Marts Egedal Kommune Revision af generelle it-kontroller vedrørende regnskabsaflæggelsen (ITGCFR)

Transkript

1 Marts 2018 Egedal Kommune Revision af generelle it-kontroller vedrørende regnskabsaflæggelsen (ITGCFR)

2 It-chef Anders Lungholdt Informationssikkerhedskoordinator Jens Kjærulff Egedal Kommune Dronning Dagmars Vej Ølstykke 9. marts 2018 Indledning Som led i vores revision af årsregnskabet for Egedal Kommune for 2017 har vi foretaget en revision af de generelle it-kontroller (ITGCFR), som påvirker regnskabsaflæggelsen. Nærværende rapport beskriver omfanget af vores it-revision samt de væsentligste observationer og anbefalinger. Et robust it-kontrolmiljø medvirker til at sikre tilgængeligheden og den fortsatte effektivitet af kommunens it-systemer samt pålideligheden af forretningsdata. Dette sker gennem interne kontroller rettet mod fortrolighed, integritet og tilgængelighed af data og systemer. I relation til vores finansielle revision bidrager ITGCFR indirekte til at sikre oplysningerne i årsregnskabet, og applikationskontroller bidrager direkte hertil. Vores primære fokus i it-revisionen er derfor rettet mod integriteten af data og systemer. Det overordnede formål med vores it-revision er at fastlægge, i hvilket omfang vi kan basere os på virksomhedens systemer og kontroller som en del af vores revision. Dette sker for at kunne udføre dataanalyser og reducere mængden af substansrevision, der skal udføres. Ved vurderingen af itkontrolmiljøet vedrørende regnskabsaflæggelsen ser vi på det underliggende systemmiljø (databaser, operativsystemer og netværk). Som nævnt nedenfor fokuserer vores it-revision på systemer og processer vedrørende regnskabsaflæggelsen og kan ikke udstrækkes til at omhandle kommunens forretningsprocesser og interne kontroller som helhed. Omfang Vores it-revision, der er gennemført i oktober og november måned, har omfattet følgende systemer: Windows, der styrer brugernes adgang Fujitsu Prisme Økonomi SD-Løn I det omfang vi har vurdereret det relevant for vores finansielle revision har nedenstående hovedområder været omfattet af vores it-revision: 1. Ledelsens styring og organisering af it-anvendelsen: Udvikling og implementering af it-strategi og sikkerhedspolitikker Identifikation og vurdering af it-risici It-medarbejdere Styring af outsourcing-/serviceleverandører 2. Drift af datacentre og netværk 3. Change management 4. Adgang til programmer og data 5. Anskaffelse, udvikling og vedligeholdelse af applikationssystemer. Vores arbejde er baseret på forespørgsler til medarbejdere fra Center fra Administrativ Service, Digitalisering og Effektivisering, stikprøvevis test af procedurer for administration af adgang til Windows, Fujitsu Prisme og SD-Løn, samt i nødvendigt omfang inspektion af udvalgt dokumentation, herunder udskrifter af relevant parameteropsætning. PwC 2

3 Egedal Kommune anvender it-serviceleverandører for systemer vurderet væsentlige for den finansielle revision. En væsentlig del af gennemgangen af de generelle it-kontroller for disse systemer baseres derfor på årlige revisionserklæringer udarbejdet af it-serviceleverandørernes uafhængige revisorer. For året 2016 har vi gennemgået revisionserklæringer fra fra Silkeborg Data vedrørende SD-Løn, Fujitsu A/S vedrørende Prisme og IT-Forsyningen I/S. På tidspunktet for rapportens udarbejdelse har vi ikke modtaget erklæringer fra it-serviceleverandører vedrørende Vi har derfor på nuværende tidspunkt ikke haft mulighed for at påse, om regnskabsbekendtgørelsens krav er opfyldt for disse systemer. Vi anbefaler, at kommunen indhenter og vurderer itrevisionserklæringer fra kommunernes it-leverandør, så det sikres, at kommunen efterlever god itskik og gældende regnskabsbekendtgørelser. Begrænsninger i it-revisionen De observationer, der er beskrevet i denne rapport, er alene de, som vi er blevet opmærksomme på i forbindelse med vores it-revision, og som vi samtidig har vurderet, at det er relevant at medtage. Observationerne er ikke en udtømmende oversigt over alle risici eller mangler i de interne kontroller, da vi ikke er ansvarlige herfor. Vi har ikke som del af vores it-revision udført en evaluering af cybersikkerheden, og fx produktionssystemer og applikationer/databaser, der kan indeholde kritiske ikke-finansielle data, har ikke været omfattet af it-revisionen. Som følge heraf, og i lighed med andre større virksomheder, er Egedal Kommune udsat for cybersikkerhedsrisici, som ikke er blevet vurderet og afdækket som led i denne revision. Disse risici kan have en alvorlig indvirkning på fortroligheden, integriteten og tilgængeligheden af data og systemer. Som følge af deres art vil kontroller muligvis ikke forhindre eller opdage alle fejl eller udeladelser ved behandlingen eller rapporteringen af transaktioner. Herudover er fremskrivningen af enhver vurdering af funktionaliteten til fremtidige perioder undergivet risikoen for, at kontroller kan blive utilstrækkelige eller svigte. Vi anbefaler derfor, at god praksis for it-governance følges, og at initiativer, som modenhedsvurdering, cybersikkerhedsvurderinger, awareness-kampagner, konsekvensanalyser etc., gennemføres løbende. Denne rapport er udarbejdet udelukkende til ledelsen hos Egedal Kommune og må ikke helt eller delvist anvendes af eller videregives til tredjemand uden vores forudgående skriftlige samtykke. Vi påtager os intet ansvar i forhold til tredjemand, da rapporten ikke er udarbejdet med andet formål end at indgå i vores revision af årsregnskabet. Med virkning for 2014 har kommunen sammen med andre kommuner etableret et fælles itdriftssamarbejde, hvor it-driften er outsourcet i det fælles IT-Forsyningen I/S. Dette har bevirket, at en række it-funktioner nu varetages af IT-forsyningen I/S s medarbejdere i stedet for medarbejdere ansat hos kommunen. Overgangen fra intern it-drift hos den enkelte kommune til fælles itdrift i IT-Forsyningen I/S regi har efter vores opfattelse været en udfordring, som driftsselskabet fortsat arbejder på at få på plads. I revisionserklæringen for 2016 tages der forbehold på en række områder, hvor kontrollerne ikke har været tilstrækkelige. Ved revisionen for 2017 er det oplyst, at IT-Forsyningen I/S sammen med ejer-kommunerne har arbejdet på at imødekomme de anførte forhold fra 2016 og flere områder forventes at være blevet udbedret i løbet af Overordnet konklusion På baggrund af den foretagne revision er det vores samlede vurdering, at de generelle it-kontroller hos Egedal Kommune er på et acceptabelt niveau (vurderet ud fra følgende skala: Ikketilfredsstillende, acceptabel, tilfredsstillende og meget tilfredsstillende). Det er vores vurdering, at det interne kontrolmiljø hos kommunen fortsat på enkelte væsentlige områder bør styrkes, før de generelle it-kontroller kan anses for fuldt ud tilstrækkelige og effektive. PwC 3

