2) – økt antall
intervjuer/undersøkelser
Estimert antall timer
25 t.
50 t.
70 t
70 t.
70 t.
30 t.
15 t.
20 t.
50 t.
400 t
150 t.
550 t
Sammensetningen av prosjektgruppen vil bli fastsatt i tilknytning til fremleggelse av
prosjektplan / første fase av prosjektet. Vi ser for oss at prosjektet kan planlegges og startes
opp i april 2015, med beregnet avslutning innen 31.12.2015.
HEDMARK REVISJON IKS
Aktivitet
Planlegging, utarbeidelse av oppstartsbrev, forberedelse og møte
med kontaktperson.
Skriftlig utarbeidelse av rapportens innledning, formål,
problemstillinger, avgrensning, metode samt utledning av
revisjonskriterier
Intervjuer(inntil 7 stk)
Dokumentanalyse
Rapportskrivning, funn, vurderinger og anbefalinger
Kvalitetssikring
Høring av rapport hos fylkesrådet (inkl. avklarende møte)
Forberedelse og behandling i KU
Uforutsett
Estimat antall timer (innfallsvinkel 1)
Side
23
Foranalyse – IKT-sikkerhet i Hedmark fylkeskommune
2015
HEDMARK REVISJON IKS
Mulige kilder til revisjonskriterier
 Lov om behandling av personopplysninger, nr. 31 av 14.04.00
(personopplysningsloven).
 Forskrift om behandling av personopplysninger, nr. 1265 av 15.12.00
(personopplysningsforskriften).
 Lov om kommuner og fylkeskommuner, nr. 107 av 25.09 1992 (kommuneloven).
 En veiledning om internkontroll og informasjonssikkerhet. Datatilsynet 2009.
 ISACA: Grunnleggende retningslinjer for god IT-skikk
 UTKAST – Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune, 27.
februar 2014, kap. 8 om Informasjonssikkerhet
 Reglement for bruk av Hedmark fylkeskommunes IT-løsninger
 IT-reglement for elever i videregående skole i Hedmark fylkeskommune
 Andre relevante kilder
Side
24