Arbeidet med informasjonssikkerhet i statsforvaltningen

Denne rapporten er et kunnskapsgrunnlag for arbeidet med informasjonssikkerhet i statsforvaltningen, og er utarbeidet på oppdrag fra Kommunal- og moderniseringsdepartementet (KMD). Vi har kartlagt hvordan fagpersoner og virksomhetsledelse jobber med informasjonssikkerhet, og hvordan etatsstyrerne følger dem opp.

Publisert: 21. jun 2018, Sist endret: 22. jun 2018

Vår vurdering er at én av tre statlige virksomheter ikke har tilstrekkelig styring og kontroll på informasjonssikkerhet, og departementet etterspør i liten grad status på arbeidet med informasjonssikkerhet hos underliggende virksomheter.

Vi mener at arbeidet med styring og kontroll av informasjonssikkerhet i virksomhetene må styrkes for å sikre at virksomhetene oppnår tilstrekkelig modenhet og blir bedre rustet til å følge endringer i trusselbildet. Vi mener videre at departementene må stille tydeligere krav til virksomhetenes rapportering av status for å oppnå en koordinert og sektorovergripende styring av informasjonssikkerheten i statsforvaltningen.

Våre hovedfunn

  • Vår vurdering er at hver tredje statlige virksomhet ikke har tilstrekkelig styring og kontroll på informasjonssikkerheten. Det er stor variasjon på innretning og omfang på styring og kontroll i virksomhetene.
  • Intervjuene viser at etatsstyrere i liten grad etterspør status på arbeidet med informasjonssikkerhet hos underliggende virksomheter. Kun 64 prosent av virksomhetene svarer at informasjonssikkerhet har vært et tema i etatsstyringsdialogen, og 7 prosent sier at det ikke en gang vil omtales i årsrapporten for 2017.
  • Kun 40 prosent har kartlagt eller målt sikkerhetskulturen i virksomheten.
  • Under halvparten har årlige øvelser. 27 prosent av virksomhetene mangler en IKT-beredskapsplan som er godkjent av virksomhetsleder. Det er positivt at 87 prosent likevel har håndtert hendelser basert på tydelige definerte roller, ansvar og prosedyrer.
  • 68 prosent av virksomhetene svarte at de klarer å dekke opp sitt behov for fagkompetanse på området informasjonssikkerhet.
  • Virksomhetene arbeider med kompetanseheving på informasjonssikkerhet, men arbeidet er i mange tilfeller lite målrettet og ikke tilpasset virksomhetens egenart og behov.
  • Departementenes egenrapportering i 2016 viste at arbeidet med informasjonssikkerhet hadde høy prioritet i alle sektorer. Vår evaluering nyanserer dette bildet. Få departementer har bedt sine underliggende virksomheter analysere status på informasjonssikkerhet. Bedre rapportering ville gjort det lettere å sammenligne status og se endringer over tid på tvers av virksomheter og sektorer.
  • Virksomhetene har liten kjennskap til regelverkene som stiller krav til informasjonssikkerhet, spesielt økonomiregelverket i staten og § 15 i eForvaltningsforskriften. De fleste etatsstyrere nevner regelverket for behandling av personopplysninger som mest relevant.
  • 77 prosent av virksomhetslederne mener de i stor grad gir tydelige føringer for arbeidet med informasjonssikkerhet. 51 prosent av de fagansvarlige mener at ledelsen gir tydelige føringer.
  • 35 prosent av virksomhetene har retningslinjer for å akseptere risiko. Uten kriterier for hvem som kan akseptere størrelsen på risikoen, er det vanskelig å prioritere ressursbruken mot de risikoene det er viktig å håndtere.
  • Mange virksomheter har utfordringer med å etablere og følge opp sikkerhetstiltak. Uten målrettede tiltak, kan tiltakene gi unødvendige kostnader og liten effekt.

Våre viktigste anbefalinger

Vi mener at arbeidet med styring og kontroll av informasjonssikkerhet i virksomhetene må styrkes for å sikre at virksomhetene oppnår tilstrekkelig modenhet og blir bedre rustet til å følge endringer i trusselbildet. Vi mener videre at departementene må stille tydeligere krav til virksomhetenes rapportering av status for å oppnå en koordinert og sektorovergripende styring av informasjonssikkerheten i statsforvaltningen.

Vi har 11 anbefalinger som støtter opp under dette. Vi trekker spesielt frem fire prioriterte anbefalinger som raskt kan bidra til å forbedre dagens situasjon:

  • Informasjonssikkerhet følges opp i styringsdialogen mellom departement og underliggende virksomhet. Etatsstyrere bør ha tilgang på veiledning om hvordan informasjonssikkerhet bør ivaretas i etatsstyringen. DFØ og Difi bør samarbeide om å gi denne veiledningen.
  • Departementene stiller krav om at virksomhetene rapporterer på sikkerhetstilstanden for egen virksomhet, og status på arbeidet med styring og kontroll av informasjonssikkerhet i årsrapporten. Rapporteringen bør være lik og sammenlignbar for alle statlige virksomheter. DFØ bør i samarbeid med Difi gi veiledning om dette.
  • Virksomhetene gjennomfører minst en årlig øvelse innen informasjonssikkerhet. Både planlegging og rapportering av erfaringer fra øvelsen må knyttes opp mot virksomhetens styringssystem for informasjonssikkerhet.
  • Virksomheter kartlegger sin kompetanse og sikkerhetskultur. På bakgrunn av kartleggingen utformer virksomheten eventuelle tiltak til forbedring.

Slik har vi gjennomført oppdraget

Evalueringen belyser hvordan virksomhetene arbeider med informasjonssikkerhet, men den er ikke en kartlegging av selve sikkerhetstilstanden.

KMD sendte spørreskjema til både virksomhetsledere og fagpersoner i et representativt utvalg på 93 statlige virksomheter (se vedlegg 2) med ulik størrelse og organisering. 30 virksomheter og 28 etatsstyrere deltok i dybdeintervju for å supplere med kvalitativ informasjon. Vi gjennomførte også en workshop i Nettverk for informasjonssikkerhet (NIFS). Samlet gir våre funn et godt bilde av hvordan statsforvaltningen arbeider med informasjonssikkerhet.