Rapport - Granskning - Landstinget i Uppsala län

Uppföljning av extern och intern
penetrationstest samt granskning av ITsäkerhetsprocesserna
Landstinget i Uppsala län
BDO Risk Advisory Services
Oslo, 25. Februari 2015
1. Inledning
Innehåll
1.
Innledning
1.2 Sammanfattning revision
2. IT-säkerhetsrevision
2.1 Tillvägagångssätt och begränsningar – ITsäkerhetsrevision
2.2 Sammanfattning – IT-säkerhetsrevision
3. Penetrationstest
3.1 Skillnaden mellan externt och internt penetrationstest
3.2 Tillvägagångssätt och begränsningar – Externt
penetrationstest
3.3 Tillvägagångssätt och begränsningar – Internt
penetrationstest
3.4 Metodik – Säkerhetstestning intern/extern
3.5 Sammanfattning – Externt penetrationstest
3.6 Sammanfattning – Internt penetrationstest
4. Tillstånd på rekommendationer från
IT-säkerhetsrevision genomförd i 2011
5. Nya rekommendationer från IT-säkerhetsrevision 2015
6. Status på tidigare rekommendationer från externt
penetrationstest genomfört i 2011
7. Nya rekommendationer från externt penetrationstest
2015
8. Status på tidigare rekommendationer från internt
penetrationstest genomfört i 2011
Bakgrund
Landstingets revisorer upphandlade i 2011 PWC för att genomföra en granskning av
säkerhetsprocesser för IT samt externa och interna penetrationstest. Detta gjordes för att
säkerställa att Landstingsstyrelsen har en adekvat IT-säkerhet avseende skydd mot obehörigt
intrång. Landstingets revisorer önskade genomföra en uppföljning av den tidigare genomförda
granskningen av landstingets IT-säkerhetsprocesser samt interna och externa penetrationstester.
Syfte
Syftet med denna granskning är att säkerställa att Landstinget i Uppsala Län (LUL) har vidtagit
åtgärder utifrån revisionens rekommendationer och att landstinget i övrigt bedriver ett
ändamålsenligt och systematiskt arbete med IT-säkerhet. Testerna och granskningen vill
utvärdera landstingets interna och externa IT-säkerhet, identifiera potentiella säkerhetsbrister
samt ge rekommendationer för riskreducerande åtgärder. Uppdraget genomfördes under januari
och februari 2015.
Den överordnade frågan som denna revision skall svara på är:
• Har landstinget vidtagit åtgärder utifrån revisionens rekommendationer och finns det idag ett
ändamålsenligt och systematisk arbete med IT-säkerhet?
Begränsningar
Genomgången, intervjuerna och testen är styckprovsbaserade och vill ge en ögonblicksbild av
säkerhetstillståndet i LUL. Revisionen ger ingen garanti för att alla säkerhetsbrister och fel
identifieras. Det kan därför vara flera säkerhetsrisker i IT-miljön som inte omtalas i denna
rapport.
9. Nya rekommendationer från internt penetrationstest
2015
10. Bilagor
2015-02-25
____________________________
____________________________
Siv Irene Aasen
Projektledare
Karl-Ludvig Mauland
Ansvarig Partner
Rapport - Landstinget i Uppsala län
2
Sammanfattning revision
ITsäkerhetsrevision
Vårt övergripande intryck efter granskningen av IT-säkerhetsprocesser hos LUL är att det är etablerat
en del processer för att värna om IT-säkerheten i den operativa verksamheten, då IT-säkerhet är en
integrerad del av hela verksamheten. IT-säkerhetsprocessen är emellertid inte tillfredsställande i alla
delar, och det finns utrymme för förbättringar i styrning och ledning av IT-säkerhet, förankring av
roller och ansvar, inkluderat mätning och uppföljning av området. Ett särskilt förbättringsbehov är
identifierat inom åtkomstkontroller i de operativa processerna.
