21. februar Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

Relaterede dokumenter
2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

30. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller

Maj Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

Maj Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

Greve Kommune. Revision af generelle it-kontroller 2011

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Front-data Danmark A/S

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

It-revision af Sundhedsdatanettet januar 2016

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

IT-sikkerhedspolitik for

Procedure for tilsyn af databehandleraftale

SOPHIAGÅRD ELMEHØJEN

Revisionsrapport Revision af generelle it-kontroller 2016

Databeskyttelsespolitik for DSI Midgård

Informationssikkerhedspolitik

Kontraktbilag 8. It-sikkerhed og compliance

OVERORDNET IT-SIKKERHEDSPOLITIK

April Egedal Kommune Revision af generelle it-kontroller hos Egedal Kommune for regnskabsåret

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Assens Kommune Sikkerhedspolitik for it, data og information

1. Ledelsens udtalelse

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

Ballerup Kommune Politik for databeskyttelse

Præsentation af Curanets sikringsmiljø

Sikkerhed og Revision 2015

MedComs informationssikkerhedspolitik. Version 2.2

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

IT-sikkerhedspolitik S i d e 1 9

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

IT-SIKKERHEDSPOLITIK UDKAST

Hillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk

Hovmosegaard - Skovmosen

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Politik for informationssikkerheddatabeskyttelse

It-sikkerhedspolitik for Farsø Varmeværk

Databeskyttelsespolitik

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Overordnet organisering af personoplysninger

Greve Kommune. Revision af generelle it-kontroller

Informationssikkerhedspolitik. Frederiksberg Kommune

Overordnet organisering af personoplysninger

Bilag til dagsordenspunkt "Revisionsberetninger for regnskabsåret 2015"

frcewtfrhousf(wpers ml

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Rapport Intern Revision. It-revision af ændringsstyring. Direktørområdet SKAT IT. Modtager Direktør Jesper Rønnow Simonsen, SKAT

For så vidt angår Statsrevisorernes og Rigsrevisionens konkrete bemærkninger, skal jeg bemærke følgende:

Sotea ApS CVR-nr

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

Revisionsrapport Revision af vederlag for 2018

E/F Lindebakken. Revisionsprotokollat af 23. marts (side ) vedrørende årsregnskabet for 2017

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Plan og Handling CVR-nr.:

Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018

Boligkontoret Danmark Revisionsprotokollat om udkast til årsrapport for 2015

Region Hovedstadens Ramme for Informationssikkerhed

Revisionsprotokollat af 27. marts 2011

#Revisionsvirksomhed# #Revisor(er)# #Adresse (kontorsted)# #Postnr./By# #Måned og årstal# Page 1 of 10

IT sikkerhedspolitik for Business Institute A/S

Syddansk Universitet. Institutionsrevisors protokollat om forberedende revisionsarbejder for 2018

Ballerup Kommune 2017

DATABESKYTTELSESPOLITIK

Athena Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Athenas serviceydelser April 2018

AB Strandparken 1. Revisionsprotokollat af 10. januar (side 11-14)

Ejerforeningen SeaWest Delområde A. Revisionsprotokollat af 22. februar (side 48-51)

PEDERSEN. Den selvejende institution Hyttefadet

I/S Mors Thy Færgefart Revisionsberetning om udkast til årsrapport for 2018

Politik <dato> <J.nr.>

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Bilag marts 2004 E Glentevej København NV. Til orientering for: Kt.chef Niels R. Korsby Videnskabsministeriet

EG Cloud & Hosting

Notat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Februar 2016

Informationssikkerhedspolitik for <organisation>

Notat om revisionsberetning nr. 35 vedrørende revisionen af Region Midtjyllands regnskab for 2015

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

Faxe Kommune. informationssikkerhedspolitik

10. maj Egedal Kommune Revision af generelle it-kontroller hos Egedal Kommune for regnskabsåret

3. maj Faxe Kommune Revision af generelle it-kontroller hos Faxe Kommune for regnskabsåret

PERSONDATAPOLITIK (EKSTERN)

Lector ApS CVR-nr.:

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015

1. Ledelsens udtalelse

Informationssikkerhedspolitik Frederiksberg Kommune

REVISIONSRAPPORT Beskæftigelses- og Integrationsforvaltningen. Børneattester

REVISIONSRAPPORT Børne- og Ungdomsforvaltningen

BILAG 5 DATABEHANDLERAFTALE

Revisionskomitéen. Under udførelsen af udvalgets opgaver skal udvalget opretholde et effektivt samarbejde med bestyrelse, ledelse og revisorer.

