Hent beretningen her (pdf) - Rigsrevisionen

More documents

Recommendations

Info

STATSLIGE VIRKSOMHEDERS STYRING AF IT-SIKKERHEDEN EFTER OVERGANGEN TIL STATENS IT 43 c. Eksempler på konsekvenser af manglende it-styring Utilstrækkelige beredskabsplaner 114. Undersøgelsen viste, at kun én af virksomhederne havde udarbejdet en tilfredsstillende beredskabsplan. Virksomhederne er ansvarlige for et betydeligt antal statslige it-systemer, som er fundamentet for de undersøgte ministeriers opgavevaretagelse, men virksomhederne havde generelt ikke opdateret beredskabsplanerne. Virksomhederne havde derfor ikke etableret et effektivt beredskab i tilfælde af en eventuel alvorlig nødsituation. Samtidig viste undersøgelsen, at virksomhederne i mange tilfælde ikke havde en tilfredsstillende styring af backup. Virksomhederne har derfor heller ikke i tilstrækkeligt omfang kendskab til, om systemer og data kan genskabes på grundlag af en backup, hvis uheldet indtræder, og beredskabet skal aktiveres. Persondata 115. Undersøgelsen viste, at virksomhederne ikke havde kendskab til, om persondata fortsat var beskyttet tilstrækkeligt. Virksomhederne har pligt til at sikre, at persondata beskyttes tilstrækkeligt, selv om data behandles og opbevares i Statens It. Det fremgik af kundeaftalen, at Statens It handlede på instruks fra kunden, og at Statens It på den baggrund skulle etablere den fornødne organisatoriske og tekniske sikkerhed i og omkring persondata. Det fremgår af bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (bekendtgørelse nr. 528 af 15. juni 2000), at den dataansvarlige myndighed skal træffe de fornødne tekniske og organisatoriske foranstaltninger til beskyttelse af persondata. Myndigheden skal desuden fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger til uddybning af bekendtgørelsens regler. Bestemmelserne skal omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. De interne bestemmelser skal gennemgås mindst én gang hvert år for at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden. 116. Revisionen viste, at virksomhederne havde udfyldt et regneark til Statens It, hvoraf det blandt andre oplysninger fremgik, hvilke systemer der indeholdt persondata. Ingen af virksomhederne havde imidlertid anmodet om at modtage en løbende rapportering fra Statens It, som viste, at beskyttelsen af persondata var tilstrækkelig. Statens It opfattede ikke regnearket som en instruks og havde derfor ikke truffet særlige foranstaltninger omkring persondata for nogen af kunderne ud over sikringsforanstaltninger, der var etableret inden overdragelsen til Statens It. Forhold omkring adgangsstyring, kontrol med autorisationer, logning, kryptering, transmission, destruktion af uddata mv. påvirkes, når data behandles hos en serviceleverandør. Rigsrevisionen finder derfor, at virksomhedernes instruks til Statens It burde være mere fyldestgørende end det fremsendte regneark. Rigsrevisionen finder til gengæld også, at Statens It kunne have reageret på det grundlag for at finde ud af, om der var behov for særlige sikringsforanstaltninger på baggrund af de væsentlige organisatoriske ændringer. 117. Datatilsynet har på grundlag af det fremsendte høringsudkast – og med forbehold for ikke at være bekendt med de undersøgte virksomheders høringssvar – vurderet, at Rigsrevisionens undersøgelse afdækker et behov for, at de virksomheder, der benytter Statens It som databehandler, i højere grad sikrer sig, at persondatalovens krav om sikkerhedsforanstaltninger overholdes hos databehandleren. Datatilsynet er derfor enig med Rigsrevisionen i, at virksomhederne i tæt dialog med Statens It bør udarbejde retningslinjer og procedurer, der medvirker til at sikre en tilfredsstillende it-sikkerhed i og omkring de anvendte systemer og data. Datatilsynet finder, at dette bør ske snarest.
