Oplæg om it-revision af selvejende institutioner

It-revision af selvejende institutioner
Seminar i Rigsrevisionen den 5. maj 2015
Hvem er vi?
It-revisor Claus. B. Jensen, CISA, CIA
Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret
Ansat maj 2013
[email protected]
Chefkonsulent Ingolf Holm Clausen, CISA
Bred erfaring i Rigsrevisionen med it-udvikling, lønrevision og it-revision
Ansat december 1985
[email protected]
2
Formålet med vores indlæg
•
•
•
Input til drøftelse, gerne undervejs
Fortælle om vores erfaringer med it-revision
o Generelt
o Uddannelsesinstitutioner
Præsentere vores koncept for revision af små institutioner
3
Dagsorden
•
•
•
•
•
Hvorfor er der behov for it-revision ved skolerne?
Formelle krav i love og bekendtgørelser mv.
Skolernes ansvar på it-området
Dialog om metode til it-revision af små institutioner
Spørgsmål og kommentarer
4
Hvorfor er der behov for it-revision ved
skolerne?
It-revision omfatter generelle it-kontroller og it-systemer
It-revisionen har fokus på FIT:
• fortrolighed
• integritet
• tilgængelighed
Fejl i skolernes it-systemer giver ikke kun fejl i regnskabet. Kan afsløre
personlige oplysninger og kræve ekstra omkostninger. Skader skolens
og ministeriets renommé.
5
Formelle krav om it-revision i love og
bekendtgørelser mv.
•
•
•
•
Persondataloven
ISO 27001 i staten, jf. Digitaliseringsstyrelsen hjemmeside
§ 9-aftalen, ingen direkte krav om it-revision
Undervisningsministeriets love og bekendtgørelser
6
Bekendtgørelsen
7
1. Systemrevision, der skal udføres af
Rigsrevisionen
• Årlig revision af SLS og Navision i Moderniseringsstyrelsen.
• Rigsrevisionen udarbejder rapport med observationer og
anbefalinger.
• Gennemgår departementets tilsyn med opfølgning på vores
anbefalinger.
• Erklæringer fra eksterne leverandører, fx om CSC.
• Statens It er ISO-certificeret – kan få betydning.
Rigsrevisionen afgiver ikke revisionserklæringer.
8
2. Systemrevision, der skal udføres af særligt
udpegede revisorer
• Omfatter specifikke studieadministrative systemer
• UVM vælger revisor og følger op på rapporteringen
Rigsrevisionen vil i 2015 følge op på status, herunder spørgsmålet
om en eventuel ny bekendtgørelse fra UVM
9
3. Systemrevision, der skal udføres af
institutionens interne revisor
• Har skolen fulgt de gældende brugervejledninger?
• Revision af alternative systemer, der ikke er omfattet af
Rigsrevisionens eller Undervisningsministeriets kontrol
• Hvad med de generelle it-kontroller på skolerne?
10
Skolernes ansvar på it-området
Vigtigste opgaver:
• Skolernes ledelser bør stå i spidsen
• Formulere politikker og regler
• Implementere sikkerhedsstandard ISO27001?
• Uddanne og informere brugerne
• Styre brugernes adgang og rettigheder
• Følge op på sikkerhedshændelser
11
Dialog om metode til it-revision af generelle itkontroller i små institutioner
Udkast til nyt koncept:
• Vi sender et brev og beder om nogle basale oplysninger.
• Vi beder også om en selvevaluering.
• Vi holder et dialogmøde med institutionen og modtager vigtig
dokumentation.
• Vi rapporterer efter en standardskabelon.
• Eventuel drøftelse af vores udkast til rapport.
12
13
Intern organisation
Kontrolmål: Roller, ansvar og opgaver i forhold til informationssikkerhed
er klart defineret og sikkerhedsarbejdet er forankret i institutionens
ledelse.
Eksempler på spørgsmål:
• Hvem træffer beslutninger om informationssikkerhed?
• Er institutionens ledelse involveret og hvordan?
• Er der en it-sikkerhedsansvarlig?
• Hvem har ansvar for faglige- og administrative systemer?
• Er sikkerhedsopgaverne beskrevet?
• Er institutionen i dialog med departementet, fx ved it-tilsyn?
14
It-sikkerhedsstyring
Kontrolmål: Der er på basis af en risikovurdering fastsat et
sikkerhedsniveau, som er beskrevet i ledelsesgodkendte politikker og
udmøntet i skriftlige retningslinjer mv.
Eksempler på emner/spørgsmål:
• Risikovurderinger, sikkerhedsniveau, risikobillede
• It-sikkerhedsstandard (ISO 27001)
• Information til medarbejderne (awareness)
• Regler for anvendelse af privat it-udstyr på arbejde
• Mobile enheder i øvrigt
• Håndtering af sikkerhedshændelser
• Regler for anvendelse af internettet
15
Adgang til systemer og data
Kontrolmål: Adgangsstyringen sikrer, at alene autoriserede
medarbejdere og konsulenter får tildelt adgangsrettigheder svarende til
deres arbejdsbetingede behov.
Eksempler på emner/spørgsmål:
• Hvem er ansvarlige for adgangsstyringen?
• Er der beskrevne procedurer?
• Føres der jævnlig kontrol af brugerfortegnelsen
• Procedurer for tildeling af rettigheder i systemerne
16
Eksterne leverandører og konsulenter
Kontrolmål: Institutionen har indgået skriftlige aftaler med eksterne
partnere og følger op på, at disse lever op til de aftalte servicemål.
Eksempler på emner/spørgsmål:
• Drift og hosting af data
• Udviklingsleverandør
• Serviceaftaler og servicemål
• Revisorerklæringer eller lignende
17
Ekstern kommunikation
Kontrolmål: Dataudveksling over internettet, fx via e-mail, er beskyttet,
så risikoen for uautoriseret adgang til informationer er minimeret.
Eksempler på emner/spørgsmål:
• Mail-system
• Digital kommunikation med borgerne
• Anvendelse af kryptering
18
Sikring af lokalnet og data
Kontrolmål: Lokalnet og data er beskyttet mod adgang for
uvedkommende og data kan genskabes fra sikkerhedskopier.
Eksempler på emner/spørgsmål:
• Firewall, politik for tilladt trafik, penetrationstest
• Administratorrettigheder på egne computere
• Beskyttelse mod virus og anden malware
• Logning
• Backup
19
Sikkerhedsopdatering af software
Kontrolmål: Operativsystemer og anden software på servere og
computere bliver løbende opdateret, så kendte sårbarheder bliver
elimineret.
Eksempler på emner/spørgsmål:
• Hvordan gennemføres sikkerhedsopdateringer i praksis?
• Bliver opdateringer testet og godkendt?
• Procedure for implementering af ændringer i øvrigt
20
Beredskabsplan og nødplan
Kontrolmål: Institutionen har på basis af en risikovurdering truffet
foranstaltninger til at kunne genoptage driften efter et nedbrud.
Eksempler på emner/spørgsmål:
• Har institutionen overvejet afhængighed af it-systemerne og
eventuelle alternative løsninger?
• Er der udarbejdet en nødplan og en retableringsplan?
21
Fysisk sikkerhed
Kontrolmål: Lokaler og teknisk infrastruktur er beskyttet med fysiske
foranstaltninger, som begrænser risikoen for uvedkommendes adgang
til informationsaktiverne.
Eksempler på emner/spørgsmål:
• Overvejelser om risici
• Adgang til bygningen, nøgler og kort
• Sikkerhed i og omkring serverrum og andre sikre områder
22