Transkript:

21. februar 2017 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2016

Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 21. februar 2017 Formål og omfang Som led i vores revision af årsregnskabet har vi i november 2016 foretaget en gennemgang af de generelle it-kontroller hos Langeland Kommune. Formålet med revisionen har været at vurdere, hvorvidt der er etableret forretningsgange og interne kontroller, som sikrer tilfredsstillende generelle it-kontroller. De generelle it kontroller er fundamentet for automatiske applikationskontroller, regnskabsprocedurer og systemgenererede data og rapporter, som anvendes i nøglekontroller, og som påvirker den finansielle rapporteringsproces og årsrapporten. Denne rapport vedrører kun de forhold, der er nævnt nedenfor, og kan ikke udstrækkes til at omhandle kommunens forretningsprocesser og interne kontroller som helhed. Rapporten er udarbejdet udelukkende til ledelsen hos Langeland Kommune og må ikke anvendes af eller videregives til tredjemand uden vores forudgående samtykke. Revisionen er foretaget i henhold til gældende revisionsstandarder og har omfattet følgende hovedområder: 1. It-politikker og organisation: Udvikling og implementering af it-strategi og sikkerhedspolitikker Identifikation og vurdering af it-risici It-medarbejdere Styring af outsourcing-/serviceleverandører 2. Drift af datacentre og netværk 3. Anskaffelse, ændringer og vedligeholdelse af systemsoftware 4. Adgangssikkerhed: Politikker og procedurer Beskyttelse af data og funktionsadskillelse 5. Anskaffelse, udvikling og vedligeholdelse af applikationssystemer. Gennemgangen er baseret på interview af it-chef Bent Knudsen, vurdering af den information vi har modtaget samt test af kommunens procedurer for brugeradministration for Windows Active Directory. Kommunen anvender it-serviceudbydere for væsentlige systemer, hvorved en væsentlig del af gennemgangen af de generelle it-kontroller for disse systemer baseres på årlige revisionserklæringer fra it-serviceudbyderne. Vi har modtaget dokumentation for at kommunen har gennemgået erklæringer fra KMD for perioden 1. januar til 31. december 2016 uden væsentlige bemærkninger hertil. Konklusion Ved vores revision har vi observeret, at kommunen har arbejdet aktivt med at styrke itsikkerheden. Samtidigt har kommunens ledelse styrket deres fokus på området således at kommunen nu har udarbejdet og ledelsesgodkendt de manglende ledelsesmæssige styringsværktøjer i for- PwC 2