Externt
penetrationstest
Baserat på genomförda tester framstår LULs externa nätverk som gott skyddat mot angrepp från
internet. Servrar, tjänster och information verkar vara väl säkrat mot extern åtkomst och
manipulation. Vi ser att säkerheten är förbättrad sedan förra säkerhetstestet 2011, men det återstår
fortfarande något arbete för att säkra nätverket i förhållande till bästa praxis. Det har under detta
penetrationstest inte avtäckts några allvarliga sårbarheter eller fel. Den största risken idag är
utdaterad programvara på exponerade servrar. Detta var också en av dom största riskerna som drogs
fram under förra testet 2011. Jämfört med 2011, har landstingets exponering ökat, men dock minimalt
och är inom vad som borde anses som acceptabelt.
Internt
penetrationstest
Baserat på genomförda tester framstår LULs interna nätverk som tillräckligt skyddat mot interna hot
som exempelvis missnöjda anställda eller skadlig programvara. Kritiska servrar, tjänster och
information verkar vara tillräckligt säkrade mot tillgång och manipulation. Enskilda mindre kritiska
servrar och klienter har visat sig vara sårbara och det har varit möjligt att uppnå administrativa
rättigheter på flera av dessa. De största riskerna idag är utdaterad programvara och operativsystem på
en del interna servrar och klienter, användandet av osäkrade tjänster och användandet av lokala
standard- eller svaga lösenord.
2015-02-25
Rapport - Landstinget i Uppsala län
3
2. IT-säkerhetsrevision
2015-02-25
Rapport - Landstinget i Uppsala län
4
2.1 Tillvägagångssätt och begränsningar – IT-säkerhetsrevision
Tillvägagångssätt
Uppdraget är genomfört i två delar, där del 1 omfattar
informationsinhämtning och -genomgång, och del 2 omfattar
genomförande av intervjuer och styckprovsbaserad testning av
tillfälligt utvalda områden.
Utgångspunkten för denna revision är tidigare genomförd
revisionsslutrapport med fynd och eventuella förslag till
förbättringar. Vi använder oss av ISO 27001/2 och COBIT 5 vid
utarbetandet av revisionsprogrammet på detta område och vi
kommer att använda dessa ramverk vid kvalitetssäkring. Vi har
inhämtat, och genomgått, relevant dokumentation för de olika
områdena.
Vid genomföring av ITsäkerhetsrevisionen önskar vi bland
annat att få svar på följande frågor:
• Är säkerhetsarbetet förankrat i
ledningen?
• Genomförs riskanalyser regelbundet
och vid ändringar?
• Blir riskanalyser genomförda enligt
ett enhetligt och gemensamt
ramverk?
• Är det etablerat en process för
händelsehantering,
tillgångshantering och kontroll med
administrativ tillgång till systemen?
• Är det utarbetat KPI-er (Key
Performance Indicator) för
säkerhetsarbetet?
• Är dessa mätbara och blir det
rapporterat och uppföljt?
2015-02-25
• Område 1
• Område 2
• Område 2
• Område 5
Struktur
Vi har delat upp olika frågor i 6 huvudkategorier i vår
granskning. Frågorna bygger på områdan i ISO 27001 och COBIT
5.
1.
2.
3.
4.
5.
6.
Styrning och ledning
Riskvärdering
Organisering
Resurser och kompetens
Operativa processer
Mätning och förbättring
Vi har intervjuat följande personer:
• Petter Könberg – IT-direktör
• Fredrik Rosenberg – Informationssäkerhetsansvarlig
• Johan Lindqvist – MSI, Avdelingschef
• Greger Söderqvist – MSI, Teknisk stöd IT
• Petter Larsson – MSI, Nät och server
• Caroline Sundevall – MSI, IT system
• Per Foyer – MSI, IT säkerhetskonsult
• Mikael Ekberg och Tomas Roland – Säkerhet och beredskap
• Område 6
• Område 6
Rapport - Landstinget i Uppsala län
5
2.2 Sammanfattning – IT-säkerhetsrevision (1/3)
Vårt övergripande intryck efter granskning av IT-säkerhetsprocesser hos LUL, är att en del processer är etablerade för
att värna om IT-säkerheten i den operativa verksamheten, då IT-säkerhet är en integrerad del av hela verksamheten. ITsäkerhetsprocessen är emellertid inte tillfredsställande i alla delar, och det finns utrymme för förbättringar i styrning
och ledning av IT-säkerhet, förankring av roller och ansvar, inkluderat mätning och uppföljning av området. Ett särskilt
förbättringsbehov är identifierat inom åtkomstkontroller i de operativa processerna.