4 Særligt vedrørende de generelle it-kontroller hos IT-Forsyningen I/S bør kommunen fortsat have et øget fokus. Det fremgår af revisionserklæringen af 7. marts 2017 fra IT-Forsyningen I/S, at der tages forbehold på en række områder, hvor kontrollerne ikke har været tilstrækkelige. Dette omfatter bl.a.: manglende formelle procedurer for klassificering og registrering af aktiver opsætning af logs og overvågning ej afstemt med de deltagende kommuner opfølgning på logs er ikke funktionsadskilt manglende procedurer for sikring af identifikation og overholdelse af relevante bestemmelser, regulering og kontraktlige forpligtelser manglende kontrol som sikrer at informationssikkerhed er implementeret og drives i overensstemmelse med organisationens politikker og procedurer IT-Forsyningen har ifølge det oplyste iværksat tiltag til udbedring heraf. De anførte forhold skal udbedres af IT-Forsyningen, men vi anbefaler at kommunen fortsat har dialog herom for at sikre at relevant opfølgning bliver foretaget. Kommunen har arbejdet videre med at styrke informationssikkerhedsarbejdet i 2017 og har i forlængelse af informationssikkerhedspolitikken arbejdet på retningslinjer og procedurer i en sikkerhedshåndbog, der p.t. foreligger i udkast. Vi har fået oplyst, at sikkerhedshåndbogen vil blive godkendt i marts måned Ved vores gennemgang af brugerrettigheder i Prisme har vi fået oplyst, at der fortsat er brugere, der er tildelt adgang gennem rollerne Betroet og Regnskab, der tilsammen muliggør adgang til at oprette / ændre stamdata vedrørende kreditorer samtidig med at brugerne også har adgang til at foretage registreringer. Dette giver en risiko for, at medarbejdere utilsigtet eller tilsigtet kan ændre stamdata med risiko for at der sker misbrug af kommunens midler. Vi har ved revisionen fået oplyst, at kommunen har etableret en kontrolprocedure herfor og har foretaget inspektion af udført kontrol for august og september måneder. Vi anbefaler, at kommunen sikrer, at kontrolproceduren styrkes gennem dokumentation af de(n), som udfører kontrollen, samt at der foretages afstemning mellem kontrolarket og udtræk af loglister fra Prisme. Som følge af Egedal Kommunes afhængighed af et robust it-kontrolmiljø anbefaler vi, at ledelsen kontinuerligt har opmærksomhed på cybersikkerhed til sikring af, at Egedal Kommune kan imødegå de fortsat stigende trusler fra cyberkriminalitet samt imødekomme de øgede regulatoriske krav og forventninger fra kunder og andre interessenter. Vi har i forbindelse med vores revision givet anbefalinger til styrkelse af sikkerheden. I forhold til gennemgangen i 2016 er to anbefalinger blevet løst, mens vi ved gennemgangen ikke har observeret nye forhold. Vores konklusion er baseret på de observationer og anbefalinger, der er anført i det vedlagte skema. PwC 4

5 Anbefalingerne i bilag 1 kan opsummeres således: Drift af datacentre og netværk It-politikker og organisation Anskaffelse, ændringer og vedligeholdelse af systemsoftware Adgangssikkerhed Anskaffelse, udvikling og vedligeholdelse af applikationssystemer Prioritet 1 0 (0) 1 (1) 0 (0) 0 (1) 0 (0) 1 (2) Prioritet 2 0 (1) 2 (2) 0 (0) 1 (1) 0 (0) 3 (4) Prioritet 3 1 (1) 0 (0) 0 (0) 0 (0) 0 (0) 1 (1) I alt 1 (2) 3 (3) 0 (0) 1 (2) 0 (0) 5 (7) I alt Prioriteringerne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 1. Tal i () angiver antal anbefalinger i Observerede forhold, som vedrører IT-Forsyningen I/S s kontrolmiljø er i bilag 1 anført i særskilte afsnit IT-Forsyningen I/S for hvert område og er samlet opsummeret ovenfor i kolonnen IT- Forsyningen I/S. De væsentligste bemærkninger (prioritet 1) er følgende: Kontrolsvagheder vedrørende generelle it-kontroller hos IT-Forsyningen I/S. Prioritet 2 og 3 anbefalingerne angiver svagheder, som påvirker den interne kontrol og risikostyring, som der bør arbejdes med på længere sigt. Center for Administrativ Service, Digitalisering og Effektivisering har haft lejlighed til at gennemgå dette brev og medfølgende observationsskema, og Egedal Kommunes kommentarer er indarbejdet i observationsskemaet. Såfremt der måtte være kommentarer eller spørgsmål til ovennævnte, er I velkommen til at kontakte os. Vi vil gerne benytte lejligheden til at takke for et godt samarbejde i forbindelse med vores revision. Med venlig hilsen PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab Jesper Møller Langvad Jesper Parsberg Madsen Rainer Petersen statsautoriseret revisor statsautoriseret revisor it-revisor PwC 5

6 Prioritet skal ses i forhold til det reviderede område og er defineret således: Prioritering 1. Væsentlig mangel Beskrivelse Dette er et alvorligt problem vedrørende intern kontrol, risikostyring eller rapportering, som kan medføre a. betydelige fejloplysninger i regnskab / bogføring som følge af væsentlige fejl eller mangler og / eller b. overtrædelse af gældende love, regler og retningslinjer. Bør omgående vurderes af ledelsen og eventuelt på bestyrelsesniveau. 2. Betydelig svaghed Dette er et problem vedrørende intern kontrol, risikostyring eller rapportering, som kan føre til a. unøjagtigheder i regnskab/bogføring b. mangel på kontrol i den reviderede organisatoriske enhed eller proces; og / eller c. overtrædelse af gældende love, regler og retningslinjer. Bør behandles af ledelsen inden for rimelig tid. 3. Svaghed Dette er et problem vedrørende intern kontrol eller risikostyring, hvis løsning vil føre til: a. forbedring af kvaliteten og / eller effektiviteten af det reviderede område. PwC 0