hold til it-sikkerheden i Langeland Kommune. Kommunen har i årets løb både udarbejdet en itsikkerhedspolitik samt en it-risikovurdering. Ud fra det oplyste er det vores forventning af kommunen arbejder videre med at styrke it-sikkerheden. Det er oplyst at der udarbejdes en itberedskabsplan og at arbejdet hermed forventes afsluttet senest ved udgangen af Q2 2017. Endvidere er der udarbejdet en SLA ud mod forretningen. Denne mangler dog formel ledelsesgodkendelse. Årets revision har resulteret i at 6 observationer er lukket, heraf begge prioritet 1 anbefalinger. Den ene observation er lukket med ledelses accept af rest risikoen (se bilag 2). Gennemgangen har afstedkommet 5 nye observationer som følge af gennemgangen af kommunens Active Directory og brugeradministration på KMD Sag. De konstaterede anbefalinger vurderes forsat, at have væsentlig betydning for kontrolmiljøet. Det er forsat vores vurdering af Langeland Kommune bør arbejde fokuseret med at styrke itsikkerheden i kommunen samt udarbejde og ledelsesgodkende en decideret it-strategi samt udarbejde de manglende procedurer til understøttelse af it-anvendelsen i kommunen. På baggrund af den foretagne revision er det vores samlede vurdering, at de generelle it-kontroller hos forbedret i forhold til sidste år, således at de på et tilfredsstillende niveau (vurderes ud fra følgende skala: Ikke-tilfredsstillende, acceptabel, tilfredsstillende og meget tilfredsstillende i henhold til bilag 2). Vores anbefalinger i bilag 1 kan opsummeres således: It-politikker og organisation Drift af datacentre og netværk Anskaffelse, ændringer og vedligeholdelse af systemsoftware Adgangssikkerhed Anskaffelse, udvikling og vedligeholdelse af applikationssystemer 2016 2015 Prioritet 1 0 0 0 0 0 0 2 Prioritet 2 2 1 1 1 0 5 9 Prioritet 3 0 1 0 5 0 6 2 I alt 2 2 1 6 0 11 13 Prioriteringerne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 1. It-chef Bent Knudsen har haft lejlighed til at gennemgå dette brev og medfølgende observationsskema, og kommunens kommentarer er indarbejdet i observationsskemaet. Såfremt der måtte være kommentarer eller spørgsmål til ovennævnte, er I velkommen til at kontakte os. PwC 3

Vi vil gerne benytte lejligheden til at takke for et godt samarbejde i forbindelse med vores gennemgang. Med venlig hilsen PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab Jesper Møller Langvad Jesper Parsberg Madsen Henrik Waage Gleerup statsautoriseret revisor statsautoriseret revisor manager PwC 4

Prioritet skal ses i forhold til det reviderede område og er defineret således: Prioritering 1. Væsentlig mangel Beskrivelse Dette er et alvorligt problem vedrørende intern kontrol, risikostyring eller rapportering, som kan medføre a. betydelige fejloplysninger i regnskab / bogføring som følge af væsentlige fejl eller mangler og / eller b. overtrædelse af gældende love, regler og retningslinjer. Bør omgående vurderes af ledelsen og eventuelt på bestyrelsesniveau. 2. Betydelig svaghed Dette er et problem vedrørende intern kontrol, risikostyring eller rapportering, som kan føre til a. unøjagtigheder i regnskab/bogføring b. mangel på kontrol i den reviderede organisatoriske enhed eller proces; og / eller c. overtrædelse af gældende love, regler og retningslinjer. Bør behandles af ledelsen inden for rimelig tid. 3. Svaghed Dette er et problem vedrørende intern kontrol eller risikostyring, hvis løsning vil føre til: a. forbedring af kvaliteten og / eller effektiviteten af det reviderede område. PwC 1

Bilag 1 Anbefalinger vedrørende revision af generelle it-kontroller Nr. Prio. Observation Risiko Anbefaling Ledelsens kommentarer 1. Politikker, organisation m.m. 2013.1.1 1 Manglende it-sikkerhedspolitik Det er observeret, at Langeland Kommune ikke har udarbejdet en ledelsesgodkendt it-sikkerhedspolitik. Status er drøftet telefonisk med It-chef Bent Knudsen. Vi følger op herpå ved revisionen for 2015. Vi har fået oplyst, at punktet er uændret vi har dog fået oplyst at der pågår et arbejde med at udarbejde en itsikkerhedspolitik som forventes afsluttet i Q2 2016. Vi følger op herpå ved vores revision i 2016. Vi har modtaget en kopi af den nye itsikkerhedspolitik og påset at denne er ledelsesgodkendt. Punktet lukkes. 2013.1.2 1 Manglende risikovurdering Vi har observeret, at Langeland Kommune ikke har udarbejdet en risiko- Manglende it-sikkerhedspolitik øger risikoen for, at det faktiske niveau for it-sikkerhed ikke er i overensstemmelse med virksomhedsledelsens forventninger/beslutninger. De risici, der er forbundet med virksomhedens it-anvendelse, kan derved være anderledes og højere end det, som ledelsen forventer og kan acceptere. Manglende formel ledelsesmæssig vurdering af forretningsmæssige it-risici skaber risiko for, at it- og informati- Vi anbefaler, at Langeland Kommune udarbejder en skriftlig itsikkerhedspolitik, der forelægges kommunalbestyrelsen til godkendelse. It-sikkerhedspolitikken bør baseres på en analyse af de risici, som virksomhedens it-anvendelse medfører og dermed det sikkerhedsniveau, som ledelsen ønsker. It-sikkerhedspolitikken bør tage stilling til: Sikring af kommunens systemer og data mod brud på fortrolighed, manglende tilgængelighed og manglende integritet/pålidelighed. Placering af ansvar for kommunens it-sikkerhed. Hvordan sikkerhedspolitikken udmøntes i praksis. Itsikkerhedspolitikken bør kommunikeres ud til kommunens medarbejdere. It-sikkerhedspolitikken kan med fordel tage udgangspunkt i anerkendte sikkerhedsstandarder som f.eks. DS 484 og ISO 27001 Vi anbefaler, at der mindst en gang om året eller ved større ændringer i it-anvendelsen bliver foretaget en dokumenteret it-risikoanalyse. Der er bestilt konsulentassistance til udarbejdelse af itsikkerhedshåndbog, politikker mv. således at Langeland kommune opnår et tilpas sikkerhedsniveau. Enig ingen kommentarer PwC 2

