April Egedal Kommune Revision af generelle it-kontroller hos Egedal Kommune for regnskabsåret

Transkript

1 April 2017 Egedal Kommune Revision af generelle it-kontroller hos Egedal Kommune for regnskabsåret 2016

2 It-chef Anders Lungholdt Informationssikkerhedskoordinator Jens Kjærulff Egedal Kommune Dronning Dagmars Vej Ølstykke 2. maj 2017 Formål Formålet med revisionen har været at vurdere, hvorvidt der er etableret forretningsgange og interne kontroller, som sikrer tilfredsstillende generelle it-kontroller. De generelle it-kontroller er fundamentet for automatiske applikationskontroller, regnskabsprocedurer og systemgenererede data og rapporter, som anvendes i nøglekontroller, og som påvirker den finansielle rapporteringsproces og årsrapporten. Denne rapport vedrører kun de forhold, der er nævnt nedenfor, og kan ikke udstrækkes til at omhandle kommunens forretningsprocesser og interne kontroller som helhed. Rapporten er udarbejdet udelukkende til ledelsen hos Egedal Kommune og må ikke anvendes af eller videregives til tredjemand uden vores forudgående samtykke. Omfang Vi har foretaget gennemgang af, hvordan it-kontroller er tilrettelagt, og så vidt muligt hvordan disse kontroller er implementeret. Vi har endvidere foretaget test af it-kontroller via dataudtræk og gennemgang af modtaget dokumentation. Revisionen er foretaget i henhold til gældende revisionsstandarder og har omfattet følgende hovedområder: 1. It-politikker og organisation: Udvikling og implementering af it-strategi og sikkerhedspolitikker Identifikation og vurdering af it-risici It-medarbejdere Styring af outsourcing-/serviceleverandører 2. Drift af datacentre og netværk 3. Anskaffelse, ændringer og vedligeholdelse af systemsoftware 4. Adgangssikkerhed: Politikker og procedurer Beskyttelse af data og funktionsadskillelse 5. Anskaffelse, udvikling og vedligeholdelse af applikationssystemer. Vores arbejde, der er gennemført i perioden november 2016 til april 2017, har baseret sig på en opfølgning af tidligere års observationer og anbefalinger og ændringer foretaget i 2016 som har betydning for kommunens it-kontroller og disses implementering. Vores arbejde er baseret på interview med medarbejdere fra Center fra Administrativ Service, Digitalisering og Effektivisering, stikprøvevist test af procedurer for administration af adgang til Windows netværk, Prisme og SD-Løn samt i nødvendigt omfang gennemgang af foreliggende materiale. Kommunen anvender it-serviceudbydere for væsentlige systemer, hvorved en væsentlig del af gennemgangen af de generelle it-kontroller for disse systemer baseres på årlige revisionserklæringer fra it-serviceudbyderne. På tidspunktet for rapportens udarbejdelse har vi modtaget erklæringer fra PwC 2

3 Silkeborg Data vedrørende SD-Løn, Fujitsu A/S vedrørende Prisme og IT-Forsyningen I/S vedrørende 2016 men har ikke modtaget dokumentation for kommunens gennemgang heraf. Med virkning for 2014 har kommunen sammen med andre kommuner etableret et fælles itdriftssamarbejde, hvor it-driften er outsourcet i det fælles IT-Forsyningen I/S. Dette har bevirket, at en række it-funktioner nu varetages af IT-forsyningen I/S s medarbejdere i stedet for medarbejdere ansat hos kommunen. Overgangen fra intern it-drift hos den enkelte kommune til fælles itdrift i IT-Forsyningen I/S regi har efter vores opfattelse været en udfordring, som driftsselskabet fortsat arbejder på at få på plads. I revisionserklæringen for 2016 tages der i lighed med 2015 forbehold på en række områder, hvor kontrollerne ikke har været tilstrækkelige. Ved revisionen for 2016 er det oplyst, at IT-Forsyningen I/S sammen med ejer-kommunerne har arbejdet på at imødekomme hovedparten af de anførte forhold fra 2015 og flere områder er blevet udbedret i revisionserklæringen for Konklusion Det er vores vurdering, at det interne kontrolmiljø hos kommunen fortsat på enkelte væsentlige områder bør styrkes, før de generelle it-kontroller kan anses for fuldt ud tilstrækkelige og effektive. Særligt vedrørende de generelle it-kontroller hos IT-Forsyningen I/S bør kommunen fortsat have et øget fokus. Det fremgår af revisionserklæringen af 7. marts 2017 fra IT-Forsyningen I/S, at der tages forbehold på en række områder, hvor kontrollerne ikke har været tilstrækkelige. Dette omfatter bl.a.: manglende formelle procedurer for klassificering og registrering af aktiver opsætning af logs og overvågning ej afstemt med de deltagende kommuner opfølgning på logs er ikke funktionsadskilt manglende procedurer for sikring af identifikation og overholdelse af relevante bestemmelser, regulering og kontraktlige forpligtelser manglende kontrol som sikrer at informationssikkerhed er implementeret og drives i overensstemmelse med organisationens politikker og procedurer IT-Forsyningen har ifølge det oplyste iværksat tiltag til udbedring heraf. De anførte forhold skal udbedres af IT-Forsyningen, men vi anbefaler at kommunen tager dialog herom for at sikre at relevant opfølgning bliver foretaget. En væsentlig del af informationssikkerhedsarbejdet er udarbejdelse og ajourføring af risikovurdering/konsekvensvurdering af kommunens it-systemer i samarbejde med systemejerne. Kommunen har arbejdet videre hermed i 2016, med udarbejdelse og godkendelse af overordnet informationssikkerhedspolitik, men pågår fortsat. Vi anbefaler fortsat, at risikovurderingen samt retningslinjer og procedurer ajourføres i forbindelse med det videre arbejde med styrkelse af processer og kontroller i IT-Forsyningen I/S og i kommunen. Ved vores gennemgang af brugerrettigheder i Prisme har vi fået oplyst, at der fortsat er brugere, der er tildelt adgang gennem rollerne Betroet og Regnskab, der tilsammen muliggør adgang til at oprette / ændre stamdata vedrørende kreditorer samtidig med at brugerne også har adgang til at foretage registreringer. Dette giver en risiko for, at medarbejdere utilsigtet eller tilsigtet kan ændre stamdata med risiko for at der sker misbrug af kommunens midler. Vi har ved revisionen fået oplyst, at kommunen ikke har etableret en kontrolprocedure herfor. Vi anbefaler, at kommunen sikrer, at der er etableret kontrol med ændring i kreditorstamdata enten gennem funktionsadskillelse eller gennem det etablerede ledelsestilsyn. PwC 3

