STATSLIGE VIRKSOMHEDERS S

More Magazines

Recommendations

Info

STATSLIGE VIRKSOMHEDERS STYRING AF IT-SIKKERHEDEN EFTER OVERGANGEN TIL STATENS IT 39 Afgrænsning og metode 102. Undersøgelsen var afgrænset til retningslinjer og procedurer inden for områderne risikovurdering, sikkerhedspolitik, system- og dataejere, ændringsstyring, backup, sikkerhedshændelser, beredskabsplan og generel sikkerhed. Ved deling af ansvar og opgaver på 2 organisationer er der en risiko for, at nogle opgaver ikke løses. Rigsrevisionen undersøgte modenheden i retningslinjer og procedurer, hvor begge parter skal udføre en del af en samlet opgave, og hvor parterne er gensidigt afhængige af hinanden. Virksomhedernes modenhed blev vurderet for hvert område på grundlag af en modenhedsskala fra 1 til 5, jf. pkt. 113. Rigsrevisionen opstillede 1-6 kontrolmål for hvert område. Ét af kontrolmålene under system- og dataejernes opgaver og ansvar omfattede fx Statens It’s behandling af persondata. Det var et krav, at der skulle foreligge en instruks fra virksomheden til Statens It om, hvordan disse data skal beskyttes. 103. Følgende 14 virksomheder indgik i undersøgelsen: § 7. Finansministeriet Digitaliseringsstyrelsen Moderniseringsstyrelsen Statens Administration. § 8. Erhvervs- og Vækstministeriet Departementet Finanstilsynet Søfartsstyrelsen. § 17. Beskæftigelsesministeriet Arbejdstilsynet. § 19. Ministeriet for Forskning, Innovation og Videregående Uddannelser Departementet. § 21. Kulturministeriet Danmarks Kunstbibliotek Den Hirschsprungske Samling. § 23. Miljøministeriet Departementet Miljøstyrelsen Kort- og Matrikelstyrelsen. § 29. Klima-, Energi- og Bygningsministeriet Energistyrelsen. Virksomhederne blev valgt, så de repræsenterede et bredt udsnit af kunderne. Rigsrevisionen har bl.a. tilstræbt, at både små og større virksomheder var repræsenteret i undersøgelsen. 104. Rigsrevisionen gennemførte i januar og februar 2012 interviews med virksomhedernes ansvarlige for it-sikkerhed, herunder it-chefer og it-sikkerhedskoordinatorer mv. Rigsrevisionen havde forud for møderne anmodet virksomhederne om materiale, der dokumenterede opgaver og ansvar på områderne. Et ledelsessystem for it-sikkerhed understøtter en ledelsesforankret,forretningsorienteret og risikovurderingsbaseret tilgang til it-sikkerhed.
40 STATSLIGE VIRKSOMHEDERS STYRING AF IT-SIKKERHEDEN EFTER OVERGANGEN TIL STATENS IT Ved risikovurderingen vurderer virksomheden, hvilke systemer der er forretningskritiske, og som virksomheden skal beskytte med konkrete sikkerhedsforanstaltninger. Systemejers opgaver og ansvar omfatter fx: overholdelse af itsikkerhedspolitik og lovgivning systemunderstøttelse af forretningen klassifikation af systemer og data brugeradministration funktionsadskillelse krav til systemdokumentation,driftssikkerhed og beredskab brugeruddannelse. Dataejers opgaver og ansvar omfatter fx: anmeldelse af systemer med persondata til Datatilsynet sikring af fuldstændige, nøjagtige og godkendte data styring af brugeradgang til data. b. Virksomhederne havde ikke en tilstrækkelig styring af