17.07.2013 Views

Hent beretningen her (pdf) - Rigsrevisionen

Hent beretningen her (pdf) - Rigsrevisionen

Hent beretningen her (pdf) - Rigsrevisionen

SHOW MORE
SHOW LESS

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

STATSLIGE VIRKSOMHEDERS STYRING AF IT-SIKKERHEDEN EFTER OVERGANGEN TIL STATENS IT 41<br />

Sikkerhedshændelser<br />

110. <strong>Rigsrevisionen</strong> undersøgte, om der var udarbejdet retningslinjer og procedurer, som<br />

beskrev, hvordan sikkerhedshændelser, som involverede Statens It, skulle håndteres.<br />

Én virksomhed havde opdaterede retningslinjer og procedurer for håndteringen af sikkerhedshændelser,<br />

hvor opgavefordelingen mellem virksomheden og Statens It var indarbejdet.<br />

3 virksomheder var nået langt med at beskrive opgavefordelingen og implementere retningslinjer<br />

og procedurer for sikkerhedshændelser.<br />

Nogle virksomheder havde ældre retningslinjer og procedurer for håndtering af sikkerhedshændelser,<br />

som delvist kunne finde anvendelse.<br />

De fleste virksomheder havde ikke opdaterede retningslinjer mv., selv om det var <strong>Rigsrevisionen</strong>s<br />

vurdering, at der var behov for en opdatering efter overgangen til Statens It.<br />

Beredskabsplan<br />

111. <strong>Rigsrevisionen</strong> undersøgte, om virksomhederne havde en organisatorisk beredskabsplan<br />

med tilhørende retningslinjer og procedurer, der sikrede en styring og koordination af<br />

beredskabet i virksomheden og i Statens It.<br />

<strong>Rigsrevisionen</strong> konstaterede, at kun én virksomhed havde udarbejdet en tilfredsstillende og<br />

opdateret beredskabsplan.<br />

Ingen af de øvrige virksomheder havde udarbejdet opdaterede beredskabsplaner samt retningslinjer<br />

og procedurer, der sikrede en styring og koordination af beredskabet i virksomheden<br />

og i Statens It.<br />

Generel sikkerhed<br />

112. <strong>Rigsrevisionen</strong> undersøgte, om virksomhederne havde meddelt Statens It deres ønsker<br />

til rapportering om den generelle it-sikkerhed.<br />

Virksomhederne har ansvaret for, at deres fagsystemer og data behandles sikkerhedsmæssigt<br />

forsvarligt. Virksomhederne bør derfor løbende modtage en rapportering om it-sikkerheden<br />

i og omkring de systemer og data, som virksomhederne ikke selv kontrollerer.<br />

Krav til rapporteringen fra Statens It kan fx omfatte kontrollerne i Statens It vedrørende backup/restore,<br />

resultat af test vedrørende sikkerhed mod hackerangreb, opfølgning på, hvem<br />

der har haft adgang til virksomhedernes data og systemer, virusbeskyttelsens effektivitet mv.<br />

<strong>Rigsrevisionen</strong> undersøgte, om virksomhederne havde vurderet, om det var nødvendigt<br />

med en supplerende rapportering ud over det, der var beskrevet i kundeaftalen med Statens<br />

It.<br />

Det fremgik under interviewene, at de fleste af virksomhederne havde overvejet behovet<br />

for supplerende rapportering fra Statens It. De fleste virksomheder kunne også dokumentere,<br />

at generelle sikkerhedsspørgsmål og serviceniveauet ved flere lejligheder havde været<br />

drøftet med Statens It.<br />

Ingen af virksomhederne kunne dokumentere, at de systematisk havde overvejet behovet<br />

for supplerende information om it-sikkerheden fra Statens It, og at dette var meddelt Statens<br />

It.<br />

Sikkerhedshændelser<br />

er fx hackerangreb, eller<br />

hvis en medarbejder<br />

videregiver fortrolige<br />

oplysninger.

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!