vurdering for kommunens it-systemer. Status er drøftet telefonisk med It-chef Bent Knudsen. Vi følger op herpå ved revisionen for 2015. Vi har fået oplyst, at punktet er uændret vi har dog fået oplyst at der pågår et arbejde med at udarbejde en risikovurdering for it-anvendelsen som forventes afsluttet i Q2 2016. Vi følger op herpå ved vores revision i 2016. Vi har fået oplyst at punktet forsat er uændret. Vi følger op herpå ved vores revision i 2017. Opfølgende revision 2017: Vi har modtaget en risikovurdering. Dette punkt lukkes derfor. onssikkerhedsniveauet ikke er i overensstemmelse med kommunens behov. En model for risikovurdering vil blive udarbejdet i forbindelse med dels det tidligere nævte itsikkerhedsprojekt og dels via udarbejdelsen af et ITservicekatalog. Arbejdet omkring ITservicekataloget er iværksat december 2014 og forventes færdig april 2015. Enig ingen kommentarer 2013.1.3 2 Manglende it-strategi Vi har observeret, at Langeland Kommune ikke har udarbejdet en itstrategi. Status er drøftet telefonisk med It-chef Bent Knudsen. Vi følger op herpå ved revisionen for 2015. Manglende it-strategi og dermed et fælles grundlag for ledelse, forretningen og itafdelingen, øger risikoen for, at it-anvendelsen udvikler sig i en anden retning, end virksomhedens ledelse og forretning forventer. Der er dermed risiko for ikke at kunne supportere den forretningsmæssige strate- Vi anbefaler, at Langeland Kommune udarbejder en formaliseret skriftlig it-strategi, der udstikker ledelsens og forretningens forventninger og krav til virksomhedens it-anvendelse og udvikling, herunder at der er overensstemmelse til den forretningsmæssige strategi. Efter vores opfattelse bør itstrategien forholde sig til: Der er bestilt konsulent til at assistere med udarbejdelsen af en it-strategi for Langeland Kommune kaldet: PwC 3