it-sikkerheden 105. Undersøgelsens resultater for hvert delområde er gengivet i det følgende. Risikovurdering og sikkerhedspolitik 106. Rigsrevisionen undersøgte, om virksomhederne havde udarbejdet en risikovurdering af alle væsentlige systemer og data, hvor driften var overdraget til Statens It. Vi undersøgte endvidere, om virksomhederne havde en skriftlig, opdateret sikkerhedspolitik, hvor samarbejdet med Statens It var beskrevet relevante steder i politikken. De fleste virksomheder havde udarbejdet en sikkerhedspolitik, som var opdateret. Virksomhedernes sikkerhedspolitik var som oftest udarbejdet med udgangspunkt i de gennemførte risikoanalyser og -vurderinger. System- og dataejere 107. Rigsrevisionen undersøgte, om virksomhederne internt havde defineret system- og dataejeres opgaver og ansvar, og om det fremgik af retningslinjer og procedurer, hvordan opgavefordelingen var fastlagt mellem Statens It og virksomheden. Undersøgelsen viste, at 3 ud af 14 virksomheder havde beskrevet opgavefordelingen og havde påbegyndt implementeringen heraf. 11 virksomheder havde ikke gennemført en tilfredsstillende opdatering af retningslinjer og procedurer for system- og dataejere. Etableringen af Statens It medførte ofte, at praksis blev justeret, men justeringerne blev ikke konsekvensrettet i retningslinjerne. Det gælder bl.a. kontrol af adgangsrettigheder, håndtering af persondata, funktionsadskillelse og systemdokumentation. Ændringsstyring 108. Rigsrevisionen undersøgte, om virksomhederne havde udarbejdet retningslinjer og procedurer for ændringsstyring af deres væsentligste fagsystemer, som var i drift i Statens It. Rigsrevisionen undersøgte endvidere, om der var procedurer, som beskrev, hvordan systemer skulle overdrages fra test til produktion, dvs. en beskrivelse af, hvordan systemet skulle overgå til drift i Statens It. Undersøgelsen viste, at 3 virksomheder havde beskrevet opgavefordelingen og havde påbegyndt implementeringen af dokumenterede retningslinjer og procedurer for ændringsstyring. Endvidere viste undersøgelsen, at ingen af virksomhederne havde en tilfredsstillende dokumentation af de kontroller, virksomhederne udførte i forbindelse med ændringsstyring. Mangler i ændringsstyringerne medfører risiko for nedbrud i it-driften, tab af data og økonomiske tab. Backup 109. Rigsrevisionen undersøgte, om væsentligheden af virksomhedernes systemer og data samt afledte krav til backup var beskrevet, og om kravene var meddelt Statens It. Undersøgelsen viste, at virksomhederne havde overdraget viden om og dokumentation for, hvad Statens It skulle tage backup af, men at dokumentationen ikke var vedligeholdt tilstrækkeligt ved efterfølgende ændringer. Nogle virksomheder havde fulgt op på, om Statens It foretog backup som aftalt. Det var fx tilfældet i en virksomhed, hvor data ikke kunne genskabes på baggrund af mangelfuld backup. Ingen af virksomhederne havde en sammenhængende og opdateret dokumentation for retningslinjer og procedurer, der skulle følges, og som beskrev, hvad der skulle tages backup af.
Page 1 and 2: Beretning til Statsrevisorerne om r
