Sammendrag:

Resymé/omtale:
Direktoratet for forvaltning og ikt (Difi) har på oppdrag fra Kommunal- og moderniseringsdepartementet (KMD) fremskaffet et kunnskapsgrunnlag på hvordan statsforvaltningen arbeider med informasjonssikkerhet.

En av tre statlige virksomheter har ikke tilstrekkelig styring og kontroll på informasjonssikkerhet, og etatsstyrere etterspør i liten grad status på arbeidet med informasjonssikkerhet hos underliggende virksomheter. Det viser vår evaluering av arbeidet med informasjonssikkerhet i statsforvaltningen.
______________________

Sammendrag:
Denne rapporten er et kunnskapsgrunnlag for arbeidet med informasjonssikkerhet i statsforvaltningen, og er utarbeidet på oppdrag fra Kommunal- og moderniseringsdepartementet (KMD). Vi har kartlagt hvordan fagpersoner og virksomhetsledelse jobber med informasjonssikkerhet, og hvordan etatsstyrerne følger dem opp.
Vår vurdering er at én av tre statlige virksomheter ikke har tilstrekkelig styring og kontroll på informasjonssikkerhet, og departementet etterspør i liten grad status på arbeidet med informasjonssikkerhet hos underliggende virksomheter.

Vi mener at arbeidet med styring og kontroll av informasjonssikkerhet i virksomhetene må styrkes for å sikre at virksomhetene oppnår tilstrekkelig modenhet og blir bedre rustet til å følge endringer i trusselbildet. Vi mener videre at departementene må stille tydeligere krav til virksomhetenes rapportering av status for å oppnå en koordinert og sektorovergripende styring av informasjonssikkerheten i statsforvaltningen.

Rapportens hovedfunn

- Vår vurdering er at hver tredje statlige virksomhet ikke har tilstrekkelig styring og kontroll på informasjonssikkerheten. Det er stor variasjon på innretning og omfang på styring og kontroll i virksomhetene.
- Intervjuene viser at etatsstyrere i liten grad etterspør status på arbeidet med informasjonssikkerhet hos underliggende virksomheter. Kun 64 prosent av virksomhetene svarer at informasjonssikkerhet har vært et tema i etatsstyringsdialogen, og 7 prosent sier at det ikke en gang vil omtales i årsrapporten for 2017.
- Kun 40 prosent har kartlagt eller målt sikkerhetskulturen i virksomheten.
- Under halvparten har årlige øvelser. 27 prosent av virksomhetene mangler en IKT-beredskapsplan som er godkjent av virksomhetsleder. Det er positivt at 87 prosent likevel har håndtert hendelser basert på tydelige definerte roller, ansvar og prosedyrer.
- 68 prosent av virksomhetene svarte at de klarer å dekke opp sitt behov for fagkompetanse på området informasjonssikkerhet.
- Virksomhetene arbeider med kompetanseheving på informasjonssikkerhet, men arbeidet er i mange tilfeller lite målrettet og ikke tilpasset virksomhetens egenart og behov.
- Departementenes egenrapportering i 2016 viste at arbeidet med informasjonssikkerhet hadde høy prioritet i alle sektorer. Vår evaluering nyanserer dette bildet. Få departementer har bedt sine underliggende virksomheter analysere status på informasjonssikkerhet. Bedre rapportering ville gjort det lettere å sammenligne status og se endringer over tid på tvers av virksomheter og sektorer.
- Virksomhetene har liten kjennskap til regelverkene som stiller krav til informasjonssikkerhet, spesielt økonomiregelverket i staten og § 15 i eForvaltningsforskriften. De fleste etatsstyrere nevner regelverket for behandling av personopplysninger som mest relevant.
- 77 prosent av virksomhetslederne mener de i stor grad gir tydelige føringer for arbeidet med informasjonssikkerhet. 51 prosent av de fagansvarlige mener at ledelsen gir tydelige føringer.
- 35 prosent av virksomhetene har retningslinjer for å akseptere risiko. Uten kriterier for hvem som kan akseptere størrelsen på risikoen, er det vanskelig å prioritere ressursbruken mot de risikoene det er viktig å håndtere.
- Mange virksomheter har utfordringer med å etablere og følge opp sikkerhetstiltak. Uten målrettede tiltak, kan tiltakene gi unødvendige kostnader og liten effekt.

Rapportens viktigste anbefalinger

Vi mener at arbeidet med styring og kontroll av informasjonssikkerhet i virksomhetene må styrkes for å sikre at virksomhetene oppnår tilstrekkelig modenhet og blir bedre rustet til å følge endringer i trusselbildet. Vi mener videre at departementene må stille tydeligere krav til virksomhetenes rapportering av status for å oppnå en koordinert og sektorovergripende styring av informasjonssikkerheten i statsforvaltningen.

Vi har 11 anbefalinger som støtter opp under dette. Vi trekker spesielt frem fire prioriterte anbefalinger som raskt kan bidra til å forbedre dagens situasjon:

- Informasjonssikkerhet følges opp i styringsdialogen mellom departement og underliggende virksomhet. Etatsstyrere bør ha tilgang på veiledning om hvordan informasjonssikkerhet bør ivaretas i etatsstyringen. DFØ og Difi bør samarbeide om å gi denne veiledningen.
- Departementene stiller krav om at virksomhetene rapporterer på sikkerhetstilstanden for egen virksomhet, og status på arbeidet med styring og kontroll av informasjonssikkerhet i årsrapporten. Rapporteringen bør være lik og sammenlignbar for alle statlige virksomheter. DFØ bør i samarbeid med Difi gi veiledning om dette.
- Virksomhetene gjennomfører minst en årlig øvelse innen informasjonssikkerhet. Både planlegging og rapportering av erfaringer fra øvelsen må knyttes opp mot virksomhetens styringssystem for informasjonssikkerhet.
- Virksomheter kartlegger sin kompetanse og sikkerhetskultur. På bakgrunn av kartleggingen utformer virksomheten eventuelle tiltak til forbedring.