7 Bilag 1 Anbefalinger vedrørende revision af generelle it-kontroller 1. Politikker, organisation m.m Ref: A Informationssikkerhedspolitikkens struktur Under gennemgang af ledelsens informationssikkerhedspolitik mv. har vi observeret, at der er udarbejdet en informationssikkerhedspolitik (politik), som omfatter de væsentligste områder vedrørende informationssikkerhed. Det er vores vurdering, at omfanget generelt er dækkende for informationssikkerheden i kommunen. Vi har overordnet gennemgået det modtagne materiale og har følgende bemærkninger: 1. Politikkens hoveddokument Itsikkerhedspolitik indeholder både målsætninger, krav og as is - beskrivelser. Nogle på et meget teknisk detaljeret niveau og andre på meget overordnet niveau. 2. De offentlige bilag beskriver en række retningslinjer, herunder også gode konkrete risikovurderinger på en række forretningsmæssige områder for kommunens applikationer. Dokumentet indeholder imidlertid ikke en risikovurdering af infrastrukturkomponenter, som må siges at spille en væsentlig rolle Manglende ajourføring af informationssikkerhedspolitikkens struktur og indhold giver risiko for, at sikkerhedspolitikken og underliggende retningslinjer ikke afspejler de krav og forventninger som ledelsen har til kommunens overholdelse heraf. Manglende risikovurdering af risici ved kommunens itanvendelse, særligt efter at itdriften outsourcet til IT- Forsyningen, kan betyde, at risici ikke er synliggjort og at der er risici ved kommunens itanvendelse, der ikke i tilstrækkeligt omfang er afdækket til et niveau, som ledelsen kan acceptere. Vi anbefaler, at det overvejes at omstrukturere politikken, således at den niveauopdeles efter detaljeringsgrad, og at der målrettes til modtager efter nedenstående principper. Vi anbefaler, at politikken opbygges således: 1. Overordnet politik Kommunens overordnede politik i forhold til sikkerhedsniveauet i forbindelse med behandling, transport og lagring af systemer og data. En beskrivelse af den ønskede sikkerhedsstyring, placering af sikkerhedsansvaret i organisationen, krav til leverandører, kunder og andre eksterne samarbejdspartnere samt lovgivning mv. 2. Retningslinjer Den overordnede politik uddybes i målrettede selvstændige retningslinjer, som kan anvendes direkte til en specifik målgruppe. Disse retningslinjer kan være offentlige som f.eks. Pixi-bogen, der er rettet mod medarbejderne i 2010 Ovenstående anbefalinger vil indgå som et ændringsønske - senest når direktionen finder tiden moden til at foretage en revision og omstrukturering af den nuværende sikkerhedspolitik, vedtaget i Forinden vil It-centeret i dialog med revisionen foretage en konkretisering af ændringsønsket i forhold til opgavens omfang og organisationens medinddragelse, herunder et estimat af medgået tid og omkostninger set i forhold til nytteværdi Der afventes i Egedal Kommune en afklaring af hvor ansvaret for sikkerhedspolitikken er funderet efter organisationsændringerne i Egedal Kommune. Indtil da udføres der opfølgning på sikkerhedspolitikkens nuværende formu- PwC 1

8 i vurderingen af konsekvenser. Ligeledes mangler der en stillingtagen til risici ved uautoriseret adgang til systemer og data (f.eks. datamanipulation, datadestruktion eller lignende). 3. Det ikke-offentlige bilag synes at være en driftshåndbog vedrørende udvalgte væsentlige områder som eksempelvis backup og restore, og ikke en decideret instruks til politikken. Materialet indeholder samtidig en driftsmæssig risikovurdering, der ikke tydeligt beskriver handlingsplaner. 4. Dokumenterne mangler generelt en header med dokumentinformation/journalinformation. Status 2012: Området er uændret pga. igangværende organisationsændringer. Status 2013: Status er ifølge det oplyste uændret som følge af, at der arbejdes på et driftssamarbejde mellem flere kommuner med virkning fra 1/ Status 2014: Vi har ved gennemgangen fået oplyst, at kommunen i efteråret 2013 har ændret retningslinjer samt etableret procedurer for ledelsestilsyn i forbindelse med implementering af nyt personale og økonomisystem. Ifølge det oplyste er den overordnede itsikkerhedspolitik og informationssikkommunen, eller de kan være interne som f.eks. retningslinjer for sikkerhed i infrastrukturen på Windows AD eller baselines til serveropsætning. Ligeledes anbefaler vi, at der i de formelle kontrakter med eksterne samarbejdspartnere tilføjes et afsnit, som beskriver retningslinjer og ansvar for sikkerhed i forbindelse med f.eks. driftsopgaver. 3. Politikkens ikrafttræden, gyldighed og omfang samt godkendelse og krav til opfølgning: Politikkens dokumenter forsynes med en journal-header, (godkendelsesdato, versionsnummer, ændrings-log og ændret af, godkendt af mv.). lering af it-afdelingen under Center for ejendomme og intern service. Den ny ansvarlige afdeling vil blive bedt om at tage fat i pkt. A1 s anbefalinger Kommentar ikke modtaget 2014 Egedal Kommune er i gang med en transaktion fra DS484 til ISO27001 og 002, hvoraf vi forventer en fuld operationel Informationssikkerhedspolitik med tilhørende regelsæt og beskrevne procedurer. Informationssikkerhedspolitikken forventes at ligge færdig 3. kvartal 2015 hvor efter den skal godkendes i Byrådet Den overordnede politik forventes godkendt ultimo Sikkerhedshåndbog og procedurebeskrivelser har afventet formel godkendelse af PwC 2