4 På baggrund af den foretagne revision er det vores samlede vurdering, at de generelle it-kontroller hos Egedal Kommune er på et acceptabelt niveau (vurderet ud fra følgende skala: Ikketilfredsstillende, acceptabel, tilfredsstillende og meget tilfredsstillende). Vi har i forbindelse med vores revision givet anbefalinger til styrkelse af sikkerheden. I forhold til gennemgangen i 2015 er 9 anbefalinger blevet løst, mens vi ved gennemgangen har observeret ét nyt forhold, der efterfølgende er blevet løst. Vores konklusion er baseret på de observationer og anbefalinger, der er anført i det vedlagte skema. Anbefalingerne i bilag 1 kan opsummeres således: It-politikker og organisation Drift af datacentre og netværk Anskaffelse, ændringer og vedligeholdelse af systemsoftware Adgangssikkerhed Anskaffelse, udvikling og vedligeholdelse af applikationssystemer IT- Forsyningen I/S Prioritet 1 0 (0) 1 (1) 0 (0) 1 (3) 0 (0) 0 (1) 2 (5) Prioritet 2 1 (1) 2 (2) 0 (0) 1 (2) 0 (0) 0 (1) 4 (6) Prioritet 3 1 (1) 0 (0) 0 (0) 0 (3) 0 (0) 0 (1) 1 (5) I alt 2 (2) 3 (3) 0 (0) 2 (11) 0 (0) 0 (3) 7 (16) I alt Prioriteringerne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 1. Tal i () angiver antal anbefalinger i Observerede forhold, som vedrører IT-Forsyningen I/S s kontrolmiljø er i bilag 1 anført i særskilte afsnit IT-Forsyningen I/S for hvert område og er samlet opsummeret ovenfor i kolonnen IT- Forsyningen I/S. De væsentligste bemærkninger (prioritet 1) er følgende: Kontrolsvagheder vedrørende generelle it-kontroller hos IT-Forsyningen I/S. I Prisme har vi i 2014 observeret brugere, der er tildelt adgang gennem brugerrollerne Betroet og Regnskab, som tilsammen giver mulig adgang til at oprette / ændre stamdata vedrørende kreditorer samtidig med de også har adgang til at foretage registreringer. Vi har fået oplyst at forholdet er uændret i Prioritet 2 og 3 anbefalingerne angiver svagheder, som påvirker den interne kontrol og risikostyring, som der bør arbejdes med på længere sigt. Center for Administrativ Service, Digitalisering og Effektivisering har haft lejlighed til at gennemgå dette brev og medfølgende observationsskema, og Egedal Kommunes kommentarer er indarbejdet i observationsskemaet. Såfremt der måtte være kommentarer eller spørgsmål til ovennævnte, er I velkommen til at kontakte os. PwC 4

5 Vi vil gerne benytte lejligheden til at takke for et godt samarbejde i forbindelse med vores gennemgang. Med venlig hilsen PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab Jesper Møller Langvad Jesper Parsberg Madsen Rainer Petersen statsautoriseret revisor statsautoriseret revisor it-revisor PwC 5

6 Prioritet skal ses i forhold til det reviderede område og er defineret således: Prioritering 1. Væsentlig mangel Beskrivelse Dette er et alvorligt problem vedrørende intern kontrol, risikostyring eller rapportering, som kan medføre a. betydelige fejloplysninger i regnskab / bogføring som følge af væsentlige fejl eller mangler og / eller b. overtrædelse af gældende love, regler og retningslinjer. Bør omgående vurderes af ledelsen og eventuelt på bestyrelsesniveau. 2. Betydelig svaghed Dette er et problem vedrørende intern kontrol, risikostyring eller rapportering, som kan føre til a. unøjagtigheder i regnskab/bogføring b. mangel på kontrol i den reviderede organisatoriske enhed eller proces; og / eller c. overtrædelse af gældende love, regler og retningslinjer. Bør behandles af ledelsen inden for rimelig tid. 3. Svaghed Dette er et problem vedrørende intern kontrol eller risikostyring, hvis løsning vil føre til: a. forbedring af kvaliteten og / eller effektiviteten af det reviderede område. PwC 0

7 Bilag 1 Anbefalinger vedrørende revision af generelle it-kontroller Nr. Prio. Observation Risiko Anbefaling er 1. Politikker, organisation m.m Ref: A Informationssikkerhedspolitikkens struktur Under gennemgang af ledelsens informationssikkerhedspolitik mv. har vi observeret, at der er udarbejdet en informationssikkerhedspolitik (politik), som omfatter de væsentligste områder vedrørende informationssikkerhed. Det er vores vurdering, at omfanget generelt er dækkende for informationssikkerheden i kommunen. Vi har overordnet gennemgået det modtagne materiale og har følgende bemærkninger: 1. Politikkens hoveddokument Itsikkerhedspolitik indeholder både målsætninger, krav og as is - beskrivelser. Nogle på et meget teknisk detaljeret niveau og andre på meget overordnet niveau. 2. De offentlige bilag beskriver en række retningslinjer, herunder også gode konkrete risikovurderinger på en række forretningsmæssige områder for kommunens applikationer. Dokumentet indeholder imidlertid ikke en risikovurdering af infrastrukturkomponenter, som må siges at spille en væsentlig rolle Manglende ajourføring af informationssikkerhedspolitikkens struktur og indhold giver risiko for, at sikkerhedspolitikken og underliggende retningslinjer ikke afspejler de krav og forventninger som ledelsen har til kommunens overholdelse heraf. Manglende risikovurdering af risici ved kommunens itanvendelse, særligt efter at itdriften outsourcet til IT- Forsyningen, kan betyde, at risici ikke er synliggjort og at der er risici ved kommunens itanvendelse, der ikke i tilstrækkeligt omfang er afdækket til et niveau, som ledelsen kan acceptere. Vi anbefaler, at det overvejes at omstrukturere politikken, således at den niveauopdeles efter detaljeringsgrad, og at der målrettes til modtager efter nedenstående principper. Vi anbefaler, at politikken opbygges således: 1. Overordnet politik Kommunens overordnede politik i forhold til sikkerhedsniveauet i forbindelse med behandling, transport og lagring af systemer og data. En beskrivelse af den ønskede sikkerhedsstyring, placering af sikkerhedsansvaret i organisationen, krav til leverandører, kunder og andre eksterne samarbejdspartnere samt lovgivning mv. 2. Retningslinjer Den overordnede politik uddybes i målrettede selvstændige retningslinjer, som kan anvendes direkte til en specifik målgruppe. Disse retningslinjer kan være offentlige som f.eks. Pixi-bogen, der er rettet mod medarbejderne i 2010 Ovenstående anbefalinger vil indgå som et ændringsønske - senest når direktionen finder tiden moden til at foretage en revision og omstrukturering af den nuværende sikkerhedspolitik, vedtaget i Forinden vil It-centeret i dialog med revisionen foretage en konkretisering af ændringsønsket i forhold til opgavens omfang og organisationens medinddragelse, herunder et estimat af medgået tid og omkostninger set i forhold til nytteværdi Der afventes i Egedal Kommune en afklaring af hvor ansvaret for sikkerhedspolitikken er funderet efter organisationsændringerne i Egedal Kommune. Indtil da udføres der opfølgning på sikkerhedspolitikkens nuværende formu- PwC 1