Styrning och
ledning
Koncernledningen har traditionellt sätt inte varit involverade i styrning och ledning av IT-säkerheten i LUL.
Riktlinjer och åtgärder inom IT-säkerhet från centralt håll har varit beroende av initiativ från enskilda
personer. Informationssäkerhetsansvarlig har tagit initiativ på området, men han står väldigt ensam.
Riskvärdering
Det är etablerat processer för riskvärderingar inom LUL. Riskvärderingar från olika objekt och verksamheter
sys ihop till en gemensam riskvärdering för landstinget. IT-säkerhet och informationssäkerhet är egna
områden innanför detta område.
Organisering
Det är få personer som arbetar dedikerat med IT-säkerhet och informationssäkerhet inom LUL.
Informationssäkerhetsansvarig centralt är den enda personen som har ett formellt ansvar i förhållande till
detta, medan övriga individer runt om i organisationen upprätthåller uppgiften som en integrerad del av sin
ställning. Utifrån landstingets storlek och komplexitet bedöms antalet resurser som arbetar dedikerat med
IT-säkerhet och informationssäkerhet som lågt.
Resurser och
kompetens
Kurs för upplärning inom bland annat informationssäkerhet och IT-säkerhet hålls för nyanställda. Det
arbetas också med att etablera en kurs för ledare inom Landstinget. Det är inte ställt formella krav till
kompetens inom IT och IT-säkerhet för IT-samordnare i verksamheterna. Det är få resurser i Landstinget
som arbetar dedikerat med informationssäkerhet och IT-säkerhet.
2015-02-25
Rapport - Landstinget i Uppsala län
6
2.2 Sammanfattning – IT-säkerhetsrevision (2/3)
Operativa
processer
IT-säkerhet är en integrerad del av de operativa processerna i Landstinget och i MSI. Operativa processer
som utförs utanför MSI är emellertid i mindre grad utsatt för kontroll, och ansvaret är i stor grad beroende
på den enskilda Systemförvaltaren/Objektägaren. Vi har identifierat områden med behov av förbättringar
inom operativa processer som ändringshantering och åtkomstkontroller.
Mätning och
förbättring
Informationssäkerhetsansvarig har definierat mål i förhållande till mätning av IT-säkerhet i LUL. Dessa
mätningar är inte förankrade i de olika verksamheterna, och det är inte etablerat processer för mätning
och uppföljning. Det är emellertid etablerat en process för egenkontroll där alla verksamheter gör en
evaluering av sitt eget tillstånd. Detta uppsummeras och presenteras för koncernledningen.
2015-02-25
Rapport - Landstinget i Uppsala län
7
2.2 Sammanfattning – IT-säkerhetsrevision (3/3)
Nr.
Prioritet/Status 2015
Prioritet/Status 2011
Rekommendation
A5.4
Hög
-
Ändringshantering – Icke-auktoriserad mjukvara
A5.6
Hög
-
Åtkomstkontroll – Lokala administratorer inom nätet
A5.7
Hög
-
Åtkomstkontroll – Lokala administratorer på egna datorer
A5.9
Hög
-
Åtkomstkontroll – Privilegierade användarkonton inom serverdrift
4.4.1
Medium
Hög
Öka övervakning av applikationer/ system som är en del av infrastrukturen för att minimera intrång risker
4.4.2
Medium
Medium
Utarbeta formellt dokumenterade acceptabla krav och regler gällande säkerhetsparametrar
A1.1
Medium
-
Förankring i ledningen
A1.2
Medium
-
IT-strategi
A1.3
Medium
-
Styrningsdokumentation
A3.1
Medium
-
Organisering av IT-säkerhetsorganisationen
A4.1
Medium
-
Kompetens bland IT-samordnare
A4.2
Medium
-
Medvetenhet kring IT-säkerhet
A5.1
Medium
-
Operativa processer – gemensamt.