9 kerhedspolitikkens struktur dog uændret. Status marts 2015: Vi har ved gennemgangen fået oplyst, at den overordnede itsikkerhedspolitik og informationssikkerhedspolitikkens struktur er uændret. Egedal har for et år siden udarbejdet et internt notat, hvor en række udfordringer vedrørende sikkerhedspolitik og organisering og styring af sikkerhedsarbejdet er identificeret. Arbejdet med at styrke dette er ifølge det oplyste prioriteret med ansættelsen af en ny digitaliseringschef primo Status januar 2016: Vi har ved gennemgangen fået oplyst, at den overordnede itsikkerhedspolitik og informationssikkerhedspolitikkens struktur endnu er uændret. Vi er dog blevet oplyst, at der arbejdes på at udarbejde en ny informationssikkerhedspolitik, hvilket forventes færdig ultimo anden kvartal Status januar 2017: Vi har ved revisionen gennemgået ny overordnet informationssikkerhedspolitik for Egedal Kommune, der er godkendt af byrådet i november Der udestår dog fortsat en udmøntning af informationssikkerhedspolitikken i Informationssikkerhedspolitikken hvilket skete november Som led i implementeringsplanen for ISO vil Sikkerhedshåndbog være opdateret medio Sikkerhedshåndbogen foreligger i udkast, og vil blive drøftet på møde i ISUudvalget i marts måned med henblik på godkendelse. Punktet forventes at kunne lukkes ved næste revision. PwC 3

10 ajourførte retningslinjer og procedurer der fortsat er uændret i sin udformning fra før IT-Forsyningen. I den godkendte informationssikkerhedspolitik er dog fastlagt krav om, at retningslinjer og procedurer for systemer og håndtering af informationer minimum gennemgås én gang årligt af systemejerne. Status oktober 2017: Vi har fået oplyst, at kommunen har udarbejdet informationssikkerhedsregler samlet i en Sikkerhedshåndbog, med udgangspunkt i ISO 27002:2013 standarden. Sikkerhedshåndbogen foreligger i udkast, der vil blive drøftet i informationssikkerhedsudvalget i marts måned med henblik på godkendelse. Vi anser fortsat punktet for åbent SD-Løn Mangelfulde procedurer vedrørende administration af adgang til informationssystemer og tjenester hos JN Data Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller i tilknytning til drift af applikationerne i Silkeborg Løn konstateret, at der etableret procedurer for administration af adgang til informationssystemer og tjenester hos JN Data. Silkeborg Data har valgt Mangelfulde procedurer vedrørende administration af adgang til informationssystemer og tjenester hos JN Data øger risikoen for, at uvedkommende kan opnå uautoriseret adgang til systemer og data, der relaterer sig til Egedal Kommunes anvendelse af Silkeborg Løn. Vi anbefaler, at der rettes henvendelse til Silkeborg Data med henblik på, at få rettet op på de konstaterede svagheder i de etablerede procedurer Vi er enige i observationen. Personaleafdelingen vil anmode Silkeborg Data om at stramme op på svaghederne i de etablerede procedurer i henhold til revisionspunktet ved næstkommende møde. Personaleafdelingen vil i denne forbindelse efterspørge en løsning og tidshorisont PwC 4

11 at outsource driften af it-platform til Jyske Bank, der benytter JN Data som underleverandør. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for JN-Data, konstateret behov for styrkelse af procedurer vedrørende administration af adgang til informationssystemer og tjenester bl.a. omfattende: Registrering af bruger hos JN Data: Der er konstateret behov for styrkelse af processen for godkendelse og tildeling af administrative rettigheder. Udvidede adgangsrettigheder hos JN Data: For flere af de reviderede operativsystemer og database er det konstateret, at der er tildelt privilegerede adgangsrettigheder, der ikke vurderes at være begrundet i et arbejdsbetinget behov. Periodisk gennemgang af brugerenes rettigheder hos JN Data: På nogle områder er det konstateret behov for styrkelse af processen for regelmæssig gennemgang af brugernes adgangsrettigheder. Styring af adgangskoder JN Data: For nogle operativsystemer og databaser mv. er der konstateret afvigelser vedrørende krav til kompleksitet og passwordlængde. for procedurerne Den blev der afholdt statusmøde med SD og problemerne er blev nævnt overfor SD. Vi har ikke modtaget svar fra SD om løsning og tidshorisont. Den bliver der afholdt statusmøde med SD, hvor problemerne bliver nævnt. Vi vil efterspørge en løsning og en tidshorisont Egedal Kommune er meget opmærksomme på procedure for tildeling af administrative rettigheder i SD- Løn, såvel som andre forretningskritiske systemer. Vi forventer at proceduren er dokumenteret og begrundet medio Til oreintering er Silkeborg Data blevet kontaktet omkring disse adgange. Pr. 27/ har vi ikke modtaget noget svar endnu. PwC 5

12 Status marts 2016: Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller i tilknytning til drift af applikationerne i Silkeborg Løn for perioden 1. januar 31. december 2015 konstateret, at enkelte af de ovennævnte forhold er udbedret. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for JN-Data, konstateret forsat behov for styrkelse af procedurer vedrørende administration af adgang til informationssystemer og tjenester vedrørende: Udvidede adgangsrettigheder hos JN Data: Der er konstateret behov for styrkelse af processen for godkendelse af tildeling af administrative rettigheder. På visse områder er det konstateret, at der er tildelt adgangsrettigheder, der ikke er betinget af et arbejdsbetinget behov. Status februar 2017 Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller i tilknytning til drift af applikationerne i Silkeborg Løn for perioden 1. januar 31. december 2016 (version 2) konstateret, at ovennævnte forhold delvist er udbedret. PwC 6

13 Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for JN-Data, konstateret forsat behov for styrkelse af procedurer vedrørende administration af adgang til informationssystemer og tjenester vedrørende: Udvidede adgangsrettigheder hos JN Data: Der er konstateret behov for styrkelse af processen for godkendelse af tildeling af administrative rettigheder. Svagheden er udbedret primo december Der er på platformene Citrix, RACF og SQL oprettet administrative brugere, som ikke har et arbejdsbetinget behov for adgangen. Status oktober 2017: Vi har ved revisionen modtaget dokumentation i form af mailkorrespondance fra EG Silkeborg Data, der bekræfter at de udestående forhold i revisionserklæringen er løst. Vi vil følge op herpå når erklæringen for 2017 foreligger. Punktet lukkes 2. Drift af datacentre og netværk Ref: 2 Manglende beredskabsplan Under gennemgang af beredskab og nødplaner har vi observeret, at der ikke eksisterer en formaliseret og testet Manglende beredskabsplan og test heraf skaber risiko for, at it-anvendelsen ikke kan genetableres inden for rimelig tid i Vi anbefaler, at der ud fra en risikoanalyse etableres og på realistisk vis afprøves en beredskabsplan for itanvendelsen, således at tilgængelig Anbefalingerne tages til efterretning. Arbejdet om- PwC 7