8 Nr. Prio. Observation Risiko Anbefaling er i vurderingen af konsekvenser. Ligeledes mangler der en stillingtagen til risici ved uautoriseret adgang til systemer og data (f.eks. datamanipulation, datadestruktion eller lignende). 3. Det ikke-offentlige bilag synes at være en driftshåndbog vedrørende udvalgte væsentlige områder som eksempelvis backup og restore, og ikke en decideret instruks til politikken. Materialet indeholder samtidig en driftsmæssig risikovurdering, der ikke tydeligt beskriver handlingsplaner. 4. Dokumenterne mangler generelt en header med dokumentinformation/journalinformation. Status 2012: Området er uændret pga. igangværende organisationsændringer. Status 2013: Status er ifølge det oplyste uændret som følge af, at der arbejdes på et driftssamarbejde mellem flere kommuner med virkning fra 1/ Status 2014: Vi har ved gennemgangen fået oplyst, at kommunen i efteråret 2013 har ændret retningslinjer samt etableret procedurer for ledelsestilsyn i forbindelse med implementering af nyt personale og økonomisystem. Ifølge det oplyste er den overordnede itsikkerhedspolitik og informationssikkommunen, eller de kan være interne som f.eks. retningslinjer for sikkerhed i infrastrukturen på Windows AD eller baselines til serveropsætning. Ligeledes anbefaler vi, at der i de formelle kontrakter med eksterne samarbejdspartnere tilføjes et afsnit, som beskriver retningslinjer og ansvar for sikkerhed i forbindelse med f.eks. driftsopgaver. 3. Politikkens ikrafttræden, gyldighed og omfang samt godkendelse og krav til opfølgning: Politikkens dokumenter forsynes med en journal-header, (godkendelsesdato, versionsnummer, ændrings-log og ændret af, godkendt af mv.). lering af it-afdelingen under Center for ejendomme og intern service. Den ny ansvarlige afdeling vil blive bedt om at tage fat i pkt. A1 s anbefalinger Kommentar ikke modtaget 2014 Egedal Kommune er i gang med en transaktion fra DS484 til ISO27001 og 002, hvoraf vi forventer en fuld operationel Informationssikkerhedspolitik med tilhørende regelsæt og beskrevne procedurer. Informationssikkerhedspolitikken forventes at ligge færdig 3. kvartal 2015 hvor efter den skal godkendes i Byrådet Den overordnede politik forventes godkendt ultimo Sikkerhedshåndbog og procedurebeskrivelser har afventet formel godkendelse af PwC 2

9 Nr. Prio. Observation Risiko Anbefaling er kerhedspolitikkens struktur dog uændret. Status marts 2015: Vi har ved gennemgangen fået oplyst, at den overordnede itsikkerhedspolitik og informationssikkerhedspolitikkens struktur er uændret. Egedal har for et år siden udarbejdet et internt notat, hvor en række udfordringer vedrørende sikkerhedspolitik og organisering og styring af sikkerhedsarbejdet er identificeret. Arbejdet med at styrke dette er ifølge det oplyste prioriteret med ansættelsen af en ny digitaliseringschef primo Status januar 2016: Vi har ved gennemgangen fået oplyst, at den overordnede itsikkerhedspolitik og informationssikkerhedspolitikkens struktur endnu er uændret. Vi er dog blevet oplyst, at der arbejdes på at udarbejde en ny informationssikkerhedspolitik, hvilket forventes færdig ultimo anden kvartal Status januar 2017: Vi har ved revisionen gennemgået ny overordnet informationssikkerhedspolitik for Egedal Kommune, der er godkendt af byrådet i november Der udestår dog fortsat en udmøntning af informationssikkerhedspolitikken i Informationssikkerhedspolitikken hvilket skete november Som led i implementeringsplanen for ISO vil Sikkerhedshåndbog være opdateret medio PwC 3

10 Nr. Prio. Observation Risiko Anbefaling er ajourførte retningslinjer og procedurer der fortsat er uændret i sin udformning fra før IT-Forsyningen. I den godkendte informationssikkerhedspolitik er dog fastlagt krav om, at retningslinjer og procedurer for systemer og håndtering af informationer minimum gennemgås én gang årligt af systemejerne. Vi anser fortsat punktet for åbent SD-Løn Mangelfulde procedurer vedrørende administration af adgang til informationssystemer og tjenester hos JN Data Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller i tilknytning til drift af applikationerne i Silkeborg Løn konstateret, at der etableret procedurer for administration af adgang til informationssystemer og tjenester hos JN Data. Silkeborg Data har valgt at outsource driften af it-platform til Jyske Bank, der benytter JN Data som underleverandør. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for JN-Data, konstateret behov for styrkelse af procedurer vedrørende administration af adgang til informationssystemer og tjenester bl.a. omfattende: Mangelfulde procedurer vedrørende administration af adgang til informationssystemer og tjenester hos JN Data øger risikoen for, at uvedkommende kan opnå uautoriseret adgang til systemer og data, der relaterer sig til Egedal Kommunes anvendelse af Silkeborg Løn. Vi anbefaler, at der rettes henvendelse til Silkeborg Data med henblik på, at få rettet op på de konstaterede svagheder i de etablerede procedurer Vi er enige i observationen. Personaleafdelingen vil anmode Silkeborg Data om at stramme op på svaghederne i de etablerede procedurer i henhold til revisionspunktet ved næstkommende møde. Personaleafdelingen vil i denne forbindelse efterspørge en løsning og tidshorisont for procedurerne Den blev der afholdt statusmøde med SD og problemerne er blev nævnt overfor SD. Vi har ikke modtaget svar fra SD om løsning og tidshorisont. Den bliver der afholdt statusmøde med SD, hvor PwC 4

