www.larvik.kommune.no

Difi

14. oktober 2011

Innføring av kvalitetssystem i

Larvik kommune

Terje D. Hasle

IT-sjef

Disposisjon

Larvik – der det gode liv lever!

Larvik kommune

Historikk/bakgrunn for sertifiseringen

Prosessen

Systemet

Erfaringer

www.larvik.kommune.no

Fakta om Larvik

Antall innbyggere: ca 43 000

Areal: ca 350 km2

Kystlinje: 123 km

Næring: skog og landbruk, trefordeling, logistikk, steinbrudd (larvikitt)

Turisme: 4 500 hytter, 26 campingplasser

Antall fast ansatte: 2970

Antall kommunale årsverk: 2430

www.larvik.kommune.no

Administrativ organisering

Rådmann

1 ass. rådmenn

20

resultatenheter

Team relatert til

Utviklings-

oppgaver

Sentral-

administrasjonen

7 avdelinger

Disposisjon

Larvik – der det gode liv lever!

Larvik kommune

Historikk/bakgrunn for sertifiseringen

Prosessen

Systemet

Erfaringer

www.larvik.kommune.no

Bakgrunn for ISO-sertifisering

Innovativ rådmann med pågangsmot og

konkurranseinstinkt

Benchmarking - Larvik skulle være best!

Styring etter FBR

(Fullstendig BalanseRegnskap)

Et planleggings og

styringsverktøy

Hvordan kan Larvik kommune forbedre ressursbruk

og planlegging ved bruk av nøkkeltall?

Sertifiseringsprosjekt startet høsten 1999

ISO 9001 på plass i 2000

ISO 14001 på plass i 2001

www.larvik.kommune.no

Bakgrunn for 27001

Kommunen er en informasjonsbedrift

Svært mye personsensitivt

Informasjonen finnes i mange varianter,

på mange medier og i mange versjoner

En organisasjon med stor variasjon

Geografisk, ca. 110 lokasjoner

Faglig, ca. 80 ulike fagsystemer

Organisatorisk, ca. 70 resultatenheter

Krav om sikring av informasjon

Personopplysningsloven

Diverse særlover

Interne krav og retningslinjer

www.larvik.kommune.no

Prosjektmål for 27001

”Informasjonssikkerheten i Larvik

kommune er på et nivå som gjør at

kommunen kan sertifiseres etter

Standard for informasjonssikkerhet

BS7799 i løpet av 2002.”

Disposisjon

Larvik – der det gode liv lever!

Larvik kommune

Historikk/bakgrunn for sertifiseringen

Prosessen

Systemet

Erfaringer

www.larvik.kommune.no

Rådmannen er prosjekteier

Prosjektleder 50%

Prosjektgruppe bredt sammensatt

Ekstern konsulent ved behov

Prosjektperiode 1/1 – 31/12 2002

Prosjektmandat og prosjektbeskrivelse i henhold til kvalitetssystemet

Avgrensning: hele kommuneadministrasjonen

Prosjektets hensikt:

Systematisere og utvikle Larvik kommunes informasjonssikkerhetsarbeid

Organisert som prosjekt

www.larvik.kommune.no

Prosjektmandat og -beskrivelse godkjent 1.1.2002

Sikkerhetspolicy (retningslinjer for informasjonssikkerhet) godkjent 15.01.2002

Risikovurderinger gjennomført 01.06.2002

Mange svakheter ble avdekket

Implementering IT-systemet 01.07.2002

Dokumentasjon utarbeidet 01.09.2002

Full implementering i Kvalitetssystemet 01.10.2002

Start sertifisering 01.11.2002

Flagget til topps 06.03.2003

Noen hovedmilepæler

www.larvik.kommune.no

Sterke sider / utfordring

Meget god ledelsesforankring

Omstillingsvant organisasjon

Korte kommandolinjer

2-nivå modell

Allerede etablert et kvalitetssystem

Skapte stort engasjement, samhold og

entusiasme

BS7799 ny og uprøvd i

kommunesektoren

Svært detaljert standard

Tilpasset IT-bedrifter (del 2, SofA)

Disposisjon

Larvik – der det gode liv lever!

Larvik kommune

Historikk/bakgrunn for sertifiseringen

Prosessen

Systemet

Erfaringer

www.larvik.kommune.no

Oversikt, hovedelementer

Styrende dokumenter:

Kommuneplanen (12 år)

Arealdel

Samfunnsdel

Viser strategiske mål

Planer (næringsplan,

kommunedelsplaner…)

Policyer (kvalitet, miljø, arbeidsmiljø,

informasjonssikkerhet, informasjon)

Strategidokumentet (4 år, årlig rullering)

Viser styringsmål

Virksomhetsplaner (1 år)

Viser tiltak for å nå målene

www.larvik.kommune.no

Oversikt, hovedelementer

Risikovurderinger

I alle enheter inkl. STR

Utføres av enhetene selv

• Maler og eksempler tilgjengelig i kvalitetssystemet

• Bistand fra internrevisorer ved behov

• Trusler - sannsynlighet –konsekvenser – tiltak

Driftsrutiner og prosjekter

Risikostyring

Kontrollere, redusere, eliminere risiko

Forebyggende og beredskap

www.larvik.kommune.no

Oversikt, hovedelementer

Kvalitetsystemet

Forbedringsordningen

• Stimulere alle medarbeidere til kontinuerlig kvalitetsutvikling

• Sikre at muligheter for og krav til forbedringer blir identifisert, dokumentert og behandlet på en enhetlig og effektiv måte

Meldingsordningen

• Alle innbyggere oppfordres til å komme med forslag – klager – ris/ros

• Meldinger kan komme muntlig –skriftlig – elektronisk

• Melder er sikret tilbakemelding pr. telefon, fra rett ansvarlig person og innen 14 dager

Kvalitetshåndboka

www.larvik.kommune.no

Oversikt, løpende rapportering

Månedsrapport

Tertialrapport

Årsrapport

Ledelsens gjennomgang

Interne og eksterne revisjonsrapporter

Forbedringsrapporter

Status forbedringstiltak

Resultat lederevaluering

Klimaundersøkelsen

Miljøgjennomgang

Brukerundersøkelse

Mmm

www.larvik.kommune.no

Oversikt, revisjoner

Interne revisjoner

Egne revisjonskorps

Eksterne revisjoner

Veritas

Årlig foreteelse

Utvalgte enheter og fagområder

• Resultat fra ledelsens

gjennomgang

• Virksomhetsplanen

• Risikovurderinger

• Etc.etc.

www.larvik.kommune.no

Oversikt, revisjoner Resultat fra revisjoner:

Kategorier

• Avvik kategori 1:

Sterk tvil om produkter eller tjenester

tilfredsstiller avtalte krav

Mangel på dokumentasjon eller

implementering gav

systemelementer

Avvik kategori 1 som ikke er lukket

innen fristen

• Avvik kategori 2:

Enkeltstående feil og mangler i

forhold til gitte krav

• Observasjon, noe som kan føre til avvik

• Forbedringsmulighet

• Positivt tiltak

Alt meldes inn og følges opp i

forbedringsordningen

www.larvik.kommune.no

www.larvik.kommune.no

Larvik kommunes felles

kvalitetsledelses- og miljøstyringssystem

Forbedrings-ordningen

– C2

Forbedringsordningen -

papirskjema

Meldekort

(Reg. av muntlige

meldinger fra

innbyggerne)

Helse, miljø og

sikkerhet – HMS

Kvalitets- og miljøhåndbøker:

Til innholdsfortegnelser

Resultatenheter

Til innholdsfortegnelse Felles

For å slippe å trykke Ctrl + mus når du bruker Word-linker, trykk her for

veiledning.

www.larvik.kommune.no

Kvalitetshåndbok Larvik kommuneInnholdsfortegnelse FELLESSnarvei til: Kap. 1 Kap. 2 Kap. 3 Kap. 4 Kap. 5 Kap. 6 Kap. 7 Kap. 8

Bruk musa og trykk. Du kan gå fram og tilbake mellom dokumenter med de små blå

pilene i verktøylinjen, som kommer fram ved å trykke Vis-Verktøylinjer-Web.

Trykk her for en kort introduksjon til kvalitetssystemet.

Systemet skal tilfredsstille følgende ISO-standarder: ISO 9001, ISO 14001 og ISO 27001.

Sist oppdatert: 17.08.2011 kl 14.35 Forrige oppdatering: 18.07.2011 kl 09.15

INNHOLD UTGAVE PROSESSEIER

1. Larvik kommune

1.1. Organisasjonsplan rådmann

1.1.1Organisasjonsplan 14 / 14.06.2011

1.1.2Delegering 5 / 19.03.2010

www.larvik.kommune.no

5.5. IT-drift rådmann

5.5.1BrukermeldingIT7 / 14.04.2011

5.5.2BestillingUtstyr17 / 27.04.2011

5.5.3RepAvUtstyr9 / 27.04.2011

5.5.4HandteringAvBruktUtrangertIT_Utstyr3 / 14.04.2011

5.5.5RaderingAvData5 / 14.04.2011

5.5.6ÅrligKontrollAv BrukerregisterIT5 / 14.04.2011

5.5.7BestillingTelefonsentraler4 / 14.04.2011

5.5.8 Melding om prosjekter og større oppdrag3 / 14.04.2011

www.larvik.kommune.no

KVALITETS

HÅNDBOKEN

Felles / Enhet:

Felles

Inngår i kapittel

5. STØTTEPROSESSERUtgave/Gyldig f.o.m

3 / 14.04.2011

Erstatter

2 / 08.04.2010

Side

1(3)

Dokumentnavn

5.5.4HandteringAvBruktUtrangertIT_Utstyr.doc

Prosesseier/ sist endret av (for og etternavn)

Rådmannen/ Terje D. Hasle

HENSIKTProsessen skal sikre en forsvarlig håndtering av brukt IT-utstyr slik at kravene til sikkerhet og

REFERANSERMiljøpolicy definert i kap. 1.3.2 i kvalitetshåndboka.

Strategi for informasjonssikkerhet definert i kap. 1.5.1 i kvalitetshåndboka.

ANSVAR OG MYNDIGHETIT-avdelingen har ansvar for å beskrive og gjøre kjent rutiner for retur av IT-utstyr fra enhetene og

sentraladministrasjonen.

BESKRIVELSEIT-avdelingen vurderer innlevert utstyr og rangerer i to kategorier:

-utstyr som skal kasseres

-utstyr som kan benyttes videre

1: Utstyr som skal kasseres:

DOKUMENT

Sjekklister/ maler som brukes i prosessen Original Ansvarlig

5.5.5RaderingAvData Q:\Felles Rådmannen

Dokumenter som skapes i prosessen Arkiv Arkiveringstid

Kvittering for mottatt utstyr IT-avdelingen 10 år

Q:\Felles\5.5.4HandteringAvBruktUtrangertIT_Utstyr.doc

www.larvik.kommune.no

Brukt/utrangert

utstyr er levert til

IT-avdelingen

Sletter data fra faste

disker

5.5.5RaderingAvData

Skal PC’en

gjenbrukes?

PC’en leveres til

AOK

Sletting av data

med KillDisk

Norsk

Gjen-

vinning

Nei

IT sender melding

til RE/ mottaker

når PC’en er klar

PC’en hentes og

kvitteres ut

RE/ Mot-

taker

Nyttige deler som

for eksempel ram

o.a tas vare på

Ja

Skal PC’en i Larvik

kommunes nettverk?

PC’en ghostes

Ja

NeiSletting av data

med KillDisk

SupportPoint

AOK

www.larvik.kommune.no

Larvik kommune Felles kvalitetssystem

Versjon 16, 27.04.2011 Ansvarlig: Kvalitetsleder

”SofA – Statement of Applicability” (anvendelsesklæring)Dette dokumentet skal:

gi referanser til hvor Larvik kommune har beskrevet oppfyllelsen av de enkelte sikkerhetskrav i standard ISO/IEC 27001:2005 (engelsk),

se også veiledningsstandarden: NS ISO/IEC 17799:2005 (på norsk)

Dokumentasjonen er i form av ren tekst, eller link til prosedyrer, rutiner, sjekklister - i kvalitetssystemet, på intranett etc

beskrive årsak til at standardens sikkerhetskrav søkes oppfylt, evt. til at kravet ikke er aktuelt eller relevant.

(Et punkt kan ha flere begrunnelser, årsaken til dette kan f.eks. være at egne krav går lengre enn lovkrav, eller at kravet indirekte

er pålagt i lov.)

gi referanser også for eventuelle sikkerhetskrav som ikke dekkes av standarden

ISO 27001

NS-ISO 17799

Sikkerhetskrav i standarden

(norsk tekst er brukt i

hovedsak her, for å øke

forståelsen i organisasjonen)

Oppfylles

kravet?

Ja/Delvis/Ne

i/Ikke

Relevant

Begrunnelse

Dokumentasjon AnsvarligLov-

krav

Egne

krav

Risiko

vurd.

1 OMFANG Prosjektbeskrivelse fra innføring 2002

8.4.1 Kvalitetssystem manual

Kvalitetsleder

1.1 Generelt - - - - - -

1.2 Anvendelse - - - - - -

2 NORMATIVE REFERANSER

3 TERMER OG DEFINISJONER

Q:\Felles\TilleggKap1\SofA.doc

www.larvik.kommune.no

ISO 27001

NS-ISO 17799

Sikkerhetskrav i

standarden (norsk tekst er

brukt i hovedsak her, for å

øke forståelsen i

organisasjonen)

Oppfylles

kravet?

Ja/Delvis/N

ei/Ikke

Relevant

Begrunnelse Dokumentasjon Ansvarlig

A.9.2.5 Sikkerhet for eksternt

plassert utstyr

Ja X Se kvalitetssystemets prosess 5.6.5 Fysisk og miljømessig

sikkerhet.