Page 3 and 4: Rigsrevisionen afgiver denne beretn
Page 5 and 6: 2 ERKLÆRING OM STATSREGNSKABET I.
Page 7 and 8: 4 DE VÆSENTLIGSTE REVISIONSRESULTA
Page 13 and 14: 10 DE VÆSENTLIGSTE REVISIONSRESULT
Page 15 and 16: 12 STATUS FOR DEN STATSLIGE KONCERN
Page 27 and 28: 24 INDBETALING AF PENSIONSBIDRAG FO
Page 35 and 36: 32 STATUS FOR ØKONOMISERVICECENTER
Page 41: 38 STATSLIGE VIRKSOMHEDERS STYRING
Page 45 and 46: 42 STATSLIGE VIRKSOMHEDERS STYRING
Page 47 and 48: 44 STATSLIGE VIRKSOMHEDERS STYRING
Page 49 and 50: 46 A NSÆTTELSE OG AFLØNNING AF S
Page 55 and 56: 52 § 5. STATSMINISTERIET Tabel 3.
Page 57 and 58: 54 § 6. UDENRIGSMINISTERIET B. §
Page 59 and 60: 56 § 6. UDENRIGSMINISTERIET 146. V
Page 61 and 62: 58 § 6. UDENRIGSMINISTERIET Opføl
Page 63 and 64: 60 § 7. FINANSMINISTERIET Tabel 5.
Page 65 and 66: 62 § 7. FINANSMINISTERIET Manglend
Page 67 and 68: 64 § 7. FINANSMINISTERIET Utilstr
Page 69 and 70: 66 § 7. FINANSMINISTERIET Statens
Page 71 and 72: 68 § 8. ØKONOMI- OG ERHVERVSMINIS
Page 73 and 74: 70 § 8. ØKONOMI- OG ERHVERVSMINIS
Page 75 and 76: 72 § 9. SKATTEMINISTERIET Tabel 7.
Page 77 and 78: 74 § 9. SKATTEMINISTERIET Supplere
Page 79 and 80: 76 § 9. SKATTEMINISTERIET Opfølgn
Page 81 and 82: 78 § 11. JUSTITSMINISTERIET Tabel
Page 83 and 84: 80 § 11. JUSTITSMINISTERIET Opføl
Page 85 and 86: 82 § 12. FORSVARSMINISTERIET G. §
Page 87 and 88: 84 § 12. FORSVARSMINISTERIET Suppl
Page 89 and 90: 86 § 12. FORSVARSMINISTERIET Statu
Page 91 and 92: 88 § 15. SOCIALMINISTERIET Tabel 1
Page 93 and 94:
90 § 15. SOCIALMINISTERIET Rigsrev
Page 95 and 96:
92 § 16. INDENRIGS- OG SUNDHEDSMIN
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
98 § 17. BESKÆFTIGELSESMINISTERIE
Page 103 and 104:
100 § 18. MINISTERIET FOR FLYGTNIN
Page 105 and 106:
102 § 19. MINISTERIET FOR VIDENSKA
Page 107 and 108:
Page 109 and 110:
Page 111 and 112:
108 § 20. UNDERVISNINGSMINISTERIET
Page 113 and 114:
Page 115 and 116:
Page 117 and 118:
114 § 21. KULTURMINISTERIET N. §
Page 119 and 120:
116 § 21. KULTURMINISTERIET Finans
Page 121 and 122:
118 § 21. KULTURMINISTERIET Anbefa
Page 123 and 124:
120 § 22. KIRKEMINISTERIET 273. I
Page 125 and 126:
122 § 23. MILJØMINISTERIET Tabel
Page 127 and 128:
124 § 23. MILJØMINISTERIET 286. I
Page 129 and 130:
126 § 24. MINISTERIET FOR FØDEVAR
Page 131 and 132:
128 § 24. MINISTERIET FOR FØDEVAR
Page 133 and 134:
130 § 28. TRANSPORTMINISTERIET R.
Page 135 and 136:
132 § 28. TRANSPORTMINISTERIET EU
Page 137 and 138:
134 § 28. TRANSPORTMINISTERIET Opf
Page 139 and 140:
136 § 29. KLIMA- OG ENERGIMINISTER
Page 141 and 142:
138 § 29. KLIMA- OG ENERGIMINISTER
Page 143 and 144:
140 STATENS DRIFTS- OG ANLÆGSREGNS
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
146 BAGGRUNDSOPLYSNINGER OM REVISIO
Page 151 and 152:
Page 153 and 154:
Page 155:
152 ORDLISTE Supplerende oplysning
show all

Hent beretningen her (pdf) - Rigsrevisionen

Transform your PDFs into Flipbooks and boost your revenue!

Hent beretningen her (pdf) - Rigsrevisionen

Transform your PDFs into Flipbooks and boost your revenue!

Delete template?

Save as template ?