Hent beretningen her (pdf) - Rigsrevisionen
Hent beretningen her (pdf) - Rigsrevisionen
Hent beretningen her (pdf) - Rigsrevisionen
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
44 STATSLIGE VIRKSOMHEDERS STYRING AF IT-SIKKERHEDEN EFTER OVERGANGEN TIL STATENS IT<br />
d. Et eksempel på god praksis for it-styring<br />
118. <strong>Rigsrevisionen</strong> vurderer, at Miljøministeriet positivt adskilte sig fra det samlede billede<br />
af virksomhedernes modenhed. Ministeriet havde igangsat et projekt om tilpasning af styringen<br />
af it-sikkerheden efter overgangen til Statens It. Projektet omfattede departementet og<br />
de underliggende virksomheder. Ministeriet havde haft drøftelser med et eksternt konsulentfirma<br />
og Statens It. Ministeriet havde foretaget en dataindsamling og analyse af de hidtidige<br />
it-arbejdsgange og it-roller i ministeriets virksomheder, afholdt workshopper og udarbejdet<br />
nye arbejdsgangs- og rollebeskrivelser, der involverede samarbejdet med Statens It.<br />
På tidspunktet for undersøgelsens gennemførelse forventede Miljøministeriet, at projektet<br />
ville være implementeret inden udgangen af 2012. <strong>Rigsrevisionen</strong> har derfor ikke efterprøvet,<br />
om de udarbejdede retningslinjer og procedurer blev fulgt. <strong>Rigsrevisionen</strong> vurderer, at<br />
det foreliggende materiale var et godt grundlag for ministeriets videre arbejde med at tilrettelægge<br />
en styring af it-sikkerheden.<br />
<strong>Rigsrevisionen</strong> finder følgende elementer positive i Miljøministeriets initiativ:<br />
Ministeriet havde fokus på at ændre den del af samarbejdet med Statens It, som ministeriet<br />
i henhold til kundeaftalen er ansvarlig for.<br />
Hele koncernens styring af it-sikkerheden blev inddraget.<br />
Statens It blev direkte involveret i tilrettelæggelsen af nye it-roller og it-processer.<br />
Ny styring blev tilrettelagt med udgangspunkt i kundeaftalen med Statens It.<br />
Miljøministeriet har i august 2012 oplyst, at projektet var afsluttet og overgået til drift, men<br />
at det ikke betød, at alle udarbejdede retningslinjer og procedurer følges fuldt ud i hele koncernen<br />
endnu.<br />
e. Statens It kan forbedre sin understøttelse af virksomhedernes styring af<br />
it-sikkerheden<br />
119. Når en virksomheds it-drift bliver overdraget til en driftsleverandør, medfører det, at<br />
opgaver vedrørende it-sikkerhed skal løses i et samspil mellem virksomheden og driftsleverandøren.<br />
Det er derfor vigtigt, at retningslinjer og procedurer i både virksomheden og i<br />
Statens It er tilstrækkeligt beskrevet, og at de understøtter opgavefordelingen.<br />
<strong>Rigsrevisionen</strong> undersøgte, om retningslinjer og procedurer i virksomhederne og i Statens It<br />
var beskrevet og tilrettelagt i overensstemmelse med dette krav.<br />
Statens It har haft interne overvejelser og har udarbejdet et internt oplæg med tilhørende<br />
vejledning, som beskriver opgavefordelingen mere detaljeret.<br />
<strong>Rigsrevisionen</strong> vurderer, at der fortsat er væsentlig uklarhed om opgavefordelingen mellem<br />
virksomhederne og Statens It. <strong>Rigsrevisionen</strong> gør opmærksom på, at det er virksomhederne,<br />
der har ansvaret for, at it-sikkerheden i og omkring systemer og data er tilfredsstillende.<br />
Virksomhederne bør derfor indgå i en tæt dialog med Statens It med henblik på at udarbejde<br />
retningslinjer og procedurer, der på sigt kan sikre en tilfredsstillende it-sikkerhed.<br />
<strong>Rigsrevisionen</strong> finder, at der vil være en væsentlig effektivisering og kvalitetsforbedring ved,<br />
at Statens It udarbejder vejledninger mv., som kan anvendes af de ca. 80 virksomheder, i<br />
stedet for, at hver enkelt virksomhed skal tilrettelægge sin egen styring, uden at have den<br />
nødvendige viden om driftscentrets processer.