14 C beredskabsplan. Der er beskrevet en forretningsmæssig stillingtagen til risici, og der er etableret serviceaftaler, men en operationel beredskabsplan er ikke udarbejdet. Status 2012: Området er under udarbejdelse. Der er dog endnu ikke udarbejdet en egentlig it-beredskabsplan og nødplaner. Status 2013: Status er ifølge det oplyste uændret. Udarbejdelse af it-beredskabsplan og nødplaner forventes prioriteret og igangsat i forbindelse med det fælles driftsselskab i Status 2014: Status er ifølge det oplyste uændret. Udarbejdelse af it-beredskabsplan og nødplaner forventes fortsat prioriteret og igangsat i forbindelse med det fælles driftsselskab i Status marts 2015: Status er ifølge det oplyste uændret. Vi har fået oplyst, at kommunen vil prioritere arbejdet med deres procedurer i forhold til beredskabet i løbet af Under vores gennemgang af itkontroller hos IT-Forsyningen I/S vedrørende Egedal Kommune, har vi observeret, at der udarbejdet en beredskabsplan, dateret 29. december Planen har således ikke været effektiv for forbindelse med omfattende skader på it-systemerne. Dette kan få væsentlig betydning for kommunens adgang til systemer og data. heden til it-systemerne tilgodeses mest muligt. Planen bør opbevares på et sikkerhedsmæssigt forsvarligt sted og være tilgængelig for alle nøglepersoner i krisesituationer. Planen bør indeholde: 1. En organisatorisk nødplan, der beskriver, hvilke roller (handlinger) der skal udføres i en katastrofesituation, samt navngiver de personer, der har ansvaret for de enkelte roller (interne og eksterne). 2. En disaster recovery-plan, der beskriver, hvorledes kommunen vil udføre den tekniske reetablering af it-anvendelsen. Disaster recovery-planen bør indeholde en prioriteret liste over, hvilke systemer der vurderes mest kritiske for kommunen (er udarbejdet), samt en beskrivelse af hvorledes de enkelte aktiver er indbyrdes afhængige (f.eks. interfaces, infrastruktur mv.). 3. En forretningsmæssig nødplan, der beskriver, hvorledes og i hvilket omfang det er muligt at videreføre de daglige forretningsgange i den periode, hvor kommunens it ikke er tilgængelig. kring beredskabsplaner vil blive drøftet med og tilpasset Beredskabscentrets øvrige nødplaner, så Itforsyningen har sammenhæng med øvrig forsyningsvirksomhed, hvor kommunen har udarbejdet nødplaner for. It-centeret vil optage emnet som prioriteret indsatsområde i års- og udviklingsplanen for Arbejdet forventes prioriteret og igangsat i løbet af 2012/ Kommentar ikke modtaget 2014 Egedal Kommune har en kommunikationsplan for IT- Beredskabet. Informationssikkerhedspolitikken ud fra ISO27001, vil indeholde en fuldt udbygget og gennemtestet beredskabsplan, herunder tidsplaner for gentest ud fra forskellige senarier PwC 8

15 Status januar 2016: Status er ifølge det oplyste uændret. Vi har ved gennemgang fået oplyst at udarbejdelse af it-beredskabsplan og nødplaner forventes færdig i forlængelse af det forestående arbejde med ny informationssikkerhedspolitik ultimo anden kvartal Status februar 2017: Vi har fået oplyst, at Egedal har igangsat en handleplan for udarbejdelse af risikoanalyser og organisatorisk nødplan. Arbejdet med beredskabsplaner er ikke på plads endnu. Status januar 2018: Vi har fået oplyst, at it-beredskabsplan er udarbejdet og modtaget dokumentation for, at Informationssikkerhedsudvalget har godkendt beredskabspolitik og plan for it-beredskab i november Planen afventer godkendelse af direktionen, og skrivebordstest planlægges udført efter endelig godkendelse. Vi anser fortsat punktet for åbent. Det findes en midlertidig beredskabsplan, som bliver afløst af en ny beredskabsplan jf. status på informationssikkerhedspolitik (pkt ) 2016 Det er korrekt, at der ikke er et samlet overblik over eksisterende beredskabsplaner for kritiske systemer. På baggrund af en beredskabstest ultimo 2016 på området Social omsorg kunne det konstateres, at der reelt er instrukser der adresserer systemnedbrud. Egedal Kommune har igangsat en gennemgang af øvrige eksisterende beredskabsplaner med henblik på en opdatering af beredskabsplaner for de enkelte systemer såvel som etablering af en generisk plan. Derudover er det besluttet, at risikovurderinger skal gennemføres som en fast årlig aktivitet IT-beredskabsplan er udarbejdet, og godkendt af ISUudvalget, men mangler en- PwC 9

16 delig godkendelse fra Direktionen. Skrivebordstest planlægges udført efter endelig godkendelse. Punktet forventes at kunne lukkes ved næste revision Ref: C Generelt: Logning og opfølgning på hændelser Under gennemgang af logning har vi observeret, at logningsniveauet på Windows AD er tilstrækkeligt. Vi har imidlertid fået oplyst, at der ikke foretages regelmæssig vurdering af log-data. Status 2012: Status på området, er ved at blive undersøgt af kommunen. Status 2013: Status er ifølge det oplyste uændret. Det forventes at en løsning i det fælles selskab vil blive implementeret i Status 2014: Status er ifølge det oplyste uændret. Det forventes stadigvæk, at en løsning i det fælles selskab vil blive implementeret i Status marts 2015: Under gennemgangen har vi fået oplyst, at IT-Forsyningen har opgaven med at overvåge driften herunder gennemgå logning. Det er oplyst, at der Utilstrækkelig logning af hændelser på Windows AD medfører risiko for, at hændelser og uautoriserede handlinger på systemerne ikke opdages rettidigt. Vi anbefaler, at log-data gennemgås regelmæssigt, f.eks. ved anvendelse af konsolideret logning og analyseværktøjer, som kan sende alarmer vedrørende foruddefinerede hændelser, der bør undersøges nærmere. Ligeledes anbefaler vi, at der etableres en central log-server, hvor de respektive logs kan opbevares, således at adgang kun er mulig for udvalgte personer. Anbefaling marts 2015: Endvidere anbefaler vi, at der fastsættes krav til logning, således at Audit Process Creation, Directory Service Changes, Sensitive Privilege Use samt Logon og Logoff sættes til at logge både Success og Failure. Anbefalingen følges. Itcenteret vil, inden en løsning idriftsættes, foretage en vurdering af metode og værktøj, således at dataindsamling, hændelsesgennemgang og rapportering kan ske med størst mulig automatik og effektivitet og med mindst mulig ressourceindsats. Løsningen forventes implementeret inden udgangen af Arbejdet blev ikke gennemført i 2011 og vil derfor blive opprioriteret i Kommentar ikke modtaget 2014 Egedal Kommune og IT- Forsyningen er pt. i gang med at udvikle en generel PwC 10

