"Det är dålig ordning och reda", säger vice ordförande Hans Aronsson (S).
"Det är dålig ordning och reda", säger vice ordförande Hans Aronsson (S). Bild: Stefan Berg/VG-regionen

Brister i informationssäkerheten hos Göteborg stad: "Det är dålig ordning och reda"

En ny rapport från Stadsrevisionen visar på brister i informationssäkerheten hos flera kommunala verksamheter. Bland annat saknas rutiner för behörighetshantering.

ANNONS
|

– Det är dålig ordning och reda, säger Hans Aronsson (S), vice ordförande i Stadsrevisionen.

Stadsrevisionens granskning innefattar kommunstyrelsen, kretslopp- och vattennämnden, nämnden för Intraservice, social resursnämnd samt Förvaltnings AB Göteborgslokaler.

Hans Aronsson, säger att kritiken handlar om att de regelverk som finns inte har den styrning och kontroll som krävs och att det därför finns en risk för att obehöriga kan få tillgång till känslig information.

– Kommunen har mycket information som är skyddsvärd. Vi kan inte konstatera att någon har blivit drabbad. Men det är allvarligt i den bemärkelsen att enskilda kan drabbas. Bara att risken finns är allvarligt.

ANNONS

"Känner mig lite besviken"

Som exempel nämns att information i kommungemensamma system inte klassas, att det saknas rutiner för behörighetshantering.

Kunskapen om styrande dokument för informationssäkerhet bedöms vara låg, liksom vilka krav som ställs på de olika verksamheterna.

Tre av de granskade nämnderna har heller inte dokumenterat hur organisationen för säkerheten ser ut. Det finns också en otydlighet i säkerhetschefernas uppdrag och ansvar.

– Jag känner mig lite besviken. Man tycker ju ändå att de som har ansvar för informationssäkerheten ska inse vikten av att följa de regelverk som finns, säger Hans Aronsson

Kommunstyrelsen gör ingen uppföljning

Utbildningsinsatserna är heller inte tillräckliga och de som finns handlar mer om säkerhet generellt än om informationssäkerheten. Enligt rapporten saknas också en systematisk och kontinuerlig fortbildning.

Stadsrevisionens granskning visar att kommunstyrelsen inte följer upp om stadens nämnder och bolag verkligen sköter informationssäkerheten. Uppsikten behöver bli bättre, menar de.

– Vi lämnar nu rekommendationer till verksamheterna om förbättringar och kommer att följa upp vad som görs åt det, säger Hans Aronsson.

Fakta: Informationssäkerhet

Stadsrevisionen ger följande rekommendationer:

- Organisation och ansvar inom informationssäkerhet behöver bli tydligare

- Kunskap och kompetens inom informationssäkerhet behöver stärkas

- Kontroll av efterlevnad av regelverket inom informationssäkerhet behöver utvecklas och stärkas

- Verksamheternas uppföljning av informationssäkerhetsnivån behöver utvecklas och stärkas

- Kommunstyrelsens uppsikt bör stärkas

Källa: Stadsrevisionens rapport

ANNONS