Vi har fået oplyst, at punktet er uændret vi har dog fået oplyst at der pågår et arbejde med at udarbejde en strategi for it-anvendelsen som forventes afsluttet i Q2 2016. Vi følger op herpå ved vores revision i 2016. Vi har fået oplyst at punktet forsat er uændret. Vi følger op herpå ved vores revision i 2017. gi. Langsigtet udvikling It-sikkerhedsmæssige forhold Ressourcer på it-området Valg af platform(e) Organisation og placering af ansvar It-strategien bør forelægges og godkendes af virksomhedens bestyrelse. Sunde it-principper Arbejdet forventes afsluttet i juni 2015. Enig ingen kommentarer Det er planlagt, at itstrategien skal ligge klar i Q4 2017 2013.1.4 2 Manglende operationalitet i itsikkerhedshåndbogen Vi har observeret, at den modtagne itsikkerhedshåndbog ikke er operationel i forhold til slutbrugeren. Der er risiko for, at systemer ikke driftes efter de aftalte retningslinjer. Vi anbefaler, at itsikkerhedshåndbogen gøres operationel. Status er drøftet telefonisk med It-chef Bent Knudsen. Vi følger op herpå ved revisionen for 2015. Dette udarbejdes som led i det aktuelle ITsikkerhedsprojekt Vi har fået oplyst, at arbejdet med at revidere den eksisterende itsikkerhedshåndbog igangsættes snarest, og det forventes at 1. udkast af den reviderede it-sikkerhedshåndbog præsenteres på Hovedudvalgets møde den 10. december. Det er oplyst at den reviderede it-sikkerhedshåndbog for- Enig ingen kommentarer PwC 4

ventes endeligt godkendt Q2 2016.Vi følger op herpå ved vores revision i 2016. Vi har modtaget en kopi af den nye itsikkerhedshåndbog. Denne fremstår nu langt mere operationel. Punktet lukkes. 2013.1.5 2 Manglende bilag i itsikkerhedshåndbog Vi har fået oplyst, at de underliggende bilag i it-sikkerhedshåndbogen ikke eksisterer. Der er risiko for, at systemer ikke driftes efter de aftalte retningslinjer. Vi anbefaler, at de underliggende bilag færdiggøres og integreres i itsikkerhedshåndbogen. Status er drøftet telefonisk med It-chef Bent Knudsen. Vi følger op herpå ved revisionen for 2015. Vi har fået oplyst, at arbejdet med at revidere de eksisterende itsikkerhedshåndbog igangsættes snarest, og det forventes at 1. udkast af den reviderede it-sikkerhedshåndbog præsenteres på Hovedudvalgets møde den 10. december. Det er oplyst at den reviderede it-sikkerhedshåndbog forventes endeligt godkendt Q2 2016. Vi følger op herpå ved vores revision i 2016. Vi har modtaget kopi af den nye itsikkerhedshåndbog og af den fremgår Dette udarbejdes som led i det aktuelle ITsikkerhedsprojekt Enig ingen kommentarer PwC 5

det, at de manglende bilag nu er udarbej Punktet lukkes. 2013.1.6 2 Manglende SLA Vi har fået oplyst, at Langeland Kommune ikke har udarbejdet en SLA mellem it og forretningen. Status er drøftet telefonisk med It-chef Bent Knudsen. Vi følger op herpå ved revisionen for 2015. Vi har fået oplyst, at forholdet er uændret. Vi følger op herpå ved vores revision i 2016. Status 2016 Vi har fået oplyst at der er udarbejdet en SLA i it-afdelingen, men den er ikke formelt godkendt i forretningen. Vi følger op herpå ved revisionen i 2017. Manglende SLA øger risikoen for, at ledelses krav og forventninger ikke lever op til de faktiske forhold. Vi anbefaler, at Langeland Kommune udarbejder en SLA mellem it og forretningen og at denne SLA godkendes af ledelsen i Langeland Kommune Dette vil blive udarbejdet i forbindelse med det før nævnte IT-servicekatalog Enig ingen kommentarer Der er i dag aftalt en grundlæggende SLA på alle fagsystemer. Der kan vælges mellem 3 typer serviceniveau. Godkendelse forventes på plads i Q3-2017 2. Drift af datacentre og netværk 2013.2.1 2 Manglende beredskabsplan Vi har fået oplyst, at Langeland Kommune ikke har en formaliseret og testet beredskabsplan. Status er drøftet telefonisk med It-chef Manglende skriftlige nødprocedurer øger risikoen for, at virksomheden, i tilfælde af en nød- eller katastrofesituation, ikke vil kunne reetablere sine it-systemer inden for den tidshorisont, som ledelsen forventer, hvilket kan blive kritisk for Vi anbefaler, at Langeland Kommune udarbejder en beredskabsplan på grundlag af en it-risikoanalyse, og herefter regelmæssigt tester planen. Dette udarbejdes som led i PwC 6