17 p.t. ikke er fastlagt en SLA herfor. Under gennemgang af procedurerne hos IT-Forsyningen har vi fået oplyst, at der løbende sker overvågning af driften og opfølgning på driftshændelser. Ved vores gennemgang af logningsniveauet på Windows AD har vi dog observeret, at logningen flere steder er utilstrækkelig i forhold til god praksis. Dette gælder lognings indstillingerne: Audit Process Creation, Directory Service Changes, Sensitive Privilege Use samt Logon og Logoff, hvor der enten ikke logges eller alene logges ved succes. Status marts 2016: Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller og effektiviteten heraf for perioden til for IT-Forsyningen I/S observeret, at serviceorganisationens revisor har givet forbehold i erklæringen vedrørende området 12.4 Logning og overvågning, jf. observation Endvidere har vi ved vores gennemgang af logningsniveauet på Windows AD observeret, at logningen flere steder er utilstrækkelig i forhold til god praksis. Dette gælder logningsindstillingerne: Process Creation, Directory Service Changes, Logon, Other Logon/Logoff Events, Special Logon, SLA. Egedal Kommune er under afklaring af, om vi skal stilles krav til IT- Forsyningen om, at de skal etablere en fælleslog-server samt opstille procedure for gennemgang af logs i forbindelse med opståede hændelser. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde sig til den aktuelle problemstilling Status er uændret. Egedal kan stille krav til IT- Forsyningen, om at der opstilles en logningsserver i samspil med øvrige kommuner. Kan ske i regi af itsamarbejdskredsen Egedal Kommune har overfor IT-forsyningen konkretiseret ønsket niveau for logning baseret på anbefalinger fra PWC. Der udestår en implementering, og vi afventer pt. en implementeringsplan fra IT-forsyningen I/S 2017 PwC 11

18 Audit Policy Change og Sensitive Privilege Use, hvor der enten ikke logges eller alene logges ved succes. Status januar 2017 Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller og effektiviteten heraf for perioden til for IT-Forsyningen I/S observeret, at serviceorganisationens revisor har givet forbehold i erklæringen vedrørende området 12.4 Logning og overvågning, jf. observation Endvidere har vi ved vores gennemgang af logningsniveauet på Windows AD observeret, at logningen flere steder er utilstrækkelig i forhold til god praksis og logningsniveauet er reduceret sammenlignet med Dette gælder logningsindstillingerne: Credential Validation, Kerberos Authentication Service, Kerberos Service Ticket Operations, Other Account Logon Events, Process Creation, Directory Service Changes, Logon, Other Logon/Logoff Events, Special Logon, Audit Policy Change, Authentication Policy Change, Sensitive Privilege Use, Security State Change, Security System Extension og System Integrity, hvor der enten ikke logges eller alene logges ved succes. Vi har fået oplyst, at kommunen er gået i gang med at undersøge mulighederne for at implementere det anbefa- IT-Forsyningen I/S har d. 22. januar 2018 meddelt, at arbejdet med Loginsight værktøjet er sat i gang, og at der p.t. kører en pilotinstallation. Der er engageret en konsulent, og workshops er afholdt i februar En uddybende redegørelse for aktiviteterne vil fremgå af IT-Forsyningens egen revisionserklæring. PwC 12

19 lede logningsniveau. Status oktober 2017: Vi har ved gennemgang af logningsniveauet på Windows AD observeret, at logningsniveauet fortsat er utilstrækkeligt i forhold til god praksis og uændret i forhold til Vi har fået oplyst, at IT-Forsyningen har indkøbt et logmanagementsystem, hvor implementeringen forventes at være afsluttet ultimo 2017 og logopsamling og behandling vil blive løbende udbygget i Vi anser fortsat punktet for åbent Kontrolsvagheder vedrørende generelle it-kontroller hos IT- Forsyningen I/S Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller og effektiviteten heraf for perioden til for IT-Forsyningen I/S i tilknytning til teknisk drift af infrastruktur, servere, databaser, datalager m.m. af systemer som kommunen ikke har outsourcet til andre serviceleverandører, konstateret, at der på de fleste kontrolområder er etableret procedurer og kontroller vedrørende it-sikkerhed, drift og vedligeholdelse af disse systemer. Serviceleverandørens revisor har ved gennemgangen af de generelle it- Generelle kontrolsvagheder vedrørende generelle itkontroller hos IT-Forsyningen I/S vedrørende drift og vedligeholdelse af infrastruktur, servere, databaser, datalager m.m. for systemer som er outsourcet til IT-forsyningen I/S øger risikoen for, kommunens krav til it-sikkerhed for anvendte systemer ikke efterleves, herunder at uvedkommende kan opnå uautoriseret adgang til systemer og data, der relaterer sig til Egedal Kommune. Vi anbefaler, at kommunen sammen med de øvrige ejerkommuner og IT- Forsyningen I/S igangsætter initiativer, for at imødegå de konstaterede svagheder i de konstaterede kontroller og kontrolområder Anbefalingen vil i lighed med den samlede revisionsrapport vendes i samarbejde med IT-Forsyningen med henblik på at finde fælles overenskomst om velegnede løsninger på området Egedal Kommune noterer at IT-forsyningen på de fleste kontrolområder har etableret procedurer og kontroller vedrørende it-sikkerhed, drift og vedligeholdelse af systemer. Hvad angår de PwC 13

