Aðrar útgáfur af skjalinu: PDF - Word Perfect. Ferill 660. máls.
141. löggjafarþing 2012–2013.
Þingskjal 1328 — 660. mál.
Fyrirspurnin hljóðar svo:
1. Er rekjanleiki fyrir hendi í einhverjum þeirra tölvukerfa sem Ríkisendurskoðun notar og er haldin „log“-skrá hjá stofnuninni?
2. Hvernig er haldið utan um sögu aðgerða notenda í kerfunum, t.d. um það hvað notendur skrá, breyta eða skoða?
Forseti Alþingis hefur aflað upplýsinga um málið frá ríkisendurskoðanda og svar forseta hér á eftir er með hliðsjón af þeim upplýsingum.
Starfsmenn Ríkisendurskoðunar nota bæði eigin upplýsingakerfi stofnunarinnar og hafa skoðunaraðgang að upplýsingakerfum ríkisaðila eftir því sem endurskoðunarstörf þeirra krefjast. Stór hluti af vinnu starfsmanna Ríkisendurskoðunar felst í skoðun á bókhaldsupplýsingum ríkisaðila. Ríkisendurskoðun hefur sjálf ekki möguleika á að halda loggskrá um þær upplýsingar sem starfsmenn stofnunarinnar skoða í einstökum upplýsingakerfum ríkisaðila. Þeir sem starfrækja viðkomandi kerfi halda hins vegar slíkar loggskrár um notkun, einkum ef um viðkvæmar upplýsingar er að ræða.
Á síðasta ári tók stofnunin í notkun nýtt rafrænt málaskrár- og skjalavistunarkerfi (OnSystem) þar sem skráð eru öll formleg skjöl og samskipti. Auk þess er stór hluti vinnuskjala einnig skráður í kerfið. Þessu til viðbótar notar stofnunin tvö rafræn endurskoðunarkerfi (TeamMate og Descartes) til að halda utan um verkferla í fjárhagsendur-skoðun í samræmi við fyrirmæli endurskoðunarstaðla. Ítarleg loggskrá er hluti af skjalavistunar- og málaskrárkerfi stofnunarinnar. Loggskráning er hins vegar ekki jafn nákvæm í þeim tveimur endurskoðunarkerfum sem notuð eru í fjárhagsendurskoðun, þótt vissulega fari ákveðin loggskráning fram í þeim.
OneSystem málaskrár- og skjalavistunarkerfi ( www.onesystems.is). Haldin er loggskrá um alla notkun kerfisins, þ.e. hvaða notendur skrá upplýsingar í kerfið, breyta upplýsingum og skoða upplýsingar. Aðeins kerfisstjóri Ríkisendurskoðunar hefur aðgang beint inn ígagnagrunn, en skráningar hans, breytingar og skoðun eru ekki loggskráðar.
TeamMate endurskoðunarkerfi ( www.teammatesolutions.com). Skráning logguð, síðasta breyting og hvaða notandi gerði hana. Skoðun gagna er ekki logguð. Aðgangur að vinnugögnum takmarkast við þá starfsmenn sem vinna að viðkomandi verkefni í fjárhagsendur
skoðun og yfirmenn þeirra.
Descartes endurskoðunarkerfi ( descartes.bouvet.no/is/). Skráning og breytingar loggaðar en skoðun er ekki logguð. Skoðun gagna í þessu kerfi takmarkast við þá sem vinna að við
komandi fjárhagsendurskoðunarverkefni og yfirmenn þeirra.
Innri verklagsreglur og leiðbeiningar eru vistaðar á innri vef stofnunarinnar sem byggður er á Joomla-vefumsjónarkerfi. Haldið er utan um IP-tölu útstöðva sem skoða eða breyta upplýsingum á þessum vef og eru þær geymdar í þrjá mánuði. Ytri vefur stofnunarinnar byggist á TYPO3-vefumsjónarkerfi og er ytri og innri notkun á vefum skráð. Tekið skal fram að engar viðkvæmar fjárhags- eða persónuupplýsingar eru vistaðar á þessum innri og ytri vefjum stofnunarinnar.
141. löggjafarþing 2012–2013.
Þingskjal 1328 — 660. mál.
Svar
forseta Alþingis við fyrirspurn Guðlaugs Þórs Þórðarsonar
um rekjanleika í tölvukerfum Ríkisendurskoðunar.
Fyrirspurnin hljóðar svo:
1. Er rekjanleiki fyrir hendi í einhverjum þeirra tölvukerfa sem Ríkisendurskoðun notar og er haldin „log“-skrá hjá stofnuninni?
2. Hvernig er haldið utan um sögu aðgerða notenda í kerfunum, t.d. um það hvað notendur skrá, breyta eða skoða?
Forseti Alþingis hefur aflað upplýsinga um málið frá ríkisendurskoðanda og svar forseta hér á eftir er með hliðsjón af þeim upplýsingum.
Starfsmenn Ríkisendurskoðunar nota bæði eigin upplýsingakerfi stofnunarinnar og hafa skoðunaraðgang að upplýsingakerfum ríkisaðila eftir því sem endurskoðunarstörf þeirra krefjast. Stór hluti af vinnu starfsmanna Ríkisendurskoðunar felst í skoðun á bókhaldsupplýsingum ríkisaðila. Ríkisendurskoðun hefur sjálf ekki möguleika á að halda loggskrá um þær upplýsingar sem starfsmenn stofnunarinnar skoða í einstökum upplýsingakerfum ríkisaðila. Þeir sem starfrækja viðkomandi kerfi halda hins vegar slíkar loggskrár um notkun, einkum ef um viðkvæmar upplýsingar er að ræða.
Á síðasta ári tók stofnunin í notkun nýtt rafrænt málaskrár- og skjalavistunarkerfi (OnSystem) þar sem skráð eru öll formleg skjöl og samskipti. Auk þess er stór hluti vinnuskjala einnig skráður í kerfið. Þessu til viðbótar notar stofnunin tvö rafræn endurskoðunarkerfi (TeamMate og Descartes) til að halda utan um verkferla í fjárhagsendur-skoðun í samræmi við fyrirmæli endurskoðunarstaðla. Ítarleg loggskrá er hluti af skjalavistunar- og málaskrárkerfi stofnunarinnar. Loggskráning er hins vegar ekki jafn nákvæm í þeim tveimur endurskoðunarkerfum sem notuð eru í fjárhagsendurskoðun, þótt vissulega fari ákveðin loggskráning fram í þeim.
OneSystem málaskrár- og skjalavistunarkerfi ( www.onesystems.is). Haldin er loggskrá um alla notkun kerfisins, þ.e. hvaða notendur skrá upplýsingar í kerfið, breyta upplýsingum og skoða upplýsingar. Aðeins kerfisstjóri Ríkisendurskoðunar hefur aðgang beint inn ígagnagrunn, en skráningar hans, breytingar og skoðun eru ekki loggskráðar.
TeamMate endurskoðunarkerfi ( www.teammatesolutions.com). Skráning logguð, síðasta breyting og hvaða notandi gerði hana. Skoðun gagna er ekki logguð. Aðgangur að vinnugögnum takmarkast við þá starfsmenn sem vinna að viðkomandi verkefni í fjárhagsendur
Descartes endurskoðunarkerfi ( descartes.bouvet.no/is/). Skráning og breytingar loggaðar en skoðun er ekki logguð. Skoðun gagna í þessu kerfi takmarkast við þá sem vinna að við
Innri verklagsreglur og leiðbeiningar eru vistaðar á innri vef stofnunarinnar sem byggður er á Joomla-vefumsjónarkerfi. Haldið er utan um IP-tölu útstöðva sem skoða eða breyta upplýsingum á þessum vef og eru þær geymdar í þrjá mánuði. Ytri vefur stofnunarinnar byggist á TYPO3-vefumsjónarkerfi og er ytri og innri notkun á vefum skráð. Tekið skal fram að engar viðkvæmar fjárhags- eða persónuupplýsingar eru vistaðar á þessum innri og ytri vefjum stofnunarinnar.
