Hent beretningen her (pdf) - Rigsrevisionen

More documents

Recommendations

Info

STATSLIGE VIRKSOMHEDERS STYRING AF IT-SIKKERHEDEN EFTER OVERGANGEN TIL STATENS IT 41 Sikkerhedshændelser 110. Rigsrevisionen undersøgte, om der var udarbejdet retningslinjer og procedurer, som beskrev, hvordan sikkerhedshændelser, som involverede Statens It, skulle håndteres. Én virksomhed havde opdaterede retningslinjer og procedurer for håndteringen af sikkerhedshændelser, hvor opgavefordelingen mellem virksomheden og Statens It var indarbejdet. 3 virksomheder var nået langt med at beskrive opgavefordelingen og implementere retningslinjer og procedurer for sikkerhedshændelser. Nogle virksomheder havde ældre retningslinjer og procedurer for håndtering af sikkerhedshændelser, som delvist kunne finde anvendelse. De fleste virksomheder havde ikke opdaterede retningslinjer mv., selv om det var Rigsrevisionens vurdering, at der var behov for en opdatering efter overgangen til Statens It. Beredskabsplan 111. Rigsrevisionen undersøgte, om virksomhederne havde en organisatorisk beredskabsplan med tilhørende retningslinjer og procedurer, der sikrede en styring og koordination af beredskabet i virksomheden og i Statens It. Rigsrevisionen konstaterede, at kun én virksomhed havde udarbejdet en tilfredsstillende og opdateret beredskabsplan. Ingen af de øvrige virksomheder havde udarbejdet opdaterede beredskabsplaner samt retningslinjer og procedurer, der sikrede en styring og koordination af beredskabet i virksomheden og i Statens It. Generel sikkerhed 112. Rigsrevisionen undersøgte, om virksomhederne havde meddelt Statens It deres ønsker til rapportering om den generelle it-sikkerhed. Virksomhederne har ansvaret for, at deres fagsystemer og data behandles sikkerhedsmæssigt forsvarligt. Virksomhederne bør derfor løbende modtage en rapportering om it-sikkerheden i og omkring de systemer og data, som virksomhederne ikke selv kontrollerer. Krav til rapporteringen fra Statens It kan fx omfatte kontrollerne i Statens It vedrørende backup/restore, resultat af test vedrørende sikkerhed mod hackerangreb, opfølgning på, hvem der har haft adgang til virksomhedernes data og systemer, virusbeskyttelsens effektivitet mv. Rigsrevisionen undersøgte, om virksomhederne havde vurderet, om det var nødvendigt med en supplerende rapportering ud over det, der var beskrevet i kundeaftalen med Statens It. Det fremgik under interviewene, at de fleste af virksomhederne havde overvejet behovet for supplerende rapportering fra Statens It. De fleste virksomheder kunne også dokumentere, at generelle sikkerhedsspørgsmål og serviceniveauet ved flere lejligheder havde været drøftet med Statens It. Ingen af virksomhederne kunne dokumentere, at de systematisk havde overvejet behovet for supplerende information om it-sikkerheden fra Statens It, og at dette var meddelt Statens It. Sikkerhedshændelser er fx hackerangreb, eller hvis en medarbejder videregiver fortrolige oplysninger.
42 STATSLIGE VIRKSOMHEDERS STYRING AF IT-SIKKERHEDEN EFTER OVERGANGEN TIL STATENS IT Vurdering af modenheden af styringen af it-sikkerheden 113. Modenheden i retningslinjer og procedurer for hvert område blev vurderet med udgangspunkt i følgende modenhedsskala fra 1 til 5: 1. Opgaver løses usystematisk, ad hoc og dokumenteres ikke. 2. Opgaver løses systematisk og erfaringsbaseret, men dokumenteres ikke. 3. Retningslinjer og procedurer for opgaver er definerede og implementerede, og udførelsen dokumenteres. 4. Retningslinjer og procedurer for opgaver er definerede, implementerede og dokumenterede, og virksomheden følger løbende op på, om de overholdes i praksis. 