20 kontroller for IT-Forsyningen I/S konstateret behov for styrkelse af kontroller for følgende kontrolområder, hvor de etablerede kontroller ikke er tiltrækkeligt effektive til at sikre opfyldelsen af de beskrevne kontrolmål, hvorfor der er afgivet erklæring med forbehold: Område 5.1 Retningslinjer for styring af informationssikkerhed: At levere midler til styring af og støtte for it-sikkerhed i overensstemmelse med forretningens krav og med relevante bestemmelser. Område 8.2 Klassifikation af information: At sikre passende beskyttelse af information, der står i forhold til informationens betydning for organisationen. Område 12.4 Logning og overvågning: At registrere hændelser og tilvejebringe bevis. Område 12.5 Styring af driftssoftware: At sikre integriteten af driftssystemer (ok fra oktober 2015 og frem). Område 18.2 Gennemgang af informationssikkerhed: At sikre, at informationssikkerhed er implementeret og drives i overensstemmelse med organisationens politikker og procedurer. resterende kontrolsvagheder, er det forventningen at dette bringes på plads i indeværende år Denne anmærkning er overført fra IT-Forsyningen I/S egen revisionserklæring. Vi har ikke modtaget ny status fra IT-Forsyningen I/S. Der vil blive fulgt op på dette, når revisionserklæringen fra IT-Forsyningen I/S foreligger for PwC 14

21 Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for IT-Forsyningen I/S endvidere konstateret behov for styrkelse af it-kontroller på andre områder, herunder: Politik for adgangsstyring (9.1.1): Det er konstateret, at der ikke er udarbejdet en politik for adgangsstyring, som har været godkendt af ledelsen i hele revisionsperioden. Brugerregistrering og afmelding (9.2.1): Der er konstateret, at der ikke er udarbejdet en formel procedure i forbindelse med brugerregistrering og afmelding. Det er dog konstateret, at alle brugerregistreringer og afmeldinger håndteres via Service-Desk- Systemet. Begrænset adgang til informationer (9.4.1) samt procedure for sikker logon (9.4.2): Det er konstateret, at der ikke er en fast dokumenteret proces til at sikre en ensartet eller specifik opsætning af servere og platforme, herunder password. Der er yderligere konstateret, at passwordkonfigurationen på kommunernes domains ikke i alle henseender er opsat efter normal best practice eller i PwC 15

22 overensstemmelse med IT- Forsyningens passwordpolitik. Fysisk adgangskontrol (11.1.2): Det er konstateret, at ejerkommunerne Ballerup og Værløse varetager oprettelsen og nedlæggelsen af adgange til serverrum på trods af, at IT-Forsyningen I/S har ansvaret for at sikre, at kun medarbejdere med godkendt arbejdsbetinget behov får adgang til serverrummene. Ejerkommunerne kan derved oprette og nedlægge brugeradgang løbende uden IT- Forsyningen er bekendt hermed. Netværksstyring (12.6.1): Det er konstateret at der ikke periodisk foretages scanninger af netværket, med henblik på at sikre, at der ikke er såbarheder. Sikring af netværkstjenester (13.1.2): Det er konstateret, at der ikke er udarbejdet serviceaftaler vedrørende driften af netværk for kommunerne samt for IT- Forsyningens eget netværk, indeholdende bl.a. stillingtagen til sikkerhedsforanstaltninger, SLA og ansvarsplacering. Verificer, gennemgå og evaluer informationssikkerhedskontinuiteten (17.1.3): Det er konstateret, at der er foretaget test af kommunikationskanaler i tilfælde af en PwC 16

23 beredsskabssituation. Der har dog ikke været foretaget yderligere skrivebordstest af beredskabsplanen. Status april 2017 Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller og effektiviteten heraf for perioden til for IT-Forsyningen I/S i tilknytning til teknisk drift af infrastruktur, servere, databaser, datalager m.m. af systemer som kommunen ikke har outsourcet til andre serviceleverandører, konstateret, at der på de fleste kontrolområder er etableret procedurer og kontroller vedrørende it-sikkerhed, drift og vedligeholdelse af disse systemer. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for IT-Forsyningen I/S konstateret behov for styrkelse af kontroller for følgende kontrolområder, hvor de etablerede kontroller ikke er tiltrækkeligt effektive til at sikre opfyldelsen af de beskrevne kontrolmål, hvorfor der er afgivet erklæring med forbehold: Område 8.2 Klassifikation af information: At sikre passende beskyttelse af information, der står i forhold til informationens betydning for organisationen. PwC 17

24 Område 12.4 Logning og overvågning: At registrere hændelser og tilvejebringe bevis. Område 12.6 Styring af driftssoftware: At forhindre, at tekniske sårbarheder udnyttes. Område 18.1 Overensstemmelse med log- og kontraktkrav: At forhindre overtrådelse af lov-, myndigheds- eller kontraktkrav i relation til informationssikkerhed og andre sikkerhedskrav. Område 18.2 Gennemgang af informationssikkerhed: At sikre, at informationssikkerhed er implementeret og drives i overensstemmelse med organisationens politikker og procedurer. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for IT-Forsyningen I/S endvidere konstateret behov for styrkelse af it-kontroller på andre områder, herunder: Procedurer for sikker logon (9.4.2): Det er konstateret, at passwordkonfigurationen på kommunernes domains ikke i alle henseender er opsat efter normal best practice eller i overensstemmelse med IT-Forsyningens passwordpolitik. Fysisk adgangskontrol (11.1.2): PwC 18

25 Det er konstateret, at ejerkommunerne Ballerup og Værløse varetager oprettelsen og nedlæggelsen af adgange til serverrum på trods af, at IT-Forsyningen I/S har ansvaret for at sikre, at kun medarbejdere med godkendt arbejdsbetinget behov får adgang til serverrummene. Ejerkommunerne kan derved oprette og nedlægge brugeradgang løbende uden IT- Forsyningen er bekendt hermed. Dokumenterede driftsprocedurer (12.1.1): Det er konstateret, at der ikke er overvågning af netværket for Furesø Kommune. Sikring af netværkstjenester (13.1.2): Det er konstateret, at der ikke er udarbejdet serviceaftaler vedrørende driften af netværk for kommunerne samt for IT- Forsyningens eget netværk, indeholdende bl.a. stillingtagen til sikkerhedsforanstaltninger, SLA og ansvarsplacering. Status oktober 2017: Vi har fået oplyst, at Egedal Kommune har adresseret de anførte forhold i erklæringen fra 2016 overfor ITF. ITF har overfor Egedal Kommune oplyst, at de har igangsat initiativer for at imødegå de 5 anførte forbehold i revisionserklæringen fra Vi følger op herpå, når revisionserklæ- PwC 19

