Etterlevelseskontroll - Roller og ansvar til tjenesteforvalter, tjenesteeier, virksomhetsområdet og IT-tjenesten

Etterlevelseskontroll - Roller og ansvar til tjenesteforvalter, tjenesteeier, virksomhetsområdet og IT-tjenesten

Innhold

Brev til organisasjonsdirektøren
 
Svar fra organisasjonsdirektøren
 
Uavhengig revisors uttalelse

Vi har i denne etterlevelseskontrollen undersøkt om Trondheim kommune har god kontroll og oppfølging av kommunens IT-systemer.

Konklusjon

Er det tydelig hvilke ansvar, roller og oppgaver som tjenesteforvalter, tjenesteeier, virksomhetsområde og IT-tjenesten har for IT-systemene?

Det er ikke tydelig hvilke ansvar, roller og oppgaver som tjenesteforvalter, tjenesteeier, virksomhetsområde og IT-tjenesten har for IT-systemene:

  • Rutinen “ Tjenestestyring av IT løsninger i Trondheim kommune” er overordnet og beskriver ikke tydelig hvilket ansvar tjenesteforvalter, tjenesteeier og virksomhetsområdet har for IT-systemer.
  • Kommunen har ikke stilt krav om nødvendig kompetanse for rollene tjenesteforvalter og tjenesteeier.
  • Tjenesteforvaltere og tjenesteeiere svarer i undersøkelsen at de ikke får tilstrekkelig opplæring og støtte til å utøve sin rolle.

Har tjenesteforvaltere god kontroll og oppfølging av IT-systemene i henhold til grunnprinsipper for IT-sikkerhet og kommunens interne retningslinjer?

Det varierer om tjenesteforvalter mener de har god kontroll og oppfølging av IT-systemene:

  • Kommunen har ikke retningslinjer for hvordan tjenesteforvalterne skal følge opp tilganger til eksterne brukere. Dette gjelder spesielt ved IT-systemer som driftes som en skyløsning med avtalt oppetid.
  • Det er ikke klart for tjenesteeierne og virksomhetsområdene hva deres roller er for å følge opp tilgangsrettigheter til IT-systemene.
  • Det er ikke klart for tjenesteeierne og virksomhetsområdene hva deres roller er for kontroll og oppfølging av endringer av IT-systemene. Ansvaret er ikke beskrevet i kommunens retningslinjer.
  • Kommunen har ikke klare retningslinjer som beskriver hvordan tjenesteforvalter, tjenesteeier og virksomhetsområdene skal ivareta ansvaret for kommunens personopplysninger (GDPR) for sine IT-systemer.
  • Arbeidsfordelingen mellom de ulike rollene som tjenesteforvalter, tjenesteeier, virksomhetsområde og IT-tjenesten for sikkerhetsarkitektur og backup løsninger er ikke beskrevet i kommunens rutiner.

 

Sist oppdatert: 10.04.2024

Fant du det du lette etter?