A5.2
Medium
-
Händelsehantering
A5.3
Medium
-
Ändringshantering – kategorisering av ändringar
A5.5
Medium
-
Åtkomstkontroll – Periodisk genomgång av användare och åtkomster
A5.8
Medium
-
Åtkomstkontroll – Funktionstillgångar
A6.1
Medium
-
Mätningsparameter för IT-säkerhet
A2.1
Låg
-
Process för riskvärdering
A2.2
Låg
-
Acceptanskriterier för risk
A4.3
Låg
-
Formella krav till utbildning inom IT-säkerhet
A6.2
Låg
-
Egenkontroll
2015-02-25
Rapport - Landstinget i Uppsala län
8
3. Penetrationstest
2015-02-25
Rapport - Landstinget i Uppsala län
9
3.1 Skillnaden mellan externt och internt penetrationstest
Externt penetrationstest
•
Simulera ett angrepp från internet
•
Genomförs från en extern plats
Intern penetrationstest
•
Simulera ett angrepp från insidan (anställda med ett
illvilligt uppsåt, ondsinnad kod m.m.)
•
Genomförs från kundens lokaler
2015-02-25
Rapport - Landstinget i Uppsala län
10
3.2 Tillvägagångssätt och begränsningar – Externt penetrationstest
Tillvägagångssätt
Genomförande av ett externt penetrationstest kan göras med
olika tillvägagångssätt och med olika förutsättningar och
verktyg. I detta genomförande har det primära focuset varit att
följa upp fynd från det förra penetrationstest som genomfördes
2011. Syftet med detta har varit att verifiera om åtgärder är
implementerade och om de fungerar effektivt.
Avtäckande av nya fynd och sårbarheter har haft sekundärt
fokus.
Det externa penetrationstestet genomfördes från BDOs lokaler i
Oslo med egen testutrustning med krypterade diskar. BDO
använde en dedikerad internetuppkoppling från sitt test lab
under testningen. Allmänt tillgängliga verktyg, kommersiella
och freeware, och tekniker som antas användas av
datakriminella för att avtäcka sårbarheter och tillägna sig
information användes under testningen.
Begränsningar
• Kända tekniker som potentiellt används av kriminella, men
som inte har varit en del av detta genomförande, är social
manipulation och överbelastningsangrepp. Förstnämnda är
primärt ett icke-teknisk tillvägagångssätt, medan sistnämnda
kan resultera i instabilitet och avbrottstid. Därutöver har
inte varianter av tekniken «brute force», som fordrar
utskickane av stora mängder trafik, använts. Detta då det
kan resultera i instabilitet och avbrottstid.
• Då ett stort antal system påträffats i externa nätverket, har
tester endast genomförts på ett begränsat urval av dessa.
2015-02-25
•
•
Tester har, på grund av tidsbegränsningar, endast skett mot
ett urval av de tjänster och system som varit tillgängliga.
Det innebär sannolikt att det finns fler brister än de som
identifierats och redogörs för i denna rapport.
De tester som genomförts ger endast en ögonblicksbild av
brister och säkerhetsnivån för det aktuella tillfället då
testerna utfördes. Ingen hänsyn tas till aktiviteter som
genomförts före eller efter testperioden.
