STATSLIGE VIRKSOMHEDERS S

More Magazines

Recommendations

Info

STATSLIGE VIRKSOMHEDERS STYRING AF IT-SIKKERHEDEN EFTER OVERGANGEN TIL STATENS IT 37 D. Statslige virksomheders styring af it-sikkerheden efter overgangen til Statens It RIGSREVISIONENS SAMLEDE VURDERING Virksomheder tilsluttet Statens It har efter 2 års drift endnu ikke tilrettelagt en tilfredsstillende styring af it-sikkerheden hos dem selv. Manglende styring af it-sikkerheden øger risikoen for eksponering af fortrolige data, tab af data og nedbrud i systemerne, fx fordi data ikke kan genskabes efter nedbrud, eller fordi der har været indbrud i systemerne. Den type utilsigtede hændelser forekommer med jævne mellemrum i statslige virksomheder, men kan minimeres med en styring baseret på sikkerhedsstandarder og god praksis. Rigsrevisionen finder det uheldigt, at virksomhederne ikke havde en tilfredsstillende styring af it-sikkerheden i og omkring de systemer og data, som de var ansvarlige for. Endvidere var der fortsat væsentlig uklarhed om opgavefordelingen mellem virksomhederne og Statens It. Konsekvensen var, at virksomhedernes og Statens It’s arbejdsprocesser ikke var tilrettelagt, så de understøttede hinanden på en tilfredsstillende måde, fx vedrørende persondata, hvor Rigsrevisionen kunne konstatere, at der hos kunderne var usikkerhed om, hvilke krav de skulle stille til Statens It. Det har medført, at Statens It i begrænset omfang blev orienteret om, hvilke persondata kunderne var ansvarlige for, og at kunderne ikke krævede en rapportering fra Statens It, som viste, at persondata fortsat var forsvarligt beskyttet. Uklarheden om opgavefordelingen var en del af forklaringen på, at virksomhederne ikke havde tilrettelagt en tilfredsstillende styring. Rigsrevisionen finder, at virksomhederne i tæt dialog med Statens It bør udarbejde retningslinjer og procedurer, der medvirker til at sikre en tilfredsstillende it-sikkerhed i og omkring de anvendte systemer og data. Rigsrevisionen finder desuden, at Statens It bør understøtte virksomhederne i deres arbejde med it-sikkerhed – også på områder, hvor Statens It ikke er ansvarlig for sikkerheden. Rigsrevisionen finder, at der vil være en væsentlig effektivisering og kvalitetsforbedring ved, at Statens It udarbejder vejledninger mv., som kan anvendes af de ca. 80 virksomheder, i stedet for, at hver enkelt virksomhed skal tilrettelægge sin egen styring uden at have det nødvendige overblik over processerne i Statens It. Fx bør Statens It udarbejde paradigmer for virksomhedernes opgaver og for ansvaret for beredskabsplaner og håndtering af persondata. Rigsrevisionen finder det væsentligt, at Statens It og virksomhederne fremover arbejder mere målrettet med at forbedre it-sikkerheden. Rigsrevisionen understreger vigtigheden af, at virksomhederne og Statens It udarbejder konkrete planer og milepæle for det videre arbejde, så de væsentligste mangler håndteres hurtigst muligt.