26 ringen fra IT-Forsyningen I/S foreligger for Anskaffelse, ændringer og vedligeholdelse af systemsoftware Ingen bemærkninger. 4. Adgangssikkerhed Ref: D Prisme: Adgang til stamdata vedrørende kreditorer Under gennemgang af udvalgte brugerroller i Prisme har vi observeret brugere, der er tildelt adgang gennem brugerrollerne Betroet og Regnskab, som tilsammen giver mulig adgang til at oprette / ændre stamdata vedrørende kreditorer samtidig med de også har adgang til at foretage registreringer. Efter det oplyste har kommunen ikke etableret kontrol med ændring af stamdata. Status marts 2015: Status er ifølge det oplyste uændret. Status januar 2016: Status er ifølge det oplyste uændret. Vi har ved gennemgang fået oplyst, at en styrket kontrol med adgang til stamdata forventes implementeret i forlængelse af det forestående arbejde med ny informationssikkerhedspolitik ultimo anden kvartal Status januar 2017: Ved gennemgang af brugerroller i Prisme observeret brugere, der fortsat Kommunens indførte ledelsestilsyn retter sig ikke specifikt mod kontrol med stamdata, hvorved der er risiko for, at medarbejdere utilsigtet eller tilsigtet kan ændre stamdata med risiko for at der sker misbrug af kommunens midler. Vi anbefaler, at kommunen styrker kontrollen med ændring af stamdata, særligt vedrørende kreditorer enten gennem etablering af systemmæssig funktionsadskillelse i Prisme således at medarbejdere, der er bemyndiget til at oprette / ændre stamdata ikke samtidigt kan foretage registreringer eller at ændringer i udvalgte kreditorstamdata systemmæssigt registreres i en log, der gennemgås periodisk af betroet personale eventuelt gennem det etablerede ledelsestilsyn. Status oktober 2017: Vi anbefaler, at det som del af kontrollen dokumenteres, hvem der har udført kontrollen samt at der udføres en afstemning mellem kontrolark og loglister, at alle identificerede oprettelser og ændringer til kreditorer er medtaget. Udskrifter af loglister bør opbevares som del af dokumentationen for den udførte kontrol Vi er enige i observationen. Økonomiafdelingen vil foretage en gennemgang af brugerrollerne Betroet og Regnskab for en tilpasning af rollerne på kreditor siden. Herudover vil økonomiafdelingen etablere en kontrol af dem der har adgang til brugerrollerne Betroet og Regnskab der sikre at der ikke foretages utilsigtet eller tilsigtet ændringer eller registreringer i kreditorerne Økonomiafdelingen foranlediger at der opsættes kontrolprocedure for ændringer af stamdata på kreditorer i Det er korrekt, at procedure for manuelt tildelte adgange fortsat ikke er dokumenteret PwC 20

27 har adgang til brugerrollerne Betroet og Regnskab. Kommunen oplyser, at der p.t. ikke er etableret en kontrolprocedure. Status oktober 2017: Vi har fået oplyst, at kommunen ikke har etableret funktionsadskillelse mellem bogføring og ændring af kreditorstamdata, men der er udarbejdet et udkast til procedure for kontrol af kreditoroprettelser og ændringer. Kontrolproceduren er iværksat og vi har inspiceret dokumentation for at der er udført kontrol af, at ændringer i kreditorbankkonti er tilstrækkeligt dokumenterede for dels oprettelser af nye kreditorer og ændringer i eksisterende kreditorer. Kontrollen udføres månedlig på basis af udtræk af logdata fra Prisme og udførelsen dokumenteres i et excelark. Vi har inspiceret dokumentation for at kontrollen er udført for august og september måned. Af kontrolarket for august og september måned fremgår alene oplysninger om bankkonti, brugerid for oprettelse/ændring af kontonummer, dato for oprettelse/ændring samt dato for udført kontrol og status herpå. Der fremgår ingen oplysninger om, hvem der har udført kontrollen samt at det er sikret, at alle oprettelser og ændringer til kreditorer er medtaget i kontrolarket. Da der er etableret en kontrolproceduog underkastet kontrol. Dette udestående vil bringes på plads med udgangen af maj 2017, hvor vi planlægger at udarbejde en kontrolprocedure med angivelse af frekvens og omfang. Team Regnskab planlægger en fast kontrol af alle manuelt tildelte adgange, incl. "Betroet" og "Regnskab". Ændringer af alle brugere med adgang til af ændre kreditoroplysninger skal ligeledes løbende kontrolleres Team Revision og Systemer har i august-september 2017 fastlagt den endelige procedure for kontrol af ændringer i kreditorstamdata (procedure er tidligere fremsendt). Loglister opbevares sammen med kontrollisten, og kontrollisten har fået tilføjet en kolonne til angivelse af hvem, der har udført kontrollen, samt hvornår der er udført ledelsestilsyn med, at kontrollen er udført som foreskrevet. Det nye kontrolark er vedhæftet som dokumentation. Hermed forventer vi at dette PwC 21

28 re ændres prioriteringen fra 1 til 2. Vi anser fortsat punktet for åbent. punkt kan lukkes Windows AD: Ubenyttede brugerkonti Under gennemgang af Windows AD har vi observeret, at der eksisterer 336 aktive brugerkonti, der ikke har været logget ind siden 2013, hvoraf en forholdsvis stor andel er almindelige medarbejderbrugerkonti. Dette tyder på, at deres adgang til systemet ikke længere er relevant. Status marts 2016: Under gennemgang af Windows AD har vi observeret, at der eksisterer 230 aktive personhenførbare konti, som ikke har logget ind på serveren i over et år. Dette tyder på, at deres adgang til systemet ikke længere er relevant. Endvidere har vi ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller og effektiviteten heraf for perioden til for IT-Forsyningen I/S observeret, at serviceorganisationens revisor har konstateret behov for styrkelse af kontroller vedrørende brugerregistrering og afmelding (9.2.1), jf. observation Status januar 2017: Under vores gennemgang af Windows domain controller EGE0-DC01 og EGE0-DC02 har vi observeret, at der Der er risiko for, at de ubenyttede brugerkonti, kan benyttes til at opnå uautoriseret adgang til systemerne. Vi anbefaler, at der foretages en regelmæssig gennemgang af aktive brugerkonti på Windows AD, og at de brugerkonti, der ikke længere har behov for at have adgang, deaktiveres eller fjernes Egedal Kommune har anmodet IT-Forsyningen om at gennemgå listen over alle ikke anvendte brugerkonti og deaktivere dem som er overflødige. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde sig til den aktuelle problemstilling er uændret fra Informationssikkerhedspolitikken forventes godkendt ultimo Frem til implementering af IDM (integration mellem systemadminstration og IDM herunder SD-løn og AD) foretages kvartalsvise udtræk af inaktive brugere med henblik en disabling. Implementeringen af IDM vil medføre at nye konti PwC 22