Brister kvar i kommunens IT-säkerhetsarbete

Härnösands kommuns revisorer har låtit företaget Azets Revision & Rådgivning följa upp en tidigare granskning av kommunens IT- och informationssäkerhet. Syftet var att se om kommunen har genomfört de åtgärder som tidigare rekommenderats.

Granskningen visar att kommunstyrelsen bara delvis har genomfört rekommendationerna. Kommunen antog nya styrdokument för informationssäkerhet under 2023, men dessa behöver ses över igen när ny lagstiftning träder i kraft 2026.

Revisionen ser allvarligt på att tillräckliga åtgärder inte har vidtagits utifrån tidigare rekommendationer. Enligt rapporten saknas en tydlig utvärdering av hur resurserna för informationssäkerhet används. Det gör det svårt att prioritera rätt åtgärder. Kommunen följer upp arbetet en gång per år i kommunledningen, men uppföljningen täcker inte hela säkerhetsarbetet.

Kommunen erbjuder utbildningar i informationssäkerhet via intranätet, men de är inte obligatoriska och går inte att följa upp på ett systematiskt sätt. Det finns heller inga motsvarande utbildningar för förtroendevalda. Samtidigt pågår ett arbete för att göra vissa utbildningar obligatoriska och enklare att följa upp.

När det gäller hantering av incidenter, till exempel personuppgiftsincidenter, finns viss information om hur de ska rapporteras. Däremot saknas tydliga och samordnade rutiner med klara roller, ansvar och arbetssätt. Incidenter rapporteras oftast via e-post och det finns inget gemensamt system för att registrera och följa upp dem.

Här kan du läsa den uppföljande granskningsrapporten i sin helhet pdf, 805.9 kB. (pdf, 805.9 kB)