38 STATSLIGE VIRKSOMHEDERS STYRING AF IT-SIKKERHEDEN EFTER OVERGANGEN TIL STATENS IT Den fællesoffentlige digitaliseringsstrategi har 3 hovedspor: slut med papirblanketter og brevpost ny digital velfærd tættere offentligt digitalt samarbejde. Retningslinjer beskriver ”hvad gør vi”, og procedurer fastlægger ”hvem gør hvad og hvordan”. Styring af it-sikkerheden er et ledelsesansvar og skal tilgodese de 3 overordnede sikkerhedskrav: tilgængelighed fortrolighed integritet. It-sikkerhed handler bl.a. om at beskytte kritisk og følsom information uanset opbevaringsmedie. a. Formål, afgrænsning og metode Indledning og formål 97. Formålet med den fællesoffentlige digitaliseringsstrategi er, at stat, kommuner og regioner i et samarbejde skal modernisere it-systemerne og derigennem effektivisere den offentlige sektor, jf. den fællesoffentlige digitaliseringsstrategi 2011-2015. Moderniseringen og effektiviseringen skal ske gennem øget brug af it, fælles løsninger mv., bl.a. til kommunikation og digital betjening af borgere og virksomheder. Den enkelte statslige virksomhed har ansvaret for at tilrettelægge en effektiv styring af it-sikkerheden i og omkring virksomhedens systemer og data, herunder vedrørende persondata. Hvis system-, data- og driftssikkerheden ikke er tilstrækkelig, kan det medføre driftsproblemer og økonomiske tab mv. for staten, samtidig med at borgere og private virksomheder ikke modtager de ydelser, som de er berettiget til. Hvis ikke persondata beskyttes tilstrækkeligt, kan det medføre tab af tillid til den offentlige myndighed og krænkelse af private personers rettigheder. 98. Denne undersøgelse handler om, hvordan statslige virksomheder, der er overgået til Statens It, har tilrettelagt styringen af it-sikkerheden. Statens It overtog pr. 1. januar 2010 ansvaret for alle opgaver vedrørende drift af administrative it-systemer, it-platforme og it-infrastruktur samt drift mv. af fagsystemer for 8 ministerier. Statens It overtog opgaverne, uden at der på forhånd var defineret og beskrevet et samarbejde og en standardiseret opgavefordeling mellem virksomhederne og Statens It. Det var planen, at det skulle ske efterfølgende, men det viste sig at være vanskeligere end forudset. Der var meget stor forskel på, hvilke opgaver de tidligere driftscentre løste, og hvilken teknologi de anvendte. Desuden havde virksomhedernes dokumentation for systemerne, som blev overdraget til Statens It, en varierende kvalitet, ligesom der gik meget viden tabt ved overdragelsen fra virksomhederne og de tidligere driftscentre til Statens It. 99. Overdragelsen ændrede ansvarsforholdene for it-anvendelsen. Statens It fik ansvaret for infrastruktur og basissystemer, mens den enkelte virksomhed fortsat har ansvaret for, at it-sikkerheden er tilstrækkelig for virksomhedens fagsystemer og data. Overdragelsen af opgaver til Statens It medførte også, at den enkelte virksomhed skulle udarbejde nye skriftlige retningslinjer og procedurer på it-området og koordinere disse med Statens It. 100. Statens It indgik ultimo 2010 kundeaftaler med ca. 80 virksomheder. Aftalerne, som havde virkning fra den 1. januar 2011, var baseret på et servicekatalog og en ny afregningsmodel samt en aftale om, hvordan it-sikkerheden overordnet skulle tilrettelægges mellem Statens It og virksomhederne. 101. Formålet med undersøgelsen var at vurdere, om virksomhederne havde tilrettelagt en tilstrækkelig styring af it-sikkerheden efter overgangen til Statens It, og om Statens It understøtter virksomhedernes styring af it-sikkerheden.