Bent Knudsen. Vi følger op herpå ved revisionen for 2015. virksomheden. det aktuelle ITsikkerhedsprojekt Vi har fået oplyst, at Langeland Kommunes beror sig på den kontraktmæssige beredskabsplan, som eksisterer hos samarbejdspartneren KMD, for så vidt de systemer der driftes der. For de systemer, der driftes in-house, eksisterer der endnu ikke nogen beredskabsplan. Punktet kan lukkes når der foreligger en beredskabsplan for det itmiljø der driftes af Langeland Kommune. Vi følger op herpå ved vores revision i 2016. Enig ingen kommentarer Beredskabsplanen forventes godkendt i Q4-2017 Vi har fået oplyst at punktet forsat er uændret. Vi følger op herpå ved vores revision i 2017. 2013.2.2 3 Manglende procedure for backup Vi har fået oplyst, at der ikke er udarbejdet formaliserede procedurer for backup og restore. Status er drøftet telefonisk med It-chef Bent Knudsen. Vi følger op herpå ved revisionen for 2015. Manglende skriftlige procedurer for øger risikoen for at sikkerhedsforanstaltninger ikke bliver udført i overensstemmelse med det vedtagne og de forventninger som ledelsen har. Vi anbefaler, at Langeland Kommune udarbejder og implementerer en procedure for backup og restore, herunder procedure for periodiske test af backup. Dette udarbejdes som led i det aktuelle ITsikkerhedsprojekt Vi har fået oplyst, at proceduren er under udarbejdelse og at den forventes Enig ingen kommentarer PwC 7

færdig Q2 2016. Vi følger op herpå ved vores revision i 2016. Vi har fået oplyst der er implementeret en rutine i forhold til KMD hvor der følges op på logfiler. Servicemanager sender rapport. Vores test af backup har ikke påvist afvigelser. Der er ikke lavet forebyggende restoretest men der har været live test pga. kryptologger. Vi følger op herpå ved revisionen i 2017. 3. Anskaffelse, ændringer og vedligeholdelse af systemsoftware 2013.3.2 2 Manglende procedurer for Incident og Problem Management. Vi har fået oplyst, at der ikke er udarbejdet formaliserede procedurer for Incident og Problem Management Status er drøftet telefonisk med It-chef Bent Knudsen. Vi følger op herpå ved revisionen for 2015. Vi har fået oplyst at forholdet er uændret. Vi følger op herpå ved vores revision i 2016. Manglende skriftlige procedurer for øger risikoen for at sikkerhedsforanstaltninger ikke bliver udført i overensstemmelse med det vedtagne og de forventninger som ledelsen har. Vi anbefaler, at Langeland Kommune udarbejder og implementerer en procedure for Problem og Incident Management. Eksisterende processer tilpasses pt. som led i skift til ny driftspartner. Disse vil være klar ultimo Q3-2017 Der er netop indført en ny LEAN model (KanBan) for håndtering af Incidents-, problem- og change- håndtering i IT-afdelingen. I forbindelse hermed, bliver SLA aftaler med underleverandører gennemgået og tilpasset. PwC 8