Omfång
Följande IP-adresser har blivit kartlagda under denna
genomföring:
• 192.121.175.0 - 192.121.175.254
• 192.165.148.0 - 192.165.148.254
• 192.165.149.0 - 192.165.149.254
• 192.165.150.0 - 192.165.150.254
• 192.165.151.0 - 192.165.151.254
• 192.165.168.0 - 192.165.168.254
• 192.165.246.0 - 192.165.246.254
• 192.36.104.0 - 192.36.104.254
• 192.36.32.0 - 192.36.32.254
• 192.36.33.0 - 192.36.33.254
• 192.36.34.0 - 192.36.34.254
• 195.252.0.0 - 195.252.31.254
Rapport - Landstinget i Uppsala län
11
3.3 Tillvägagångssätt och begränsningar – Internt penetrationstest
Tillvägagångssätt
Genomförande av ett externt penetrationstest kan göras med
olika tillvägagångssätt och med olika förutsättningar och
verktyg. I detta genomförande har det primära focus varit att
följa upp fynd från det förra penetrationstest som genomfördes
2011. Syftet med detta har varit att verifiera om åtgärder är
implementerade och om de fungerar effektivt.
Avtäckande av nya fynd och sårbarheter har haft sekundärt
fokus.
Det interna penetrationstestet genomfördes genom att koppla
upp sig till landstingets interna nätverk från ett mötesrum i
konferenscentret. Under penetrationstesten användes egen
testutrustning som kör Windows 7 och Kali Linux. Allmänt
tillgängliga verktyg, kommersiella och freeware, och tekniker
som antas användas av datakriminella för att avtäcka
sårbarheter och tillägna sig information användes under
testningen.
Begränsningar
• Kända tekniker som potentiellt används av kriminella, men
som inte har varit en del av denna genomföring, är social
manipulation och överbelastningsangrepp. Förstnämnda är
primärt ett icke-teknisk tillvägagångssätt, medan sistnämnda
kan resultera i instabilitet och avbrottstid. Därutöver har
inte varianter av tekniken «brute force», som fordrar
utskickane av stora mängder trafik, använts. Detta då det
kan resultera i instabilitet och avbrottstid.
• Då ett stort antal system påträffats i externa nätverket, har
tester endast genomförts på ett begränsat urval av dessa.
2015-02-25
•
•
Tester har, på grund av tidsbegränsningar, endast skett mot
ett urval av de tjänster och system som varit tillgängliga.
Det innebär sannolikt att det finns fler brister än de som
identifierats och redogörs för i denna rapport.
De tester som genomförts ger endast en ögonblicksbild av
brister och säkerhetsnivån för det aktuella tillfället då
testerna utfördes. Ingen hänsyn tas till aktiviteter
genomförts före eller efter testperioden.
Omfång
Följande IP-adresser har blivit kartlagda under denna
genomföring:
• 192.121.175.0 - 192.121.175.254
• 192.165.148.0 - 192.165.148.254
• 192.165.149.0 - 192.165.149.254
• 192.165.150.0 - 192.165.150.254
• 192.165.151.0 - 192.165.151.254
• 192.165.168.0 - 192.165.168.254
• 192.165.246.0 - 192.165.246.254
• 192.36.104.0 - 192.36.104.254
• 192.36.32.0 - 192.36.32.254
• 192.36.33.0 - 192.36.33.254
• 192.36.34.0 - 192.36.34.254
• 195.252.0.0 - 195.252.31.254
• 10.113.1.0 – 10.113.5.254
Rapport - Landstinget i Uppsala län
12
3.4 Metodik – Säkerhetstestning intern/extern
- Fastsätta mål, ramar
och omfång
- Utarbeta körregler
- Inhämta godkännande
- Signering av kontrakt
- Sätta upp och
konfigurera verktyg och
maskiner
2015-02-25
- Inhämta och
systematisera
information
- Utarbeta
nätverksskiss
- Göra eventuella
prioriteringar innan
nästa fas
Sårbarhetsanalys och
-utnyttjande
- Genomföra
sårbarhetsanalys
- Genomföra
sårbarhetsutnyttjande
- Riskevaluering av
eventuella fynd*
04
Kartläggning/
Informationsinhämtning
03
Uppstart och
planläggning
02
01
Ett penetrationstest har som mål att avtäcka sårbarheter knutna till tjänster och underliggande infrastruktur som är exponerade idag.
