Etterlevelseskontroll - Roller og ansvar til tjenesteforvalter, tjenesteeier, virksomhetsområdet og IT-tjenesten
Etterlevelseskontroll - Roller og ansvar til tjenesteforvalter, tjenesteeier, virksomhetsområdet og IT-tjenesten
Innhold
Brev til organisasjonsdirektøren
Svar fra organisasjonsdirektøren
Uavhengig revisors uttalelse
Vi har i denne etterlevelseskontrollen undersøkt om Trondheim kommune har god kontroll og oppfølging av kommunens IT-systemer.
Konklusjon
Er det tydelig hvilke ansvar, roller og oppgaver som tjenesteforvalter, tjenesteeier, virksomhetsområde og IT-tjenesten har for IT-systemene?
Det er ikke tydelig hvilke ansvar, roller og oppgaver som tjenesteforvalter, tjenesteeier, virksomhetsområde og IT-tjenesten har for IT-systemene:
- Rutinen “ Tjenestestyring av IT løsninger i Trondheim kommune” er overordnet og beskriver ikke tydelig hvilket ansvar tjenesteforvalter, tjenesteeier og virksomhetsområdet har for IT-systemer.
- Kommunen har ikke stilt krav om nødvendig kompetanse for rollene tjenesteforvalter og tjenesteeier.
- Tjenesteforvaltere og tjenesteeiere svarer i undersøkelsen at de ikke får tilstrekkelig opplæring og støtte til å utøve sin rolle.
Har tjenesteforvaltere god kontroll og oppfølging av IT-systemene i henhold til grunnprinsipper for IT-sikkerhet og kommunens interne retningslinjer?
Det varierer om tjenesteforvalter mener de har god kontroll og oppfølging av IT-systemene:
- Kommunen har ikke retningslinjer for hvordan tjenesteforvalterne skal følge opp tilganger til eksterne brukere. Dette gjelder spesielt ved IT-systemer som driftes som en skyløsning med avtalt oppetid.
- Det er ikke klart for tjenesteeierne og virksomhetsområdene hva deres roller er for å følge opp tilgangsrettigheter til IT-systemene.
- Det er ikke klart for tjenesteeierne og virksomhetsområdene hva deres roller er for kontroll og oppfølging av endringer av IT-systemene. Ansvaret er ikke beskrevet i kommunens retningslinjer.
- Kommunen har ikke klare retningslinjer som beskriver hvordan tjenesteforvalter, tjenesteeier og virksomhetsområdene skal ivareta ansvaret for kommunens personopplysninger (GDPR) for sine IT-systemer.
- Arbeidsfordelingen mellom de ulike rollene som tjenesteforvalter, tjenesteeier, virksomhetsområde og IT-tjenesten for sikkerhetsarkitektur og backup løsninger er ikke beskrevet i kommunens rutiner.
Sist oppdatert: 10.04.2024