Hent beretningen her (pdf) - Rigsrevisionen
Hent beretningen her (pdf) - Rigsrevisionen
Hent beretningen her (pdf) - Rigsrevisionen
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
STATSLIGE VIRKSOMHEDERS STYRING AF IT-SIKKERHEDEN EFTER OVERGANGEN TIL STATENS IT 41<br />
Sikkerhedshændelser<br />
110. <strong>Rigsrevisionen</strong> undersøgte, om der var udarbejdet retningslinjer og procedurer, som<br />
beskrev, hvordan sikkerhedshændelser, som involverede Statens It, skulle håndteres.<br />
Én virksomhed havde opdaterede retningslinjer og procedurer for håndteringen af sikkerhedshændelser,<br />
hvor opgavefordelingen mellem virksomheden og Statens It var indarbejdet.<br />
3 virksomheder var nået langt med at beskrive opgavefordelingen og implementere retningslinjer<br />
og procedurer for sikkerhedshændelser.<br />
Nogle virksomheder havde ældre retningslinjer og procedurer for håndtering af sikkerhedshændelser,<br />
som delvist kunne finde anvendelse.<br />
De fleste virksomheder havde ikke opdaterede retningslinjer mv., selv om det var <strong>Rigsrevisionen</strong>s<br />
vurdering, at der var behov for en opdatering efter overgangen til Statens It.<br />
Beredskabsplan<br />
111. <strong>Rigsrevisionen</strong> undersøgte, om virksomhederne havde en organisatorisk beredskabsplan<br />
med tilhørende retningslinjer og procedurer, der sikrede en styring og koordination af<br />
beredskabet i virksomheden og i Statens It.<br />
<strong>Rigsrevisionen</strong> konstaterede, at kun én virksomhed havde udarbejdet en tilfredsstillende og<br />
opdateret beredskabsplan.<br />
Ingen af de øvrige virksomheder havde udarbejdet opdaterede beredskabsplaner samt retningslinjer<br />
og procedurer, der sikrede en styring og koordination af beredskabet i virksomheden<br />
og i Statens It.<br />
Generel sikkerhed<br />
112. <strong>Rigsrevisionen</strong> undersøgte, om virksomhederne havde meddelt Statens It deres ønsker<br />
til rapportering om den generelle it-sikkerhed.<br />
Virksomhederne har ansvaret for, at deres fagsystemer og data behandles sikkerhedsmæssigt<br />
forsvarligt. Virksomhederne bør derfor løbende modtage en rapportering om it-sikkerheden<br />
i og omkring de systemer og data, som virksomhederne ikke selv kontrollerer.<br />
Krav til rapporteringen fra Statens It kan fx omfatte kontrollerne i Statens It vedrørende backup/restore,<br />
resultat af test vedrørende sikkerhed mod hackerangreb, opfølgning på, hvem<br />
der har haft adgang til virksomhedernes data og systemer, virusbeskyttelsens effektivitet mv.<br />
<strong>Rigsrevisionen</strong> undersøgte, om virksomhederne havde vurderet, om det var nødvendigt<br />
med en supplerende rapportering ud over det, der var beskrevet i kundeaftalen med Statens<br />
It.<br />
Det fremgik under interviewene, at de fleste af virksomhederne havde overvejet behovet<br />
for supplerende rapportering fra Statens It. De fleste virksomheder kunne også dokumentere,<br />
at generelle sikkerhedsspørgsmål og serviceniveauet ved flere lejligheder havde været<br />
drøftet med Statens It.<br />
Ingen af virksomhederne kunne dokumentere, at de systematisk havde overvejet behovet<br />
for supplerende information om it-sikkerheden fra Statens It, og at dette var meddelt Statens<br />
It.<br />
Sikkerhedshændelser<br />
er fx hackerangreb, eller<br />
hvis en medarbejder<br />
videregiver fortrolige<br />
oplysninger.