Sammendrag:

Denne rapporten kommer med anbefalinger til prioriterte aktiviteter for Difis nyopprettede kompetansesenter for informasjonssikkerhet. Anbefalingene er gjort på bakgrunn av resultatene fra fire fokusgrupper, samt en spørreundersøkelse knyttet til bruk av styringssystemer for informasjonssikkerhet. Til sammen 18 virksomheter i statsforvaltningen deltok i fokusgruppene, og spørreundersøkelsen ble distribuert til 59 deltagere på en workshop der 43 virksomheter deltok. Både departementer og etater var representert i begge aktivitetene.

I rapporten er resultatene fra fokusgruppene organisert innen seks temaområder: Integrasjon mot virksomhetens mål, styringssystemet og virksomheten, åpenhet, forståelse av risiko, sikkerhet under utvikling av IT-systemer, og kompetanse. De viktigste funnene er oppsummert i Tabell 1.

På bakgrunn av funnene anbefales Difi å fokusere sine aktiviteter og tiltak innen to hovedområder: Kompetansebygging og koordinering. Den viktigste årsak til dagens og fremtidige utfordringer i statsforvaltningen er manglende kompetanse innen faget informasjonssikkerhet. Her kan Difi bidra med kurs, foredrag og lavterskel rådgivning, samt være en pådriver for bedre utdanning. Innen koordinering anbefaler rapporten at Difi samarbeider med og søker å påvirke andre relevante sikkerhetsmiljøer, tilsynsmyndigheter og kravstillere. I tillegg bør Difi legge til rette for god koordinering i statsforvaltningen gjennom etablering av praksisfellesskap.

Tiltakene og aktivitetene som er foreslått i denne rapporten vil være kjente både for Difi og statsforvaltningen. For at Difi skal kunne utnytte ressursene på en slik måte at de har stor effekt, må hvert tiltak skreddersys i forhold til den målgruppa de forskjellige tiltakene er rettet mot. En forutsetning for å kunne skreddersy tiltak og aktiviteter på området informasjonssikkerhet er å ha en god forståelse av de utfordringer statsforvaltningen har, hva som fungerer bra i dag, og hvordan eksterne mekanismer og aktører påvirker dagens arbeid med informasjonssikkerhet. En annen forutsetning for skreddersøm er å forstå diversiteten når det gjelder behov, kunnskapsnivået og modenhet blant de ulike virksomheter, samt at det relativt unge fagområdet informasjonssikkerhet er i sterk og kontinuerlig endring. Det viktigste i denne rapporten er derfor ikke tiltakene som anbefales, men derimot beskrivelsene av virksomhetenes erfaringer og
refleksjoner rundt arbeidet med informasjonssikkerhet.