It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Transkript

1 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

2 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat maj 2013 CBJ@Rigsrevisionen.dk Chefkonsulent Ingolf Holm Clausen, CISA Bred erfaring i Rigsrevisionen med it-udvikling, lønrevision og it-revision Ansat december 1985 IHC@Rigsrevisionen.dk 2

3 Formålet med vores indlæg Input til drøftelse, gerne undervejs Fortælle om vores erfaringer med it-revision o Generelt o Uddannelsesinstitutioner Præsentere vores koncept for revision af små institutioner 3

4 Dagsorden Hvorfor er der behov for it-revision ved skolerne? Formelle krav i love og bekendtgørelser mv. Skolernes ansvar på it-området Dialog om metode til it-revision af små institutioner Spørgsmål og kommentarer 4

5 Hvorfor er der behov for it-revision ved skolerne? It-revision omfatter generelle it-kontroller og it-systemer It-revisionen har fokus på FIT: fortrolighed integritet tilgængelighed Fejl i skolernes it-systemer giver ikke kun fejl i regnskabet. Kan afsløre personlige oplysninger og kræve ekstra omkostninger. Skader skolens og ministeriets renommé. 5

6 Formelle krav om it-revision i love og bekendtgørelser mv. Persondataloven ISO i staten, jf. Digitaliseringsstyrelsen hjemmeside 9-aftalen, ingen direkte krav om it-revision Undervisningsministeriets love og bekendtgørelser 6

7 Bekendtgørelsen 7

8 1. Systemrevision, der skal udføres af Rigsrevisionen Årlig revision af SLS og Navision i Moderniseringsstyrelsen. Rigsrevisionen udarbejder rapport med observationer og anbefalinger. Gennemgår departementets tilsyn med opfølgning på vores anbefalinger. Erklæringer fra eksterne leverandører, fx om CSC. Statens It er ISO-certificeret kan få betydning. Rigsrevisionen afgiver ikke revisionserklæringer. 8

9 2. Systemrevision, der skal udføres af særligt udpegede revisorer Omfatter specifikke studieadministrative systemer UVM vælger revisor og følger op på rapporteringen Rigsrevisionen vil i 2015 følge op på status, herunder spørgsmålet om en eventuel ny bekendtgørelse fra UVM 9

10 3. Systemrevision, der skal udføres af institutionens interne revisor Har skolen fulgt de gældende brugervejledninger? Revision af alternative systemer, der ikke er omfattet af Rigsrevisionens eller Undervisningsministeriets kontrol Hvad med de generelle it-kontroller på skolerne? 10

11 Skolernes ansvar på it-området Vigtigste opgaver: Skolernes ledelser bør stå i spidsen Formulere politikker og regler Implementere sikkerhedsstandard ISO27001? Uddanne og informere brugerne Styre brugernes adgang og rettigheder Følge op på sikkerhedshændelser 11

12 Dialog om metode til it-revision af generelle itkontroller i små institutioner Udkast til nyt koncept: Vi sender et brev og beder om nogle basale oplysninger. Vi beder også om en selvevaluering. Vi holder et dialogmøde med institutionen og modtager vigtig dokumentation. Vi rapporterer efter en standardskabelon. Eventuel drøftelse af vores udkast til rapport. 12

13 13

14 Intern organisation Kontrolmål: Roller, ansvar og opgaver i forhold til informationssikkerhed er klart defineret og sikkerhedsarbejdet er forankret i institutionens ledelse. Eksempler på spørgsmål: Hvem træffer beslutninger om informationssikkerhed? Er institutionens ledelse involveret og hvordan? Er der en it-sikkerhedsansvarlig? Hvem har ansvar for faglige- og administrative systemer? Er sikkerhedsopgaverne beskrevet? Er institutionen i dialog med departementet, fx ved it-tilsyn? 14

15 It-sikkerhedsstyring Kontrolmål: Der er på basis af en risikovurdering fastsat et sikkerhedsniveau, som er beskrevet i ledelsesgodkendte politikker og udmøntet i skriftlige retningslinjer mv. Eksempler på emner/spørgsmål: Risikovurderinger, sikkerhedsniveau, risikobillede It-sikkerhedsstandard (ISO 27001) Information til medarbejderne (awareness) Regler for anvendelse af privat it-udstyr på arbejde Mobile enheder i øvrigt Håndtering af sikkerhedshændelser Regler for anvendelse af internettet 15

16 Adgang til systemer og data Kontrolmål: Adgangsstyringen sikrer, at alene autoriserede medarbejdere og konsulenter får tildelt adgangsrettigheder svarende til deres arbejdsbetingede behov. Eksempler på emner/spørgsmål: Hvem er ansvarlige for adgangsstyringen? Er der beskrevne procedurer? Føres der jævnlig kontrol af brugerfortegnelsen Procedurer for tildeling af rettigheder i systemerne 16

17 Eksterne leverandører og konsulenter Kontrolmål: Institutionen har indgået skriftlige aftaler med eksterne partnere og følger op på, at disse lever op til de aftalte servicemål. Eksempler på emner/spørgsmål: Drift og hosting af data Udviklingsleverandør Serviceaftaler og servicemål Revisorerklæringer eller lignende 17

18 Ekstern kommunikation Kontrolmål: Dataudveksling over internettet, fx via , er beskyttet, så risikoen for uautoriseret adgang til informationer er minimeret. Eksempler på emner/spørgsmål: Mail-system Digital kommunikation med borgerne Anvendelse af kryptering 18

19 Sikring af lokalnet og data Kontrolmål: Lokalnet og data er beskyttet mod adgang for uvedkommende og data kan genskabes fra sikkerhedskopier. Eksempler på emner/spørgsmål: Firewall, politik for tilladt trafik, penetrationstest Administratorrettigheder på egne computere Beskyttelse mod virus og anden malware Logning Backup 19

20 Sikkerhedsopdatering af software Kontrolmål: Operativsystemer og anden software på servere og computere bliver løbende opdateret, så kendte sårbarheder bliver elimineret. Eksempler på emner/spørgsmål: Hvordan gennemføres sikkerhedsopdateringer i praksis? Bliver opdateringer testet og godkendt? Procedure for implementering af ændringer i øvrigt 20

21 Beredskabsplan og nødplan Kontrolmål: Institutionen har på basis af en risikovurdering truffet foranstaltninger til at kunne genoptage driften efter et nedbrud. Eksempler på emner/spørgsmål: Har institutionen overvejet afhængighed af it-systemerne og eventuelle alternative løsninger? Er der udarbejdet en nødplan og en retableringsplan? 21

22 Fysisk sikkerhed Kontrolmål: Lokaler og teknisk infrastruktur er beskyttet med fysiske foranstaltninger, som begrænser risikoen for uvedkommendes adgang til informationsaktiverne. Eksempler på emner/spørgsmål: Overvejelser om risici Adgang til bygningen, nøgler og kort Sikkerhed i og omkring serverrum og andre sikre områder 22