11 Nr. Prio. Observation Risiko Anbefaling er Registrering af bruger hos JN Data: Der er konstateret behov for styrkelse af processen for godkendelse og tildeling af administrative rettigheder. Udvidede adgangsrettigheder hos JN Data: For flere af de reviderede operativsystemer og database er det konstateret, at der er tildelt privilegerede adgangsrettigheder, der ikke vurderes at være begrundet i et arbejdsbetinget behov. Periodisk gennemgang af brugerenes rettigheder hos JN Data: På nogle områder er det konstateret behov for styrkelse af processen for regelmæssig gennemgang af brugernes adgangsrettigheder. Styring af adgangskoder JN Data: For nogle operativsystemer og databaser mv. er der konstateret afvigelser vedrørende krav til kompleksitet og passwordlængde. Status marts 2016: Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller i tilknytning til drift af applikationerne i Silkeborg Løn for perioden 1. januar 31. december 2015 konstateret, at enkelte af de ovennævnte forhold er udbedret. Serviceleverandørens revisor har ved gennemgangen af de generelle itproblemerne bliver nævnt. Vi vil efterspørge en løsning og en tidshorisont Egedal Kommune er meget opmærksomme på procedure for tildeling af administrative rettigheder i SD- Løn, såvel som andre forretningskritiske systemer. Vi forventer at proceduren er dokumenteret og begrundet medio Til oreintering er Silkeborg Data blevet kontaktet omkring disse adgange. Pr. 27/ har vi ikke modtaget noget svar endnu. PwC 5

12 Nr. Prio. Observation Risiko Anbefaling er kontroller for JN-Data, konstateret forsat behov for styrkelse af procedurer vedrørende administration af adgang til informationssystemer og tjenester vedrørende: Udvidede adgangsrettigheder hos JN Data: Der er konstateret behov for styrkelse af processen for godkendelse af tildeling af administrative rettigheder. På visse områder er det konstateret, at der er tildelt adgangsrettigheder, der ikke er betinget af et arbejdsbetinget behov. Status februar 2017 Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller i tilknytning til drift af applikationerne i Silkeborg Løn for perioden 1. januar 31. december 2016 (version 2) konstateret, at ovennævnte forhold delvist er udbedret. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for JN-Data, konstateret forsat behov for styrkelse af procedurer vedrørende administration af adgang til informationssystemer og tjenester vedrørende: Udvidede adgangsrettigheder hos JN Data: Der er konstateret behov for styrkelse af processen for godkendelse af tildeling af admini- PwC 6

13 Nr. Prio. Observation Risiko Anbefaling er strative rettigheder. Svagheden er udbedret primo december Der er på platformene Citrix, RACF og SQL oprettet administrative brugere, som ikke har et arbejdsbetinget behov for adgangen. Vi anser fortsat punktet for åbent. 2. Drift af datacentre og netværk Ref: C Manglende beredskabsplan Under gennemgang af beredskab og nødplaner har vi observeret, at der ikke eksisterer en formaliseret og testet beredskabsplan. Der er beskrevet en forretningsmæssig stillingtagen til risici, og der er etableret serviceaftaler, men en operationel beredskabsplan er ikke udarbejdet. Status 2012: Området er under udarbejdelse. Der er dog endnu ikke udarbejdet en egentlig it-beredskabsplan og nødplaner. Status 2013: Status er ifølge det oplyste uændret. Udarbejdelse af it-beredskabsplan og nødplaner forventes prioriteret og igangsat i forbindelse med det fælles driftsselskab i Status 2014: Status er ifølge det oplyste uændret. Udarbejdelse af it-beredskabsplan og Manglende beredskabsplan og test heraf skaber risiko for, at it-anvendelsen ikke kan genetableres inden for rimelig tid i forbindelse med omfattende skader på it-systemerne. Dette kan få væsentlig betydning for kommunens adgang til systemer og data. Vi anbefaler, at der ud fra en risikoanalyse etableres og på realistisk vis afprøves en beredskabsplan for itanvendelsen, således at tilgængeligheden til it-systemerne tilgodeses mest muligt. Planen bør opbevares på et sikkerhedsmæssigt forsvarligt sted og være tilgængelig for alle nøglepersoner i krisesituationer. Planen bør indeholde: 1. En organisatorisk nødplan, der beskriver, hvilke roller (handlinger) der skal udføres i en katastrofesituation, samt navngiver de personer, der har ansvaret for de enkelte roller (interne og eksterne). 2. En disaster recovery-plan, der beskriver, hvorledes kommunen vil udføre den tekniske reetablering af it-anvendelsen. Disaster recovery-planen bør indeholde en prioriteret liste over, hvilke sy Anbefalingerne tages til efterretning. Arbejdet omkring beredskabsplaner vil blive drøftet med og tilpasset Beredskabscentrets øvrige nødplaner, så Itforsyningen har sammenhæng med øvrig forsyningsvirksomhed, hvor kommunen har udarbejdet nødplaner for. It-centeret vil optage emnet som prioriteret indsatsområde i års- og udviklingsplanen for Arbejdet forventes prioriteret og igangsat i løbet af 2012/2013. PwC 7

14 Nr. Prio. Observation Risiko Anbefaling er nødplaner forventes fortsat prioriteret og igangsat i forbindelse med det fælles driftsselskab i Status marts 2015: Status er ifølge det oplyste uændret. Vi har fået oplyst, at kommunen vil prioritere arbejdet med deres procedurer i forhold til beredskabet i løbet af Under vores gennemgang af itkontroller hos IT-Forsyningen I/S vedrørende Egedal Kommune, har vi observeret, at der udarbejdet en beredskabsplan, dateret 29. december Planen har således ikke været effektiv for Status januar 2016: Status er ifølge det oplyste uændret. Vi har ved gennemgang fået oplyst at udarbejdelse af it-beredskabsplan og nødplaner forventes færdig i forlængelse af det forestående arbejde med ny informationssikkerhedspolitik ultimo anden kvartal Status februar 2017: Vi har fået oplyst, at Egedal har igangsat en handleplan for udarbejdelse af risikoanalyser og organisatorisk nødplan. Arbejdet med beredskabsplaner er ikke på plads endnu. Vi anser fortsat punktet for åbent. stemer der vurderes mest kritiske for kommunen (er udarbejdet), samt en beskrivelse af hvorledes de enkelte aktiver er indbyrdes afhængige (f.eks. interfaces, infrastruktur mv.). 3. En forretningsmæssig nødplan, der beskriver, hvorledes og i hvilket omfang det er muligt at videreføre de daglige forretningsgange i den periode, hvor kommunens it ikke er tilgængelig Kommentar ikke modtaget 2014 Egedal Kommune har en kommunikationsplan for IT- Beredskabet. Informationssikkerhedspolitikken ud fra ISO27001, vil indeholde en fuldt udbygget og gennemtestet beredskabsplan, herunder tidsplaner for gentest ud fra forskellige senarier Det findes en midlertidig beredskabsplan, som bliver afløst af en ny beredskabsplan jf. status på informationssikkerhedspolitik (pkt ) 2016 Det er korrekt, at der ikke er et samlet overblik over eksisterende beredskabsplaner for kritiske systemer. På baggrund af en beredskabstest ultimo 2016 på området Social omsorg kunne det konstateres, at der reelt er instrukser der adresserer systemnedbrud. Egedal Kommune har igangsat en gennemgang af øvrige eksi- PwC 8

