Vår sammanfattande bedömning utifrån granskningens syfte är att kommunstyrelsen inte fullt ut säkerställt ett ändamålsenligt och systematiskt arbete med sin informationssäkerhet. Baserat på styrdokument och intervjuades beskrivning av pågående utvecklingsarbete har Uppsala kommun en hög ambitionsnivå när det kommer till informationssäkerhetsarbetet. Vi bedömer det som positivt att flera åtgärder har och är planerade att genomföras för att förbättra kommunens organisation för informationssäkerhet. Vår bedömning är dock att organisationen inte implementerats fullt ut och ännu inte klarar att leva upp till den höga ambitionsnivån. Framförallt är verksamheten inte tillräckligt förankrad i arbetet vilket medför att IT-staben har tagit en stor roll.

Vi lämnar följande rekommendationer till kommunstyrelsen:

• Säkerställ att funktionen för informationssäkerhet utvärderas och att dess syfte och funktion tydliggörs.
• Säkerställ att roller och ansvar mellan IT och verksamhet tydliggörs.
• Säkerställ att tillräcklig utbildning ges för att medvetandegöra informationssäkerhetsansvaret för alla inom Uppsala kommun.
• Säkerställ att arbetet med informationssäkerhetsklassning implementeras fullt ut i kommunen.