Rapport 1/2019 Sikkerhetskrav i IKT-anskaffelser
Kommunerevisjonen har gjennomført en forvaltningsrevisjon av sikkerhetskrav i 15 IKT-anskaffelser. Anskaffelsene var foretatt av Bydel Alna, Bymiljøetaten, Barne- og familieetaten, Helseetaten, Utdanningsetaten og Utviklings- og kompetanseetaten.
Undersøkelsen viser at virksomhetene for de fleste anskaffelsene hadde stilt informasjonssikkerhetskrav til systemene som ble anskaffet. I et flertall av anskaffelsen var det ikke gjennomført risikovurderinger av informasjonssikkerhet som kunne gi grunnlag for sikkerhetskrav. Videre var det svært begrenset sikkerhetstesting før systemene ble satt i drift. Samlet sett ga dette risiko for at sikkerheten i de anskaffede systemene ikke var i tråd med virksomhetenes og kommunens behov.
Bakgrunn
Oslo kommune er stadig mer avhengig av IKT-systemer i styring, forvaltning og drift av kommunens virksomhet. Systemene er ofte kritiske for at kommunen og den aktuelle virksomheten skal nå sine mål, og mange inneholder sensitiv informasjon. Flere viktige systemer er anskaffet de senere årene, og flere systemer er planlagt skiftet ut framover.
Formål
Formålet med undersøkelsen har vært å gi informasjon om status når det gjelder sikkerhetskrav i IKT-anskaffelser, og således bidra til forbedringer i kommunens arbeid på området.
Problemstilling
Undersøkelsen har hatt følgende problemstilling:
- Stiller kommunen gode og relevante sikkerhetskrav i anskaffelser på IKT-området?
Problemstillingen er i hovedsak besvart gjennom følgende underproblemstillinger:
- Har de aktuelle virksomhetene vurdert behovet for sikkerhet i systemet som skal anskaffes?
- Har krav til sikkerhet blitt fulgt opp overfor leverandøren fram til systemet er implementert?
Anbefalinger
Anbefalinger som gjelder alle de reviderte virksomhetene:
- Virksomhetene bør vurdere tiltak som kan gi større trygghet for at systemer som anskaffes har et sikkerhetsnivå i tråd med virksomhetens behov. Særlig bør det sikres at virksomheten har
- sørget for tilstrekkelige risikoanalyser som grunnlag for informasjonssikkerhetskrav i kravspesifikasjoner, og
- gjennomført tilstrekkelig kontroll av at systemer som anskaffes ivaretar sikkerhetsbehovene, herunder at det er gjennomført egne sikkerhetstester ved vurdert behov.
Anbefalinger som gjelder enkelte virksomheter:
- Barne- og familieetaten og Utdanningsetaten bør sørge for en tilfredsstillende evaluering av leverandørers tilbakemelding på sikkerhetskrav i kravspesifikasjoner.
- Bydel Alna bør sørge for tilstrekkelig kontroll med anskaffelsesprosessene slik at det stilles nødvendige risikobaserte krav til informasjonssikkerhet, at kravene evalueres på en tilfredsstillende måte og at det gjennomføres nødvendige kontroller og testing av sikkerhetskrav før IT-systemer settes i drift.