15 Nr. Prio. Observation Risiko Anbefaling er sterende beredskabsplaner med henblik på en opdatering af beredskabsplaner for de enkelte systemer såvel som etablering af en generisk plan. Derudover er det besluttet, at risikovurderinger skal gennemføres som en fast årlig aktivitet. PwC 9

16 Nr. Prio. Observation Risiko Anbefaling er Ref: C Generelt: Logning og opfølgning på hændelser Under gennemgang af logning har vi observeret, at logningsniveauet på Windows AD er tilstrækkeligt. Vi har imidlertid fået oplyst, at der ikke foretages regelmæssig vurdering af log-data. Status 2012: Status på området, er ved at blive undersøgt af kommunen. Status 2013: Status er ifølge det oplyste uændret. Det forventes at en løsning i det fælles selskab vil blive implementeret i Status 2014: Status er ifølge det oplyste uændret. Det forventes stadigvæk, at en løsning i det fælles selskab vil blive implementeret i Status marts 2015: Under gennemgangen har vi fået oplyst, at IT-Forsyningen har opgaven med at overvåge driften herunder gennemgå logning. Det er oplyst, at der p.t. ikke er fastlagt en SLA herfor. Under gennemgang af procedurerne hos IT-Forsyningen har vi fået oplyst, at der løbende sker overvågning af driften og opfølgning på driftshændelser. Ved vores gennemgang af logningsniveauet på Windows AD har vi dog ob- Utilstrækkelig logning af hændelser på Windows AD medfører risiko for, at hændelser og uautoriserede handlinger på systemerne ikke opdages rettidigt. Vi anbefaler, at log-data gennemgås regelmæssigt, f.eks. ved anvendelse af konsolideret logning og analyseværktøjer, som kan sende alarmer vedrørende foruddefinerede hændelser, der bør undersøges nærmere. Ligeledes anbefaler vi, at der etableres en central log-server, hvor de respektive logs kan opbevares, således at adgang kun er mulig for udvalgte personer. Anbefaling marts 2015: Endvidere anbefaler vi, at der fastsættes krav til logning, således at Audit Process Creation, Directory Service Changes, Sensitive Privilege Use samt Logon og Logoff sættes til at logge både Success og Failure. Anbefalingen følges. Itcenteret vil, inden en løsning idriftsættes, foretage en vurdering af metode og værktøj, således at dataindsamling, hændelsesgennemgang og rapportering kan ske med størst mulig automatik og effektivitet og med mindst mulig ressourceindsats. Løsningen forventes implementeret inden udgangen af Arbejdet blev ikke gennemført i 2011 og vil derfor blive opprioriteret i Kommentar ikke modtaget 2014 Egedal Kommune og IT- Forsyningen er pt. i gang med at udvikle en generel SLA. Egedal Kommune er under afklaring af, om vi skal stilles krav til IT- Forsyningen om, at de skal etablere en fælleslog-server samt opstille procedure for gennemgang af logs i for- PwC 10

17 Nr. Prio. Observation Risiko Anbefaling er serveret, at logningen flere steder er utilstrækkelig i forhold til god praksis. Dette gælder lognings indstillingerne: Audit Process Creation, Directory Service Changes, Sensitive Privilege Use samt Logon og Logoff, hvor der enten ikke logges eller alene logges ved succes. Status marts 2016: Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller og effektiviteten heraf for perioden til for IT-Forsyningen I/S observeret, at serviceorganisationens revisor har givet forbehold i erklæringen vedrørende området 12.4 Logning og overvågning, jf. observation Endvidere har vi ved vores gennemgang af logningsniveauet på Windows AD observeret, at logningen flere steder er utilstrækkelig i forhold til god praksis. Dette gælder logningsindstillingerne: Process Creation, Directory Service Changes, Logon, Other Logon/Logoff Events, Special Logon, Audit Policy Change og Sensitive Privilege Use, hvor der enten ikke logges eller alene logges ved succes. Status januar 2017 Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller og effektiviteten heraf for perioden til bindelse med opståede hændelser. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde sig til den aktuelle problemstilling Status er uændret. Egedal kan stille krav til IT- Forsyningen, om at der opstilles en logningsserver i samspil med øvrige kommuner. Kan ske i regi af itsamarbejdskredsen Egedal Kommune har overfor IT-forsyningen konkretiseret ønsket niveau for logning baseret på anbefalinger fra PWC. Der udestår en implementering, og vi afventer pt. en implementeringsplan fra IT-forsyningen I/S PwC 11

18 Nr. Prio. Observation Risiko Anbefaling er for IT-Forsyningen I/S observeret, at serviceorganisationens revisor har givet forbehold i erklæringen vedrørende området 12.4 Logning og overvågning, jf. observation Endvidere har vi ved vores gennemgang af logningsniveauet på Windows AD observeret, at logningen flere steder er utilstrækkelig i forhold til god praksis og logningsniveauet er reduceret sammenlignet med Dette gælder logningsindstillingerne: Credential Validation, Kerberos Authentication Service, Kerberos Service Ticket Operations, Other Account Logon Events, Process Creation, Directory Service Changes, Logon, Other Logon/Logoff Events, Special Logon, Audit Policy Change, Authentication Policy Change, Sensitive Privilege Use, Security State Change, Security System Extension og System Integrity, hvor der enten ikke logges eller alene logges ved succes. Vi har fået oplyst, at kommunen er gået i gang med at undersøge mulighederne for at implementere det anbefalede logningsniveau. Vi anser fortsat punktet for åbent Kontrolsvagheder vedrørende generelle it-kontroller hos IT- Forsyningen I/S Vi har ved gennemgang af modtaget Generelle kontrolsvagheder vedrørende generelle itkontroller hos IT-Forsyningen I/S vedrørende drift og vedligeholdelse af infrastruktur, Vi anbefaler, at kommunen sammen med de øvrige ejerkommuner og IT- Forsyningen I/S igangsætter initiativer, for at imødegå de konstaterede svagheder i de konstaterede kontrol Anbefalingen vil i lighed med den samlede revisions- PwC 12