Page 1 and 2: Beretning til Statsrevisorerne om r
Page 3 and 4: Rigsrevisionen afgiver denne beretn
Page 5 and 6: 2 ERKLÆRING OM STATSREGNSKABET I.
Page 7 and 8: 4 DE VÆSENTLIGSTE REVISIONSRESULTA
Page 13 and 14: 10 DE VÆSENTLIGSTE REVISIONSRESULT
Page 15 and 16: 12 STATUS FOR DEN STATSLIGE KONCERN
Page 27 and 28: 24 INDBETALING AF PENSIONSBIDRAG FO
Page 35 and 36: 32 STATUS FOR ØKONOMISERVICECENTER
Page 37 and 38: 34 STATUS FOR ØKONOMISERVICECENTER
Page 39: 36 STATUS FOR ØKONOMISERVICECENTER
Page 43 and 44: 40 STATSLIGE VIRKSOMHEDERS STYRING
Page 49 and 50: 46 A NSÆTTELSE OG AFLØNNING AF S
Page 55 and 56: 52 § 5. STATSMINISTERIET Tabel 3.
Page 57 and 58: 54 § 6. UDENRIGSMINISTERIET B. §
Page 59 and 60: 56 § 6. UDENRIGSMINISTERIET 146. V
Page 61 and 62: 58 § 6. UDENRIGSMINISTERIET Opføl
Page 63 and 64: 60 § 7. FINANSMINISTERIET Tabel 5.
Page 65 and 66: 62 § 7. FINANSMINISTERIET Manglend
Page 67 and 68: 64 § 7. FINANSMINISTERIET Utilstr
Page 69 and 70: 66 § 7. FINANSMINISTERIET Statens
Page 71 and 72: 68 § 8. ØKONOMI- OG ERHVERVSMINIS
Page 73 and 74: 70 § 8. ØKONOMI- OG ERHVERVSMINIS
Page 75 and 76: 72 § 9. SKATTEMINISTERIET Tabel 7.
Page 77 and 78: 74 § 9. SKATTEMINISTERIET Supplere
Page 79 and 80: 76 § 9. SKATTEMINISTERIET Opfølgn
Page 81 and 82: 78 § 11. JUSTITSMINISTERIET Tabel
Page 83 and 84: 80 § 11. JUSTITSMINISTERIET Opføl
Page 85 and 86: 82 § 12. FORSVARSMINISTERIET G. §
Page 87 and 88: 84 § 12. FORSVARSMINISTERIET Suppl
Page 89 and 90: 86 § 12. FORSVARSMINISTERIET Statu
Page 91 and 92:
88 § 15. SOCIALMINISTERIET Tabel 1
Page 93 and 94:
90 § 15. SOCIALMINISTERIET Rigsrev
Page 95 and 96:
92 § 16. INDENRIGS- OG SUNDHEDSMIN
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
98 § 17. BESKÆFTIGELSESMINISTERIE
Page 103 and 104:
100 § 18. MINISTERIET FOR FLYGTNIN
Page 105 and 106:
102 § 19. MINISTERIET FOR VIDENSKA
Page 107 and 108:
Page 109 and 110:
Page 111 and 112:
108 § 20. UNDERVISNINGSMINISTERIET
Page 113 and 114:
Page 115 and 116:
Page 117 and 118:
114 § 21. KULTURMINISTERIET N. §
Page 119 and 120:
116 § 21. KULTURMINISTERIET Finans
Page 121 and 122:
118 § 21. KULTURMINISTERIET Anbefa
Page 123 and 124:
120 § 22. KIRKEMINISTERIET 273. I
Page 125 and 126:
122 § 23. MILJØMINISTERIET Tabel
Page 127 and 128:
124 § 23. MILJØMINISTERIET 286. I
Page 129 and 130:
126 § 24. MINISTERIET FOR FØDEVAR
Page 131 and 132:
128 § 24. MINISTERIET FOR FØDEVAR
Page 133 and 134:
130 § 28. TRANSPORTMINISTERIET R.
Page 135 and 136:
132 § 28. TRANSPORTMINISTERIET EU
Page 137 and 138:
134 § 28. TRANSPORTMINISTERIET Opf
Page 139 and 140:
136 § 29. KLIMA- OG ENERGIMINISTER
Page 141 and 142:
138 § 29. KLIMA- OG ENERGIMINISTER
Page 143 and 144:
140 STATENS DRIFTS- OG ANLÆGSREGNS
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
146 BAGGRUNDSOPLYSNINGER OM REVISIO
Page 151 and 152:
Page 153 and 154:
Page 155:
152 ORDLISTE Supplerende oplysning
show all

Hent beretningen her (pdf) - Rigsrevisionen

Transform your PDFs into Flipbooks and boost your revenue!

Hent beretningen her (pdf) - Rigsrevisionen

Transform your PDFs into Flipbooks and boost your revenue!

Delete template?

Save as template ?