Granskning av kommunens informationssäkerhet
KPMG har av Uppsala kommuns revisorer fått i uppdrag att granska kommunens rutiner kring informations- och IT-säkerheten. Uppdraget ingår i revisionsplanen för år 2019. Granskningens syfte har varit att konstatera om kommunen har ett ändamålsenligt och systematiskt arbetssätt med sin informationssäkerhet (där IT-säkerhet ingår som en del).
Sammanfattning
Vår sammanfattande bedömning utifrån granskningens syfte är att kommunstyrelsen inte fullt ut säkerställt ett ändamålsenligt och systematiskt arbete med sin informationssäkerhet. Baserat på styrdokument och intervjuades beskrivning av pågående utvecklingsarbete har Uppsala kommun en hög ambitionsnivå när det kommer till informationssäkerhetsarbetet. Vi bedömer det som positivt att flera åtgärder har och är planerade att genomföras för att förbättra kommunens organisation för informationssäkerhet. Vår bedömning är dock att organisationen inte implementerats fullt ut och ännu inte klarar att leva upp till den höga ambitionsnivån. Framförallt är verksamheten inte tillräckligt förankrad i arbetet vilket medför att IT-staben har tagit en stor roll.
Vi lämnar följande rekommendationer till kommunstyrelsen:
- Säkerställ att funktionen för informationssäkerhet utvärderas och att dess syfte och funktion tydliggörs.
- Säkerställ att roller och ansvar mellan IT och verksamhet tydliggörs.
- Säkerställ att tillräcklig utbildning ges för att medvetandegöra informationssäkerhetsansvaret för alla inom Uppsala kommun.
- Säkerställ att arbetet med informationssäkerhetsklassning implementeras fullt ut i kommunen.