19 Nr. Prio. Observation Risiko Anbefaling er ISAE 3402-erklæring vedrørende generelle it-kontroller og effektiviteten heraf for perioden til for IT-Forsyningen I/S i tilknytning til teknisk drift af infrastruktur, servere, databaser, datalager m.m. af systemer som kommunen ikke har outsourcet til andre serviceleverandører, konstateret, at der på de fleste kontrolområder er etableret procedurer og kontroller vedrørende it-sikkerhed, drift og vedligeholdelse af disse systemer. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for IT-Forsyningen I/S konstateret behov for styrkelse af kontroller for følgende kontrolområder, hvor de etablerede kontroller ikke er tiltrækkeligt effektive til at sikre opfyldelsen af de beskrevne kontrolmål, hvorfor der er afgivet erklæring med forbehold: Område 5.1 Retningslinjer for styring af informationssikkerhed: At levere midler til styring af og støtte for it-sikkerhed i overensstemmelse med forretningens krav og med relevante bestemmelser. Område 8.2 Klassifikation af information: At sikre passende beskyttelse af information, der står i forhold til informationens betydservere, databaser, datalager m.m. for systemer som er outsourcet til IT-forsyningen I/S øger risikoen for, kommunens krav til it-sikkerhed for anvendte systemer ikke efterleves, herunder at uvedkommende kan opnå uautoriseret adgang til systemer og data, der relaterer sig til Egedal Kommune. ler og kontrolområder. rapport vendes i samarbejde med IT-Forsyningen med henblik på at finde fælles overenskomst om velegnede løsninger på området Egedal Kommune noterer at IT-forsyningen på de fleste kontrolområder har etableret procedurer og kontroller vedrørende it-sikkerhed, drift og vedligeholdelse af systemer. Hvad angår de resterende kontrolsvagheder, er det forventningen at dette bringes på plads i indeværende år. PwC 13

20 Nr. Prio. Observation Risiko Anbefaling er ning for organisationen. Område 12.4 Logning og overvågning: At registrere hændelser og tilvejebringe bevis. Område 12.5 Styring af driftssoftware: At sikre integriteten af driftssystemer (ok fra oktober 2015 og frem). Område 18.2 Gennemgang af informationssikkerhed: At sikre, at informationssikkerhed er implementeret og drives i overensstemmelse med organisationens politikker og procedurer. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for IT-Forsyningen I/S endvidere konstateret behov for styrkelse af it-kontroller på andre områder, herunder: Politik for adgangsstyring (9.1.1): Det er konstateret, at der ikke er udarbejdet en politik for adgangsstyring, som har været godkendt af ledelsen i hele revisionsperioden. Brugerregistrering og afmelding (9.2.1): Der er konstateret, at der ikke er udarbejdet en formel procedure i forbindelse med brugerregistrering og afmelding. Det er dog konstateret, at alle brugerre- PwC 14

21 Nr. Prio. Observation Risiko Anbefaling er gistreringer og afmeldinger håndteres via Service-Desk- Systemet. Begrænset adgang til informationer (9.4.1) samt procedure for sikker logon (9.4.2): Det er konstateret, at der ikke er en fast dokumenteret proces til at sikre en ensartet eller specifik opsætning af servere og platforme, herunder password. Der er yderligere konstateret, at passwordkonfigurationen på kommunernes domains ikke i alle henseender er opsat efter normal best practice eller i overensstemmelse med IT- Forsyningens passwordpolitik. Fysisk adgangskontrol (11.1.2): Det er konstateret, at ejerkommunerne Ballerup og Værløse varetager oprettelsen og nedlæggelsen af adgange til serverrum på trods af, at IT-Forsyningen I/S har ansvaret for at sikre, at kun medarbejdere med godkendt arbejdsbetinget behov får adgang til serverrummene. Ejerkommunerne kan derved oprette og nedlægge brugeradgang løbende uden IT- Forsyningen er bekendt hermed. Netværksstyring (12.6.1): Det er konstateret at der ikke periodisk foretages scanninger af netværket, med henblik på at sikre, at der ik- PwC 15

22 Nr. Prio. Observation Risiko Anbefaling er ke er såbarheder. Sikring af netværkstjenester (13.1.2): Det er konstateret, at der ikke er udarbejdet serviceaftaler vedrørende driften af netværk for kommunerne samt for IT- Forsyningens eget netværk, indeholdende bl.a. stillingtagen til sikkerhedsforanstaltninger, SLA og ansvarsplacering. Verificer, gennemgå og evaluer informationssikkerhedskontinuiteten (17.1.3): Det er konstateret, at der er foretaget test af kommunikationskanaler i tilfælde af en beredsskabssituation. Der har dog ikke været foretaget yderligere skrivebordstest af beredskabsplanen. Status april 2017 Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller og effektiviteten heraf for perioden til for IT-Forsyningen I/S i tilknytning til teknisk drift af infrastruktur, servere, databaser, datalager m.m. af systemer som kommunen ikke har outsourcet til andre serviceleverandører, konstateret, at der på de fleste kontrolområder er etableret procedurer og kontroller vedrørende it-sikkerhed, drift og vedligeholdelse af disse systemer. PwC 16

23 Nr. Prio. Observation Risiko Anbefaling er Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for IT-Forsyningen I/S konstateret behov for styrkelse af kontroller for følgende kontrolområder, hvor de etablerede kontroller ikke er tiltrækkeligt effektive til at sikre opfyldelsen af de beskrevne kontrolmål, hvorfor der er afgivet erklæring med forbehold: Område 8.2 Klassifikation af information: At sikre passende beskyttelse af information, der står i forhold til informationens betydning for organisationen. Område 12.4 Logning og overvågning: At registrere hændelser og tilvejebringe bevis. Område 12.6 Styring af driftssoftware: At forhindre, at tekniske sårbarheder udnyttes. Område 18.1 Overensstemmelse med log- og kontraktkrav: At forhindre overtrådelse af lov-, myndigheds- eller kontraktkrav i relation til informationssikkerhed og andre sikkerhedskrav. Område 18.2 Gennemgang af informationssikkerhed: At sikre, at informationssikkerhed er implementeret og drives i overensstemmelse med organisationens politikker og procedurer. PwC 17