IT/ sikkerhetsjef

A.9.2.6 Sikker avhending eller

gjenbruk av utstyr

Ja X X Avhending av utstyr skal skje via IT-avdelingen, jfr.

kvalitetssystemets kap. 5.5.4 og kap. 5.5.5.

IT

A.9.2.7 Fjerning av eiendeler Ja X Det vises til kommunens Retningslinjer for

informasjonssikkerhet, kap. 4.6 og kvalitetssystemets

prosess 5.6.5 Fysisk og miljømessig sikkerhet.

Sikkerhetsjef

A.10 KOMMUNIKASJONS- OG

DRIFTSADMINISTRASJON

A.10.1 Driftsprosedyrer og

ansvarsforhold

Kvalitetsleder/IT

A.10.1.1 Dokumenterte

driftsprosedyrer

Delvis X X IP-check benyttes for å systematisere daglige

driftsoppgaver. Systemet melder avvik (for eksempel

diskforbruk, tjenstestopp, linjefeil etc.).

Backup-status sjekkes hver morgen. Melding om avvik

sendes fra backup-systemet til driftsansvralig.

Dette logges til driftsansvarlig i SupportPoint.

IT

A.10.1.2 Endringsadministrasjon Delvis X X Rutine for å melde fra om planlagte IT-systemer/endringer til

IT-systemer fra andre enheter; se felles rutine 5.5.8 Melding

om prosjekter og større oppdrag. Se også A 8.1.1

IT

www.larvik.kommune.no

ISO 27001

NS-ISO

17799

Sikkerhetskrav i standarden

(norsk tekst er brukt i

hovedsak her, for å øke

forståelsen i organisasjonen)

Oppfylles

kravet?

Ja/Delvis/Nei

/ Ikke

Relevant

Begrunnelse

A.9.2.6 Sikker avhending eller

gjenbruk av utstyr

Ja X X

Dokumentasjon Ansvarlig

Avhending av utstyr skal skje via IT-avdelingen, jfr.

kvalitetssystemets kap. 5.5.4 og kap. 5.5.5.

IT

www.larvik.kommune.no

www.larvik.kommune.no

www.larvik.kommune.no

www.larvik.kommune.no

www.larvik.kommune.no

Måned: August År: 2011 Resultatenhet: IT-avdelingen Resultatenhetsleder: Terje

Hasle

TEMA STATUS(Obligatorisk)

AVVIK?(Obligatorisk)

LUKKING AV AVVIK

Tiltak / frist / konsekvenser (Obligatorisk ved avvik)

LEDERSTØTTE?(Obligatorisk ved avvik)

1. ØKONOMI JA NEI JA NEI

Forbruk netto lønn i %:* 73,21 X

Sum utgifter i %: ** 64,87

Sum inntekter i %: ** 184,74 X

2. SYKEFRAVÆR I %

Korttidsfravær: (1 til 16 dg) 0,00 0

Langtidsfravær: (fom 17 dg) 6,07 0

Totalfravær, kort 0,32 0

Totalfravær, lang 7,53 0

3. UTVIKLINGSSAMTALER

Antall samtaler/antall ansatte (skrives som brøk): 0/12 X 0

4. DOKUMENTERTE FORBEDRINGSRAPPORTER DENNE MND.

0 X

Antall avslått: 0 X

5. BRUKERKONSEKVENSER DENNE MND.

Antall klager (formell klagerett) og oppfølging: Ikke relevant

Antall meldekort (meldingsordningen) og oppfølging: Ikke relevant

6. TJENESTEBESKRIVELSER OG BRUKERGARANTIER

Antall garantibrudd Ikke relevant

7. UGYLDIG/BEKYMRINGSFULLT FRAVÆR – (GRUNNSKOLEN)

Ikke relevant

8. EVENTUELLE ANDRE FORHOLD:

Disposisjon

Larvik – der det gode liv lever!

Larvik kommune

Historikk/bakgrunn for sertifiseringen

Prosessen

Systemet

Erfaringer

www.larvik.kommune.no

Oppsummering/erfaringer:

Ja, det har vært nyttig!!

Bevisstgjøring / Forståelse /

Holdinger

Klar plassering av ansvar

Økt intern kompetanse

Prosesser/rutiner er beskrevet

Oversikt og orden (Tja…. )

Systemer er på plass – og lever!

Sikrer kontinuerlige forbedringer

Kvalitet gir økt troverdighet

90% organisasjon - 10% teknologi

www.larvik.kommune.no

Oppsummering/erfaringer:

Men -

Mye å vedlikeholde / vanskelig å

holde alt materiell ajour

Vanskelig å finne en god struktur

Jakter på et nytt system

Varierende lojalitet

Stram oppfølging / rapportering

Det koster å være sertifisert

Trenger vi et politi?

Er vi bedre enn andre?