BDOs ramverk för penetrationstestning är baserat på bästa praxis från flera allmänt kända institutioner för att säkra ett så fullständig
test som möjligt.
Rapportering
- Verifiera
observationer och fynd
- Utarbeta förslag till
korrigerande åtgärder
- Skriva rapport
- Presentera rapport
* Kritiska fynd rapporteras
omedelbart
Rapport - Landstinget i Uppsala län
13
3.5 Sammanfattning – Externt penetrationstest
Baserat på genomförda tester framstår LULs externa nätverk som gott skyddat mot angrepp från internet. Servrar,
tjänster och information verkar vara väl säkrat mot extern åtkomst och manipulation. Vi ser att säkerheten är
förbättrad sedan förra säkerhetstestet 2011, men det återstår fortfarande något arbete för att säkra nätverket i
förhållande till bästa praxis. Det har under detta penetrationstest inte avtäckts några allvarliga sårbarheter eller fel.
Den största risken idag är utdaterad programvara på exponerade servrar. Detta var också en av de största riskerna som
drogs fram under förra testet, i 2011. Exponeringen mot internet för LUL utgörs av 109 öppna portar, fördelat på 67
olika IP-adresser, med 15 olika typer av protokoll/tjänster. Jämfört med 2011, har landstingets exponering ökat, men
dock minimalt och är inom vad som borde anses som acceptabelt.
Nr.
Prioritet /Status 2015
Prioritet/Status 2011
Rekommendation
4.2.1
Medium
Hög
Komplettera uppdateringsrutiner för applikationer på servrar
B1
Medium
-
Begränsa exponeringen av personliga uppgifter
4.2.4
Låg
Medium
Åtgärda övriga identifierade applikationer med SQL injektion
4.2.5
Låg
Medium
Förbättra rutiner kring produktionssättning av webbtjänst
4.2.11
Låg
Låg
Reducera exponering av oanvända tjänster
4.2.12
Låg
Låg
Begränsa exponering av administrativa funktioner
4.2.13
Låg
Låg
Begränsa läckage av kontonamn mot Internet
B2
Låg
-
Avaktivera omdirigering
4.2.2
Risk hanterad
Hög
Åtgärda SQL injektion på medsys
4.2.3
Risk hanterad
Hög
Säkra konfiguration av Lotus Quickr på qp1.lul.se
4.2.6
Risk hanterad
Medium
Begränsa exponering av tillfälliga, privata, tjänster mot Internet
4.2.7
Risk hanterad
Medium
Förhindra obehöriga zontransfereringar
4.2.8
Risk hanterad
Medium
Förhindra exponering av lösenord till applikation Mikromarc
4.2.10
Risk hanterad
Låg
Verifiera förutsättningar för extern parts tjänst på LUL:s nätverk
2015-02-25
Rapport - Landstinget i Uppsala län
14
3.6 Sammanfattning – Internt penetrationstest
Baserat på genomförda tester framstår LULs interna nätverk som tillräckligt skyddat mot interna hot som exempelvis
missnöjda anställda eller skadlig programvara. Kritiska servrar, tjänster och information verkar vara tillräckligt säkrade
mot tillgång och manipulation. Enskilda mindre kritiska servrar och klienter har visat sig vara sårbara och det har varit
möjligt att uppnå administrativa rättigheter på flera av dessa. De största riskerna idag är utdaterad programvara och
operativsystem på en del interna servrar och klienter, användandet av osäkrade tjänster och användandet av lokala
standard- eller svaga lösenord.
Nr.
