Ny kunnskap om statsforvaltningen og informasjonssikkerhet

Én av tre statlige virksomheter har ikke tilstrekkelig styring og kontroll på informasjonssikkerhet, og departementene etterspør i liten grad status på arbeidet med informasjonssikkerhet hos underliggende virksomheter. Dette går frem av Difis nye evaluering «Arbeidet med informasjonssikkerhet i statsforvaltningen».

Publisert: 22. jun 2018, Sist endret: 29. okt 2018

Formålet med evalueringen, som Difi har gjort på oppdrag for Kommunal- og moderniserings-departementet (KMD), er å bidra til et mer fullstendig bilde av tilstanden på informasjonssikkerhetsarbeidet i statsforvaltningen.

KMD har bedt Difi kartlegge, evaluere og gi anbefalinger til arbeidet med informasjonssikkerhet i statsforvaltningens virksomheter.

Difis vurdering er at hver tredje statlige virksomhet ikke har tilstrekkelig styring og kontroll på informasjonssikkerheten. Det er stor variasjon på innretning og omfang på styring og kontroll i virksomhetene.

Intervjuene viser at etatsstyrere i liten grad etterspør status på arbeidet med informasjonssikkerhet hos underliggende virksomheter. Kun 64 prosent av virksomhetene svarer at informasjonssikkerhet har vært et tema i etatsstyringsdialogen, og 7 prosent sier at det ikke en gang vil omtales i årsrapporten for 2017.

Andre funn:

  • 40 prosent av virksomhetene har kartlagt eller målt sikkerhetskulturen i virksomhetene.
  • Under halvparten har årlige øvelser.
  • 87 prosent har likevel håndtert hendelser basert på tydelige definerte roller, ansvar og prosedyrer.

God informasjonssikkerhet er en forutsetning for å digitalisere på en trygg og brukervennlig måte, og dermed også bidra til omstillingen av offentlig sektor. Difi mener at arbeidet med styring og kontroll av informasjonssikkerhet i virksomhetene må styrkes for å sikre at virksomhetene oppnår tilstrekkelig modenhet og blir bedre rustet til å følge endringer i trusselbildet. Departementene må stille tydeligere krav til virksomhetenes rapportering av status for å oppnå en koordinert og sektorovergripende styring av informasjonssikkerheten i statsforvaltningen.

Evalueringen ble gjennomført ved hjelp spørreskjema til både virksomhetsledere og fagpersoner i et representativt utvalg på 93 statlige virksomheter med ulik størrelse og organisering. I tillegg deltok 30 virksomheter og 28 etatsstyrere i dybdeintervju for å supplere med kvalitativ informasjon. Difi gjennomførte også en workshop i Nettverk for informasjonssikkerhet (NIFS). Samlet gir funnene et godt bilde av hvordan statsforvaltningen arbeider med informasjonssikkerhet.

 

Deldette