哈利法克斯审计长伊万杰琳·科尔曼-萨德于2020年1月在哈利法克斯市政厅对记者讲话。照片:赞恩伍德福德
在星期四提交的一份报告中,哈利法克斯市审计长说,哈利法克斯地区警察局缺乏信息技术安全,该部门的管理人员就他们在解决这一问题上的进展向警察委员会撒谎。
哈利法克斯审计师普通埃文尔博尔曼 - SADD最初计划于2018年审计HRP的IT安全,但在发现警方后,顾问在顾问在之前进行了类似的评估。
在一个信科尔曼-萨德(Colman-Sadd)于2018年7月向警察委员会提交了一份报告揭示了毕马威2016年12月的报告发现了HRP的IT安全的67个问题。科尔曼-萨德还告诉议员和董事会,实际上没有采取任何措施来解决这个问题。
2018年9月,负责解决这些问题的新员工、首席信息安全官安德鲁·科兹马(Andrew Kozma)公开表示告诉警察局他正在大约一半的进步。他在此之后向董事会提供每月更新,但至少没有公开的人真正实现。
周四,Colman-Sadd提交了她办公室的审计报告向审计和财务常务委员会提交。
报告称:“HRP未能有效管理其信息技术系统和资产的风险,以充分防范内部和外部威胁。”
这是审计长报告中总结调查结果的一页。
由审计人员Ashley Maxwell领导并于2019年2月至2020年底期间进行的报告中确定的问题包括:
- 现有的IT政策已经过时,起草的政策已经有18个月没有执行了。
- 负责监控设备等“隐蔽系统”的人员不向首席信息安全官报告。
- HRP在2017年聘请了一名顾问来评估其秘密系统的IT安全,但在总审计长告诉首席信息安全官之前,从未告诉过他或给过他一份副本。
- HRP的IT资产在物理安全方面存在缺口——缺乏政策,例如,围绕移除USB棒或其他类似设备的政策。“现有政策和草案没有规定何时可以将设备、信息或软件带离现场,也没有规定必须由谁批准。”
- 库存跟踪不完整、不准确,尤其是在警车的“移动数据终端”附近。“在审计期间,用于跟踪库存的软件的许可证已经过期。HRP没有采取措施在到期前获得库存清单。”
总的来说,自2016年和2017年报告以来一直变化:“当我们在2020年10月完成实地工作时,顾问的建议仍然突出,”新报告说。
更糟糕的是,警方就此事向警察局长委员会撒谎。
这是一节的标题为“警务专员委员会对人力资源计划管理层的信息技术建议提供了错误的信息“全文:
2017年,在一份关于IT安全的顾问报告之后,HRP管理层没有向警务专员委员会充分介绍情况。
我们最初计划在2018年春季计划HRP IT安全审计,但在HRP给我们一份评估IT安全风险的顾问报告后决定延迟延迟。
2019年7月,HRP管理层向警务专员委员会提供了关于半隐蔽系统建议的详细进展更新。管理当局告诉委员会,半秘密报告中的67项建议中有13项是完整的。我们发现:
- 相反,六项建议被评估为完整的HRP,取得了优秀。
- 另一个与新斯科舍省有关的建议;应该被确定为不适用于HRP。
- 第八项建议很突出,因为管理层决定不采纳它。但是,向执行局提出的报告是完整的,而不是不打算执行。
- 在2019年7月更新时完成了5项建议。
委员会没有得到关于顾问的秘密制度建议的简报。截至2020年10月,当我们完成审计现场工作时,审计委员会尚未收到有关这些建议的任何信息。
根据《警察法》的规定,该委员会对HRP的活动进行行政监督。人力资源计划管理层有责任向董事会提供足够的信息,使董事会成员能够履行他们的职责。必须注意确保信息的完整和准确。
2019年7月的会议是丹科氏酋长首先作为HRP的负责人。在相机部分下,议程列出了一个“安全问题”。的分钟说,“下面的项目由Camera(私人)的董事会处理,并且不需要进一步行动。”
在周四的会议上,市长迈克·萨维奇(Mike Savage)指出,该报告使用了比他从科尔曼·萨德那里听到的更强硬的语言。
萨维奇说:“诸如‘给出了错误的信息’、‘没有获得足够的信息’、‘需要显著改善’、‘没有有效管理风险’等问题。”
他请审计长就这份报告与她提交的其他报告相比如何发表评论,科尔曼-萨德表示,她将直接与“给出的错误信息”对话:
对我来说,我更重视这类领域,因为我认为监督机构——无论是地区理事会、审计和财务常设委员会、警务专员委员会,或任何监督机构——重要的是,他们收到的信息是完整和准确的,这样他们才能在这些角色中履行自己的职责。这就是为什么这个领域让我如此担忧,因为我觉得,早在2019年7月,委员会就没有得到关于这些建议的准确信息。
总体而言,我认为整体结论本身就是说话,结果并不伟大......这肯定不是过度积极的结果。
该报告提出了12项建议 - 全部由管理层接受。第一个:“哈利法克斯区域警方应实施一个进程,以确保仅向警察局委员会提供完整和准确的信息安全性信息。”
其他建议包括创建或完成各种内部政策和流程以保护IT安全性。例如,审计员将军建议警方“应制定并实施操作程序以维持其系统,包括补丁管理,变更管理和备份。”
报告中指出,各国接受了每项建议,时间表从2021年4月至12月。科尔曼-萨德办公室将在18个月后跟进,就像它对所有审计所做的那样。
哈利法克斯地区警察局长丹·金塞拉(Dan Kinsella)在2020年1月的一次会议上对警察局长委员会说。照片:赞恩伍德福德
在星期四的一份声明中,Kinsella表示,“HRP非常认真地审计发现。”
“通过采用项目管理方法,人力资源规划将立即重点关注风险最高的类别,并承诺采取行动落实所有建议。我们感谢审计人员的勤奋和参与,感谢他们将重要事项提请HRP管理部门注意。”金塞拉写道。
此外,还向常务委员会提交了一份秘密报告。根据这份公开报告,私人报告更详细地探讨了一些相同的主题,“以及网络运营、业务连续性和访问等部分。”
报告称:“鉴于许多IT议题的敏感性,公开报告已查明的关切细节,可能会影响HRP运作的安全和保障。”
委员会秘密开了将近两个小时的会议。此后议员们没有提出任何公开动议。
哈利法克斯考官是一个无广告,订阅支持的新闻网站。您的订阅使这一工作成为可能;请订阅.
有些人要求我们额外允许读者的一次性捐赠,所以我们创造了这个机会,通过下面的PayPal按钮。我们也接受您的信用卡的电子转账、支票和捐赠;详情请联系“halifaxexaminer”点“ca”。
谢谢!
Cao Dube经常声称HRP的行政监督,他得到了HRM律师John Traves的主张。也许杜博尔可以告诉市长野蛮人和理事会成员与首席仁居他每周会议的确切性质以及他必须举行首席仁丽的法律权威,以考虑到HRP管理的问题以及为什么他,杜拜,杜拜为何进行确保HRP致力于以前审计师总报告中确定的问题。
是Dube而不是HRP要求更新,这表明他认为自己负责管理HRP,而警察委员会是一个必要的杂项,这是新斯科舍省每个自治市30多年来都讨厌的《警察法》所要求的。
居民们应该得到对这一失败负有责任的一个或多个人的完整而准确的描述。