24 Nr. Prio. Observation Risiko Anbefaling er Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for IT-Forsyningen I/S endvidere konstateret behov for styrkelse af it-kontroller på andre områder, herunder: Procedurer for sikker logon (9.4.2): Det er konstateret, at passwordkonfigurationen på kommunernes domains ikke i alle henseender er opsat efter normal best practice eller i overensstemmelse med IT-Forsyningens passwordpolitik. Fysisk adgangskontrol (11.1.2): Det er konstateret, at ejerkommunerne Ballerup og Værløse varetager oprettelsen og nedlæggelsen af adgange til serverrum på trods af, at IT-Forsyningen I/S har ansvaret for at sikre, at kun medarbejdere med godkendt arbejdsbetinget behov får adgang til serverrummene. Ejerkommunerne kan derved oprette og nedlægge brugeradgang løbende uden IT- Forsyningen er bekendt hermed. Dokumenterede driftsprocedurer (12.1.1): Det er konstateret, at der ikke er overvågning af netværket for Furesø Kommune. Sikring af netværkstjenester (13.1.2): Det er konstateret, at der ikke er udarbejdet serviceaftaler PwC 18

25 Nr. Prio. Observation Risiko Anbefaling er vedrørende driften af netværk for kommunerne samt for IT- Forsyningens eget netværk, indeholdende bl.a. stillingtagen til sikkerhedsforanstaltninger, SLA og ansvarsplacering. 3. Anskaffelse, ændringer og vedligeholdelse af systemsoftware Ingen bemærkninger. 4. Adgangssikkerhed Ref: D Generelt: Opfølgning på brugeradministration Under gennemgang af brugeradministration generelt og opfølgning herpå har vi observeret, at der er udarbejdet procedurer for brugeradministration, og at denne skal sikre godkendelser af brugeroprettelser på de væsentligste applikationer i kommunen. Der er derimod endnu ikke implementeret en kontrol, som skal følge op på, om procedurerne reelt efterleves. Vi har i forbindelse med vores gennemgang af området fået oplyst, at implementeringen af kontrollen lader vente lidt på sig af hensyn til ressourceprioriteringer. Status 2012: Området er uændret. Status 2013: Status er ifølge det oplyste uændret. Mangelfuld overholdelse af kommunens procedure for nedlæggelse af brugeradgang til kommunens systemer og data medfører risiko for at brugeradgangen ikke spærres / slettes rettigdigt i forbindelse med medarbejderens fratrædelse, hvilket medfører øget risiko for uautoriseret adgang til væsentlige systemer og data. Vi anbefaler, at etableringen af denne kontrol prioriteres, således at systemejerne kan få et reelt grundlag at foretage oprydning og godkendelse på, på regelmæssig basis. Marts 2015 Vi anbefaler endvidere, at kommunen indskærper over for de ansvarlige ledere, at informere de relevante systemejere om medarbejdernes fratrædelse eller alternativt etablerer en fælles indgang til indberetning heraf Anbefalingen følges. Arbejdet med en ensartet tilgang til brugeradministration og kontrolprocedurer vil blive igangsat i efteråret 2011 i forbindelse med opstart af Itsikkerhedskoordinatorgruppens arbejde Punktet er fortsat åbent da der ultimo indføres nyt personale og økonomisystem. Ved denne implementering sker der en decentralisering som har indflydelse på den interne revision. Der vil i 2013 blive udarbejdet en ny intern revisionsprocedure. PwC 19

26 Nr. Prio. Observation Risiko Anbefaling er Revideret procedure vil blive implementeret i forbindelse med nyt økonomisystem & lønsystem i foråret Status 2014: Det er oplyst, at procedurer for brugeradministration og tildeling af systemadgange er ajourført i forbindelse med implementering af nyt personale og økonomisystem, Prisme. Endvidere er der i efteråret 2013 implementeret procedurer for ledelsestilsyn. Vi har gennemgået procedurer for ledelsestilsyn pr. oktober 2013 og observeret, at tilsynet ikke vedrører brugeradgang til systemer, men omfatter andre forhold omkring personale og økonomi. Det er oplyst, at procedure for kontrol af Prismebrugere og deres tildelte rettigheder er under udarbejdelse. Status marts 2015: I forbindelse med test af kommunens procedurer for brugeradministration for brugeradgang til Windows, Prisme og SD-løn, har vi observeret, at procedurerne for spærring / nedlæggelse af brugerkonti ved fratrædelse, ikke følges konsekvent. Der er således fortsat ikke etableret en effektiv kontrol, der sikrer at procedurerne efterleves. Ved gennemgangen har vi observeret 12 tilfælde ud 25 fratrådte medarbejdere, hvor der ikke foreligger dokumentation fra lederen om, at vedkommende fratræder og adgang til systemer og 2013 Kommentar ikke modtaget 2014 Vi er enige i observationen. Vi vil fra økonomiafdelingen indskærpe proceduren om brugeradministration over for de ansvarlige ledere i Egedal kommune. Egedal Kommune er i samarbejde med Ballerup og Furesø Kommuner ved at etablere en føderationsløsning til sikring af den aktuelle problematik. Se endvidere pkt Se ovenfor. PwC 20

27 Nr. Prio. Observation Risiko Anbefaling er data skal spærres. Særligt for adgang til Windows netværket har vi observeret, at brugerkontiene fortsat er aktive, da der ikke forligger en nedlæggelsessag hos IT- Forsyningen I/S herom. Vedrørende Prisme har vi observeret, at medarbejderne i Center for Økonomi og Finans generelt er opmærksomme på fratrådte medarbejdere og at adgang til Prisme i de fleste tilfælde er spærret, undtagen i to tilfælde, hvor adgangen fortsat er aktiv. Status april 2016: I forbindelse med test af kommunens procedurer for brugeradministration for brugeradgang til Windows, Prisme og SD-løn, har vi observeret, at procedurerne for spærring / nedlæggelse af brugerkonti ved fratrædelse, fortsat ikke følges konsekvent. Der er således fortsat ikke etableret en effektiv kontrol, der sikrer at procedurerne efterleves. Dette gælder særligt for Windows netværket, hvor vi ved gennemgang har observeret 42 brugerkonti, der fortsat var aktive trods fratrædelse. Vedrørende Prisme har vi observeret, at adgang til Prisme i de fleste tilfælde er spærret, undtagen i fire tilfælde, hvor adgangen fortsat er aktiv. Status januar 2017: Vi har fået oplyst, at Egedal Kommune PwC 21