4. Adgangssikkerhed Vi har fået oplyst at der er udarbejdet en procedure for incident/problem management. Den mangler dog formel godkendelse. Vi følger op herpå ved vores revision i 2017. 2016.4.1 2 Brugeradministration oprettelse af brugere KMD Sag uden formel dokumentation Vi har fået oplyst at der er oprettet en enkelt bruger på KMD Sag i 2016. Oprettelsen er dog ikke formelt dokumenteret. Manglende dokumentation af oprettelse af brugere øger risikoen for uautoriseret adgang til systemer og data. Vi anbefaler, at Langeland Kommune dokumenterer oprettelsen af brugere i KMD Sag. Uenig. KanBan tavlen sikrer, at problemsagen bliver fulgt fra fødsels til død. Hel e KanBan konceptets grundidè er jo netop, at processen sker på tavlen og det kræver ikke særskilt beskrivelse. Godkendelse vil ske Q3-2017 2016.4.2 3 Windows AD: Manglende logning Vi har under vores gennemgang af Langeland Kommunes Active Directory observeret, at mange af aktiviteter enten ikke logges, eller kun logges ved success. Manglende logning øger risikoen for at (forsøg på) uautoriseret adgang til systemer og data kan forekomme uden at det opdages. Vi anbefaler, at Langeland Kommune ændrer deres logindstillinger således at de opfylder best practice anbefalingerne. 2016.4.3 3 Windows AD: Manglende hotfixes Vi har under vores gennemgang af Langeland Kommunes Active Directory observeret, at de nyeste installerede hotfixes blev udgivet i 2014. Manglende installation af hotfixes øger risikoen for at uautoriseret adgang til systemer og data kan opnås ved at udnytte kendte svagheder. Vi anbefaler, at Langelands Kommune installerer kritiske sikkerhedsrelaterede hotfixes så hurtigt som muligt for at lukke sikkerhedssvagheder. 2016.4.4 3 Dokumentation mangler for nedlæggelse af brugere Vi har under vores gennemgang af Manglende dokumentation for nedlæggelse af brugere øger risikoen for at brugernedlæg- Vi anbefaler at der udarbejdes Servicedesk sager for hver enkelt nedlæggelse af brugere og at disse gem- PwC 9

nedlæggelse af brugere observeret at der i 11 ud af 25 tilfælde ikke foreligger dokumentation for nedlæggelserne. Det er dog observeret at brugere en disablet på Langeland kommunes Active Directory. gelser ikke sker korrekt og at kontiene derved kan blive benyttet til at få uautoriseret adgang til systemer og data. mes et sted hvor de ikke bliver slettet. 2016.4.5 3 Brugeroprettelses dokumentation foreligger ikke Vi har under vores gennemgang af 25 brugeroprettelser observeret, at der ikke foreligger dokumentation for en(1) af bruger oprettelserne. Manglende dokumentation for oprettelse gør det vanskeligt at se hvilke rettigheder der burde være påskrevet brugeren og brugeren kan dermed have rettigheder som ikke er i overensstemmelse med et arbejdsrelateret behov. Vi anbefaler at alle brugeroprettelser bliver dokumenteres. Der er i samarbejde med HR iværksat et projekt, som har til formål at tilrette procedurerne omkring on- og offboarding så det lever op til revisionens anbefalinger. 2015.4.1 3 Brugeradministration nedlæggelse af brugere Vi har observeret, at der i 2 ud af 14 udvalgte stikprøver ikke er fremsendt nedlæggelsesanmodninger gennem helpdesk systemet. Dette betyder, at brugerne stadig er aktive på Langeland Kommunes Active Directory. Vi har observeret at de udvalgte stikprøver alle er disablet på Langeland Kommunes Active Directory. Punktet lukkes Manglende nedlæggelse af brugere øger risikoen for uautoriseret adgang til systemer og data. Vi anbefaler, at Langeland Kommune revurderer den nuværende procedurer samt vurderer om der skal implementeres yderligere kontroller for at sikre at brugerne nedlægges konsekvent og rettidigt. Enig Vi har siden oktober arbejdet på at strømline vores oprettelsesprocedure. Vi påtænker at tage OPUS Brugerstyring i anvendelse, hvilket vil medføre, at brugeroprettelse og nedlæggelse sker i ét og samme team. Derved opnås samtidigt, at stamdata primært vi ligge i OPUS og AD vil således være synkroniseret på daglig basis, og vi vil sålledes ikke kun opnå bedre kvalitet og data sikring, men tillige opnå en tidsmæssig besparelse på brugeradministrationen. 2015.4.3 3 Windows AD: Manglende Password udløb Vi har under vores gennemgang af Manglende krav til periodisk skift af password øger risikoen for, at disse passwords med Vi anbefaler Langeland Kommune, at alle bruger-id, som udgangspunkt har passwords med udløbstid, og at KMD kan selv oprette useraccounts i vores AD. Det er en del af den driftaftale vi har PwC 10

