Tøndel, Inger Anne, Nils Brede Moe, Daniela Soares Cruzes (2014):
Behov knyttet til informasjonssikkerhet i forvaltningen
Trondheim, SINTEF IKT Rapport A25874
Please note: This page may contain data in Norwegian that is not translated to English.
Type of publication:
Rapport
Link to publication:
https://www.difi.no/rapport/2016/05/behov-knyttet-til-informasjonssikkerhet-i-forvaltningen
Link to review:
Number of pages:
48
ISBN:
978-82-14-05343-2
Language of publication:
Norsk
Country of publication:
Norge
NSD-reference:
3177
This page was last updated:
4/10 2016
State units related to this publication:
Summary:
Denne rapporten kommer med anbefalinger til prioriterte aktiviteter for Difis nyopprettede kompetansesenter for informasjonssikkerhet. Anbefalingene er gjort på bakgrunn av resultatene fra fire fokusgrupper, samt en spørreundersøkelse knyttet til bruk av styringssystemer for informasjonssikkerhet. Til sammen 18 virksomheter i statsforvaltningen deltok i fokusgruppene, og spørreundersøkelsen ble distribuert til 59 deltagere på en workshop der 43 virksomheter deltok. Både departementer og etater var representert i begge aktivitetene.
I rapporten er resultatene fra fokusgruppene organisert innen seks temaområder: Integrasjon mot virksomhetens mål, styringssystemet og virksomheten, åpenhet, forståelse av risiko, sikkerhet under utvikling av IT-systemer, og kompetanse. De viktigste funnene er oppsummert i Tabell 1.
På bakgrunn av funnene anbefales Difi å fokusere sine aktiviteter og tiltak innen to hovedområder: Kompetansebygging og koordinering. Den viktigste årsak til dagens og fremtidige utfordringer i statsforvaltningen er manglende kompetanse innen faget informasjonssikkerhet. Her kan Difi bidra med kurs, foredrag og lavterskel rådgivning, samt være en pådriver for bedre utdanning. Innen koordinering anbefaler rapporten at Difi samarbeider med og søker å påvirke andre relevante sikkerhetsmiljøer, tilsynsmyndigheter og kravstillere. I tillegg bør Difi legge til rette for god koordinering i statsforvaltningen gjennom etablering av praksisfellesskap.
Tiltakene og aktivitetene som er foreslått i denne rapporten vil være kjente både for Difi og statsforvaltningen. For at Difi skal kunne utnytte ressursene på en slik måte at de har stor effekt, må hvert tiltak skreddersys i forhold til den målgruppa de forskjellige tiltakene er rettet mot. En forutsetning for å kunne skreddersy tiltak og aktiviteter på området informasjonssikkerhet er å ha en god forståelse av de utfordringer statsforvaltningen har, hva som fungerer bra i dag, og hvordan eksterne mekanismer og aktører påvirker dagens arbeid med informasjonssikkerhet. En annen forutsetning for skreddersøm er å forstå diversiteten når det gjelder behov, kunnskapsnivået og modenhet blant de ulike virksomheter, samt at det relativt unge fagområdet informasjonssikkerhet er i sterk og kontinuerlig endring. Det viktigste i denne rapporten er derfor ikke tiltakene som anbefales, men derimot beskrivelsene av virksomhetenes erfaringer og
refleksjoner rundt arbeidet med informasjonssikkerhet.