28 Nr. Prio. Observation Risiko Anbefaling er har igangsat arbejde med at tydeliggøre onborading og off-boarding processen, hvorved forholdene p.t. er uændrede. I forbindelse med vores test af kommunens procedurer for brugeradministration, har vi konstateret to brugerkonti i Windows og Prisme der fortsat var aktive trods fratrædelse. Vi har efterfølgende fået oplyst, at de er disabled i Windows. Vi vil følge op herpå i forbindelse med revisionen Punktet lukkes Ref: D Prisme: Adgang til stamdata vedrørende kreditorer Under gennemgang af udvalgte brugerroller i Prisme har vi observeret brugere, der er tildelt adgang gennem brugerrollerne Betroet og Regnskab, som tilsammen giver mulig adgang til at oprette / ændre stamdata vedrørende kreditorer samtidig med de også har adgang til at foretage registreringer. Efter det oplyste har kommunen ikke etableret kontrol med ændring af stamdata. Status marts 2015: Status er ifølge det oplyste uændret. Status januar 2016: Kommunens indførte ledelsestilsyn retter sig ikke specifikt mod kontrol med stamdata, hvorved der er risiko for, at medarbejdere utilsigtet eller tilsigtet kan ændre stamdata med risiko for at der sker misbrug af kommunens midler. Vi anbefaler, at kommunen styrker kontrollen med ændring af stamdata, særligt vedrørende kreditorer enten gennem etablering af systemmæssig funktionsadskillelse i Prisme således at medarbejdere, der er bemyndiget til at oprette / ændre stamdata ikke samtidigt kan foretage registreringer eller at ændringer i udvalgte kreditorstamdata systemmæssigt registreres i en log, der gennemgås periodisk af betroet personale eventuelt gennem det etablerede ledelsestilsyn Vi er enige i observationen. Økonomiafdelingen vil foretage en gennemgang af brugerrollerne Betroet og Regnskab for en tilpasning af rollerne på kreditor siden. Herudover vil økonomiafdelingen etablere en kontrol af dem der har adgang til brugerrollerne Betroet og Regnskab der sikre at der ikke foretages utilsigtet eller tilsigtet ændringer eller registreringer i kreditorerne PwC 22

29 Nr. Prio. Observation Risiko Anbefaling er Status er ifølge det oplyste uændret. Vi har ved gennemgang fået oplyst, at en styrket kontrol med adgang til stamdata forventes implementeret i forlængelse af det forestående arbejde med ny informationssikkerhedspolitik ultimo anden kvartal Status januar 2017: Ved gennemgang af brugerroller i Prisme observeret brugere, der fortsat har adgang til brugerrollerne Betroet og Regnskab. Kommunen oplyser, at der p.t. ikke er etableret en kontrolprocedure. Vi anser fortsat punktet for åbent. Økonomiafdelingen foranlediger at der opsættes kontrolprocedure for ændringer af stamdata på kreditorer i Det er korrekt, at procedure for manuelt tildelte adgange fortsat ikke er dokumenteret og underkastet kontrol. Dette udestående vil bringes på plads med udgangen af maj 2017, hvor vi planlægger at udarbejde en kontrolprocedure med angivelse af frekvens og omfang. Team Regnskab planlægger en fast kontrol af alle manuelt tildelte adgange, incl. "Betroet" og "Regnskab". Ændringer af alle brugere med adgang til af ændre kreditoroplysninger skal ligeledes løbende kontrolleres Ref: D Windows AD: Manglende skift af password Under gennemgang af Windows AD har vi observeret, at 118 bruger-id (hvor password er sat til, at det kan skiftes) ikke har påtvunget passwordskift i henhold til den implementerede passwordpolitik. Af vores udtræk fremgår det, at der eksisterer en del personlige bruger-id, Der er risiko for, at password bliver kendt af uvedkommende i forbindelse med systemkompromittering, afluring, bevidst eller ubevidst videregivelse eller lignende. Vi anbefaler, at alle password skiftes regelmæssigt i henhold til kravene i sikkerhedspolitikken, herunder især for medarbejdere der har udvidede rettigheder eller adgang til kritisk eller fortrolige informationer. Der bør regelmæssigt foretages en opfølgning på, om retningslinjer efterleves. De programmerede passwordkon Anbefalingerne følges. Alle brugere er i systemerne sat til at skulle ændre password inden for en kortere tidsbestemt periode. Efter revisionens gennemgang og påvisning af problemet med omgåelse hos et PwC 23

30 Nr. Prio. Observation Risiko Anbefaling er som omgår sikkerhedspolitikken, herunder en række, der tilhører medarbejdere i it-centeret. Status 2012: Vi har fået oplyst, at Windows brugerne gennemgås regelmæssigt og at personspecifikke brugere skifter password regelmæssigt. Vi har modtaget udskrift, som viser at de brugere som ikke skifter password er systembrugere og inaktive testbrugere. Vi anser punktet for lukket. Status 2013: Under gennemgang af Windows AD har vi observeret 5 aktive bruger-id, hvor password ikke er skiftet i henhold til kommunens politik. Det omfatter alle eksterne konsulent konti. Det er oplyst, at forholdet straks rettes. Status 2014: Status er ifølge det oplyste, at forholdet er blevet rettet ad to omgange. Status marts 2015: Under vores gennemgang af Windows AD har vi observeret 2 administratorkonti samt 7 almindelige brugerkonti, der ikke følger den gældende passwordpolitik om periodisk skift af password. Status marts 2016: Under vores gennemgang af Windows AD har vi observeret 3 personhenførbare konti som ikke er påtvunget krav troller bør kun omgås efter dispensation, f.eks. systembruger-id eller lignende - og her er det i princippet ikke nødvendigt at kende password. fåtal medarbejdere, der har udvidede rettigheder eller adgang til kritisk eller fortrolige informationer, vil Itcenterets ledelse periodisk gennemgå disse konti med henblik på at imødekomme den type af sikkerhedsbrud. It-ledelsen har endvidere som følge af revisionens findings givet instruks til samtlige medarbejdere i Itcenteret om at følge de spilleregler, der er nedskrevet i it-sikkerhedspolitikken Kommentar ikke modtaget 2014 IT-Forsyningen vil straks sikre, at alle brugerkonti lever op til den gældende itsikkerhedspolitik. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde sig til den aktuelle problemstilling Den overordnede politik forventes godkendt ultimo PwC 24