Langeland Kommunes Active Directory observeret, 11 brugere der ikke påkræves at skifte password periodisk. tiden kan blive opdaget af uvedkommende, hvilket øger risikoen for at det lykkes uvedkommende at opnå uautoriseret adgang til kommunens Windows netværk. it-ledelsen påser, at password for sådanne brugerprofiler skiftes i henhold til kommunes retningslinjer. og et krav fra KMD s side. Jeg har bedt KMD om hurtigst muligt- at gennemgå listen over inactive accounts og melde tilbage så snart de har udført arbej Vi har under vores gennemgang af Langeland Kommunes Active Directory observeret, 8 brugere der ikke påkræves at skifte password periodisk. Status er uændret og vi følger op herpå ved vores revision i 2017. Vi har kun service accounts som ikke påkræves skift af password. De nævnte accounts er slettet/ændret. 2015.4.4 3 Windows AD: Inaktive brugere Vi har under vores gennemgang af Langeland Kommunes Active Directory observeret, at 53 bruger konti ikke har været logget på Windows Domain Controller siden 1 december 2014. Manglende sletning af inaktive brugere øger risikoen for at disse konti kan benyttes til at forcere uautoriseret adgang til sensitiv data og systemer. Vi anbefaler Langeland Kommune, at slette eller deaktivere konti som ikke bliver benyttet. Vi gennemgår AD og sletter de inaktive useraccounts og melder tilbage når det er udført. Vi har under vores gennemgang ad Langeland Kommunes Active Directory observeret, at 74 bruger konti ikke har været logget på Windows Domain Controller siden 2015. Vi har dog modtaget dokumentation for at disse brugere efter vores besøg er blevet disablet. Punktet lukkes. PwC 11

5. Anskaffelse, udvikling og vedligeholdelse af applikationssystemer Ingen bemærkninger PwC 12

Bilag 2 Anbefalinger lukket med ledelsens accept Nr. Prio. Observation Risiko Anbefaling Ledelsens kommentarer 1. Politikker, organisation m.m. 2015.4.2 2 Windows AD: Manglende Password kompleksitet Vi har under vores gennemgang af Langeland Kommunes Active Directory observeret at password kompleksitet ikke er aktiveret på Langeland Kommunes Domain Controller. Manglende password kompleksitet øger risikoen for at uautoriserede adgange får nemmere ved at komme ind i systemet og derved får adgang til sensitiv data. Vi anbefaler at Langeland kommune aktiverer password kompleksitet. Kompleksiteten er bevidst fravalgt, men anbefalingen vil blive taget op til fornyet vurdering på det kommende Chef-møde i januar 2016. Vi har fået oplyst, at Langeland kommune ud fra et ledelsesmæssigt valg ikke vil efterleve revisionens anbefaling. PwC 13

Bilag 3 Skala for den samlede vurdering Definition: Den interne kontrol har til formål at sikre: at gældende love og regler opfyldes at regnskab / bogføring er retvisende og består af følgende elementer: Kontrolmiljø Virksomhedens risikovurderingsproces Informationssystemet, inkl. tilknyttede forretningsprocesser, som er relevante for årsregnskabet Kontrolaktiviteter Overvågning af kontroller. Meget tilfredsstillende Anses for at være fuldt effektiv. Eventuelle observationer er grundlæggende af mindre betydning og håndteres rutinemæssigt. Observationernes relative risiko anses generelt for at være yderst beskeden. Tilfredsstillende Anses for tilfredsstillende. Observationer afspejler svagheder, som kan rettes i forbindelse med den daglige drift. Observationernes relative risiko anses generelt for at være lille eller moderat. Acceptabel Anses for acceptabel. Observationer afspejler svagheder af moderat karakter og kræver ledelsens opmærksomhed. Observationernes relative risiko anses generelt for at være moderat men ville kunne forværres, hvis styrkelsen af kontrollerne, hvor svagheden er konstateret, ikke er effektiv. Ikke tilfredsstillende Anses for utilfredsstillende. Observationerne afspejler store svagheder eller andre ikke tilfredsstillende forhold. Risikoen ved observationerne anses generelt som værende stor og alvorlig og kan udsætte virksomheden for betydelig risiko for væsentlige fejl og mangler i årsregnskabet. PwC 14

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback