Hent beretningen her (pdf) - Rigsrevisionen
Hent beretningen her (pdf) - Rigsrevisionen
Hent beretningen her (pdf) - Rigsrevisionen
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
STATSLIGE VIRKSOMHEDERS STYRING AF IT-SIKKERHEDEN EFTER OVERGANGEN TIL STATENS IT 39<br />
Afgrænsning og metode<br />
102. Undersøgelsen var afgrænset til retningslinjer og procedurer inden for områderne risikovurdering,<br />
sikkerhedspolitik, system- og dataejere, ændringsstyring, backup, sikkerhedshændelser,<br />
beredskabsplan og generel sikkerhed.<br />
Ved deling af ansvar og opgaver på 2 organisationer er der en risiko for, at nogle opgaver<br />
ikke løses. <strong>Rigsrevisionen</strong> undersøgte modenheden i retningslinjer og procedurer, hvor begge<br />
parter skal udføre en del af en samlet opgave, og hvor parterne er gensidigt afhængige<br />
af hinanden.<br />
Virksomhedernes modenhed blev vurderet for hvert område på grundlag af en modenhedsskala<br />
fra 1 til 5, jf. pkt. 113.<br />
<strong>Rigsrevisionen</strong> opstillede 1-6 kontrolmål for hvert område. Ét af kontrolmålene under system-<br />
og dataejernes opgaver og ansvar omfattede fx Statens It’s behandling af persondata. Det<br />
var et krav, at der skulle foreligge en instruks fra virksomheden til Statens It om, hvordan disse<br />
data skal beskyttes.<br />
103. Følgende 14 virksomheder indgik i undersøgelsen:<br />
§ 7. Finansministeriet<br />
Digitaliseringsstyrelsen<br />
Moderniseringsstyrelsen<br />
Statens Administration.<br />
§ 8. Erhvervs- og Vækstministeriet<br />
Departementet<br />
Finanstilsynet<br />
Søfartsstyrelsen.<br />
§ 17. Beskæftigelsesministeriet<br />
Arbejdstilsynet.<br />
§ 19. Ministeriet for Forskning, Innovation og Videregående Uddannelser<br />
Departementet.<br />
§ 21. Kulturministeriet<br />
Danmarks Kunstbibliotek<br />
Den Hirschsprungske Samling.<br />
§ 23. Miljøministeriet<br />
Departementet<br />
Miljøstyrelsen<br />
Kort- og Matrikelstyrelsen.<br />
§ 29. Klima-, Energi- og Bygningsministeriet<br />
Energistyrelsen.<br />
Virksomhederne blev valgt, så de repræsenterede et bredt udsnit af kunderne. <strong>Rigsrevisionen</strong><br />
har bl.a. tilstræbt, at både små og større virksomheder var repræsenteret i undersøgelsen.<br />
104. <strong>Rigsrevisionen</strong> gennemførte i januar og februar 2012 interviews med virksomhedernes<br />
ansvarlige for it-sikkerhed, <strong>her</strong>under it-chefer og it-sikkerhedskoordinatorer mv. <strong>Rigsrevisionen</strong><br />
havde forud for møderne anmodet virksomhederne om materiale, der dokumenterede<br />
opgaver og ansvar på områderne.<br />
Et ledelsessystem for<br />
it-sikkerhed understøtter<br />
en ledelsesforankret,forretningsorienteret<br />
og risikovurderingsbaseret<br />
tilgang til<br />
it-sikkerhed.