Prioritet/Status 2015
Prioritet/Status 2011
Rekommendation
4.3.2
Medium
Hög
Komplettera uppdateringsrutiner för interna servrar
4.3.3
Medium
Hög
Komplettera uppdateringsrutiner för interna klienter
4.3.5
Medium
Medium
Ersätt installationer av utgångna operativsystem
C1
Medium
-
Begränsa tillgången till SNMP
C2
Medium
-
Ändra lösenord på web-gränssnitt mot övervakningskameror
C3
Medium
-
Avaktivera konfigurationsporten och ändra på Lantronix-enheter
4.3.4
Låg
Medium
Fastställ och applicera komplexitets-krav på lösenord
4.3.9
Låg
Låg
Utöka filtreringen i nätverket
C4
Låg
-
Begränsa tillgång till NetBIOS
C5
Låg
-
Genomföra regelmässig periodisk genomgång av användare och tillgångar.
C6
Låg
-
Hindra enumerering av Oracle databas.
C7
Låg
-
Ändra lösenord på SSH-tjänster
C8
Låg
-
Begränsa möjligheten till att koppla främmande utrustning till nätverket
C9
Låg
-
Maskinnamn indikerar tjänster
C10
Låg
-
Begränsa tillgång till FTP-servrar
4.3.1
Risk hanterad
Hög
Efterlev eller etablera krav på lösenord i databaser
4.3.6
Risk hanterad
Medium
Inför utelåsning i UAS-domänen
4.3.8
Risk hanterad
Låg
Avaktivera lagring av lösenord i LanMan-format
2015-02-25
Rapport - Landstinget i Uppsala län
15
1. Förklaring till symboler
Symbolen indikerar vår uppfattning av situationen vid genomförandet av projektet. Utvärderingarna är baserade på kartläggning,
observationer och testning gjort i samband med projektgenomförandet, och ger inte någon total konklusion, men hellre en indikation
på status på säkerhetsarbetet. Det kan därför vara förhållanden som inte är värderade och som hade kunnat medföra andra
konklusioner.
Utvärderingar
Kvaliteten måste förbättras omgående – Möter inte
minsta rekommendation till bästa praxis. Kritiska risker
eller väsentliga svagheter är inte hanterade på ett
tillfredsställande sätt. Väsentliga ekonomiska, regulativa
eller anseendemässiga förluster kan inträffa. Åtgärder
måste initieras omedelbart.
Kvaliteten måste förbättras – Möter inte alla
rekommendationer till bästa praxis. Väsentliga risker
eller svagheter är inte hanterade på ett tillfredsställande
sätt. Väsentliga förluster kan inträffa. Åtgärder måste
initieras så snart som möjligt.
Kvaliteten bör förbättras – Möter inte alla
rekommendationer till bästa praxis. Enskilda risker är
inte hanterade på ett tillfredsställande sätt. Förluster
kan inträffa. Åtgärder bör initieras.
Kvaliteten kan förbättras – Möter de flesta
rekommendationer till bästa praxis. Det är inte avtäckt
väsentliga risker som inte är hanterade på ett
tillfredsställande sätt. Förluster kan ändå inträffa, och
det vill vara områden som kan förbättras.
Kvaliteten är tillfredsställande – Möter de allra flesta
rekommendationer till bästa praxis. Det är inte avtäckt
väsentliga risker som inte är hanterade på ett
tillfredsställande sätt. Förluster kan ändå inträffa, och
det vill vara områden som kan förbättras.
2015-02-25
Rekommendationer
Hög
Medium
Hög prioritet – Anger en kritisk risk eller ett
lagstadgat krav som inte är hanterat på ett
tillfredsställande sätt. Det måste initieras åtgärder
snarast.
Medium prioritet – Anger en risk som inte är
hanterat på ett fullt ut tillfredsställande sätt.
Åtgärder bör initieras så snart som möjligt.
Låg
Låg prioritet – Anger en risk som inte är hanterad på
en fullt ut tillfredsställande sätt, men där risken inte
värderas att ha stor betydelse. Åtgärder bör initieras.
Risk
hanterad
Informativ – Risk avtäckt under tidigare testning som
nu är hanterad.
Rapport - Landstinget i Uppsala län
16