5. Retningslinjer og procedurer er på plads, og virksomheden har fokus på løbende at foretage forbedringer og optimere disse. Rigsrevisionens vurdering af modenheden af styringen af it-sikkerheden fremgår af tabel 2. Tabel 2. Rigsrevisionens vurdering af modenheden (gennemsnit for de 14 virksomheder Område Rigsrevisionens vurdering Risikovurdering 3,4 Sikkerhedspolitik 2,9 System- og dataejere 2,0 Ændringsstyring 2,3 Backup 1,9 Sikkerhedshændelser 2,6 Beredskabsplan 2,0 Generel sikkerhed 1,9 Tabel 2 viser, at gennemsnittet for modenheden på de fleste områder er væsentligt under 3. Det indebærer, at virksomhederne som hovedregel ikke havde beskrevet retningslinjer og procedurer for opgaverne, og at væsentlige kontroller ikke blev udført og dokumenteret. Rigsrevisionen anser det for at være god praksis, at retningslinjer og procedurer er definerede, implementerede og dokumenterede, og at virksomhederne følger op på, om de overholdes i praksis. Rigsrevisionen havde derfor forventet, at bedømmelsen af modenhed for hvert område ville ligge på ca. 4 i gennemsnit. Undersøgelsen viste et relativt ensartet mønster på tværs af virksomhederne. Der var ikke væsentlige forskelle på store og små virksomheder og heller ikke mellem ministerområderne. Et enkelt ministerområde adskilte sig dog ved at have gennemført et omfattende projekt om styringen af Statens It som serviceleverandør. På tidspunktet for revisionens gennemførelse var projektet imidlertid ikke implementeret, hvilket var kriteriet for at opnå en vurdering på 3 eller højere. Rigsrevisionen vurderer på den baggrund, at ingen af virksomhederne havde opbygget et ledelsessystem, der kunne medvirke til at sikre en tilfredsstillende styring af it-sikkerheden efter overgangen til Statens It.
Page 1 and 2: Beretning til Statsrevisorerne om r
Page 3 and 4: Rigsrevisionen afgiver denne beretn
Page 5 and 6: 2 ERKLÆRING OM STATSREGNSKABET I.
Page 7 and 8: 4 DE VÆSENTLIGSTE REVISIONSRESULTA
Page 13 and 14: 10 DE VÆSENTLIGSTE REVISIONSRESULT
Page 15 and 16: 12 STATUS FOR DEN STATSLIGE KONCERN
Page 27 and 28: 24 INDBETALING AF PENSIONSBIDRAG FO
Page 35 and 36: 32 STATUS FOR ØKONOMISERVICECENTER
Page 41 and 42: 38 STATSLIGE VIRKSOMHEDERS STYRING
Page 43: 40 STATSLIGE VIRKSOMHEDERS STYRING
Page 47 and 48: 44 STATSLIGE VIRKSOMHEDERS STYRING
Page 49 and 50: 46 A NSÆTTELSE OG AFLØNNING AF S
Page 55 and 56: 52 § 5. STATSMINISTERIET Tabel 3.
Page 57 and 58: 54 § 6. UDENRIGSMINISTERIET B. §
Page 59 and 60: 56 § 6. UDENRIGSMINISTERIET 146. V
Page 61 and 62: 58 § 6. UDENRIGSMINISTERIET Opføl
Page 63 and 64: 60 § 7. FINANSMINISTERIET Tabel 5.
Page 65 and 66: 62 § 7. FINANSMINISTERIET Manglend
Page 67 and 68: 64 § 7. FINANSMINISTERIET Utilstr
Page 69 and 70: 66 § 7. FINANSMINISTERIET Statens
Page 71 and 72: 68 § 8. ØKONOMI- OG ERHVERVSMINIS
Page 73 and 74: 70 § 8. ØKONOMI- OG ERHVERVSMINIS
Page 75 and 76: 72 § 9. SKATTEMINISTERIET Tabel 7.
Page 77 and 78: 74 § 9. SKATTEMINISTERIET Supplere
Page 79 and 80: 76 § 9. SKATTEMINISTERIET Opfølgn
Page 81 and 82: 78 § 11. JUSTITSMINISTERIET Tabel
Page 83 and 84: 80 § 11. JUSTITSMINISTERIET Opføl
Page 85 and 86: 82 § 12. FORSVARSMINISTERIET G. §
Page 87 and 88: 84 § 12. FORSVARSMINISTERIET Suppl
Page 89 and 90: 86 § 12. FORSVARSMINISTERIET Statu
Page 91 and 92: 88 § 15. SOCIALMINISTERIET Tabel 1
Page 93 and 94: 90 § 15. SOCIALMINISTERIET Rigsrev
Page 95 and 96:
92 § 16. INDENRIGS- OG SUNDHEDSMIN
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
98 § 17. BESKÆFTIGELSESMINISTERIE
Page 103 and 104:
100 § 18. MINISTERIET FOR FLYGTNIN
Page 105 and 106:
102 § 19. MINISTERIET FOR VIDENSKA
Page 107 and 108:
Page 109 and 110:
Page 111 and 112:
108 § 20. UNDERVISNINGSMINISTERIET
Page 113 and 114:
Page 115 and 116:
Page 117 and 118:
114 § 21. KULTURMINISTERIET N. §
Page 119 and 120:
116 § 21. KULTURMINISTERIET Finans
Page 121 and 122:
118 § 21. KULTURMINISTERIET Anbefa
Page 123 and 124:
120 § 22. KIRKEMINISTERIET 273. I
Page 125 and 126:
122 § 23. MILJØMINISTERIET Tabel
Page 127 and 128:
124 § 23. MILJØMINISTERIET 286. I
Page 129 and 130:
126 § 24. MINISTERIET FOR FØDEVAR
Page 131 and 132:
128 § 24. MINISTERIET FOR FØDEVAR
Page 133 and 134:
130 § 28. TRANSPORTMINISTERIET R.
Page 135 and 136:
132 § 28. TRANSPORTMINISTERIET EU
Page 137 and 138:
134 § 28. TRANSPORTMINISTERIET Opf
Page 139 and 140:
136 § 29. KLIMA- OG ENERGIMINISTER
Page 141 and 142:
138 § 29. KLIMA- OG ENERGIMINISTER
Page 143 and 144:
140 STATENS DRIFTS- OG ANLÆGSREGNS
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
146 BAGGRUNDSOPLYSNINGER OM REVISIO
Page 151 and 152:
Page 153 and 154:
Page 155:
152 ORDLISTE Supplerende oplysning
show all

Hent beretningen her (pdf) - Rigsrevisionen

Create successful ePaper yourself

Delete template?

Save as template?