44 STATSLIGE VIRKSOMHEDERS STYRING AF IT-SIKKERHEDEN EFTER OVERGANGEN TIL STATENS IT d. Et eksempel på god praksis for it-styring 118. Rigsrevisionen vurderer, at Miljøministeriet positivt adskilte sig fra det samlede billede af virksomhedernes modenhed. Ministeriet havde igangsat et projekt om tilpasning af styringen af it-sikkerheden efter overgangen til Statens It. Projektet omfattede departementet og de underliggende virksomheder. Ministeriet havde haft drøftelser med et eksternt konsulentfirma og Statens It. Ministeriet havde foretaget en dataindsamling og analyse af de hidtidige it-arbejdsgange og it-roller i ministeriets virksomheder, afholdt workshopper og udarbejdet nye arbejdsgangs- og rollebeskrivelser, der involverede samarbejdet med Statens It. På tidspunktet for undersøgelsens gennemførelse forventede Miljøministeriet, at projektet ville være implementeret inden udgangen af 2012. Rigsrevisionen har derfor ikke efterprøvet, om de udarbejdede retningslinjer og procedurer blev fulgt. Rigsrevisionen vurderer, at det foreliggende materiale var et godt grundlag for ministeriets videre arbejde med at tilrettelægge en styring af it-sikkerheden. Rigsrevisionen finder følgende elementer positive i Miljøministeriets initiativ: Ministeriet havde fokus på at ændre den del af samarbejdet med Statens It, som ministeriet i henhold til kundeaftalen er ansvarlig for. Hele koncernens styring af it-sikkerheden blev inddraget. Statens It blev direkte involveret i tilrettelæggelsen af nye it-roller og it-processer. Ny styring blev tilrettelagt med udgangspunkt i kundeaftalen med Statens It. Miljøministeriet har i august 2012 oplyst, at projektet var afsluttet og overgået til drift, men at det ikke betød, at alle udarbejdede retningslinjer og procedurer følges fuldt ud i hele koncernen endnu. e. Statens It kan forbedre sin understøttelse af virksomhedernes styring af it-sikkerheden 119. Når en virksomheds it-drift bliver overdraget til en driftsleverandør, medfører det, at opgaver vedrørende it-sikkerhed skal løses i et samspil mellem virksomheden og driftsleverandøren. Det er derfor vigtigt, at retningslinjer og procedurer i både virksomheden og i Statens It er tilstrækkeligt beskrevet, og at de understøtter opgavefordelingen. Rigsrevisionen undersøgte, om retningslinjer og procedurer i virksomhederne og i Statens It var beskrevet og tilrettelagt i overensstemmelse med dette krav. Statens It har haft interne overvejelser og har udarbejdet et internt oplæg med tilhørende vejledning, som beskriver opgavefordelingen mere detaljeret. Rigsrevisionen vurderer, at der fortsat er væsentlig uklarhed om opgavefordelingen mellem virksomhederne og Statens It. Rigsrevisionen gør opmærksom på, at det er virksomhederne, der har ansvaret for, at it-sikkerheden i og omkring systemer og data er tilfredsstillende. Virksomhederne bør derfor indgå i en tæt dialog med Statens It med henblik på at udarbejde retningslinjer og procedurer, der på sigt kan sikre en tilfredsstillende it-sikkerhed. Rigsrevisionen finder, at der vil være en væsentlig effektivisering og kvalitetsforbedring ved, at Statens It udarbejder vejledninger mv., som kan anvendes af de ca. 80 virksomheder, i stedet for, at hver enkelt virksomhed skal tilrettelægge sin egen styring, uden at have den nødvendige viden om driftscentrets processer.
Page 1 and 2: Beretning til Statsrevisorerne om r
Page 3 and 4: Rigsrevisionen afgiver denne beretn
Page 5 and 6: 2 ERKLÆRING OM STATSREGNSKABET I.
Page 7 and 8: 4 DE VÆSENTLIGSTE REVISIONSRESULTA
Page 13 and 14: 10 DE VÆSENTLIGSTE REVISIONSRESULT
Page 15 and 16: 12 STATUS FOR DEN STATSLIGE KONCERN
Page 27 and 28: 24 INDBETALING AF PENSIONSBIDRAG FO
Page 35 and 36: 32 STATUS FOR ØKONOMISERVICECENTER
Page 41 and 42: 38 STATSLIGE VIRKSOMHEDERS STYRING
Page 43 and 44: 40 STATSLIGE VIRKSOMHEDERS STYRING
Page 45: 42 STATSLIGE VIRKSOMHEDERS STYRING
Page 49 and 50: 46 A NSÆTTELSE OG AFLØNNING AF S
Page 55 and 56: 52 § 5. STATSMINISTERIET Tabel 3.
Page 57 and 58: 54 § 6. UDENRIGSMINISTERIET B. §
Page 59 and 60: 56 § 6. UDENRIGSMINISTERIET 146. V
Page 61 and 62: 58 § 6. UDENRIGSMINISTERIET Opføl
Page 63 and 64: 60 § 7. FINANSMINISTERIET Tabel 5.
Page 65 and 66: 62 § 7. FINANSMINISTERIET Manglend
Page 67 and 68: 64 § 7. FINANSMINISTERIET Utilstr
Page 69 and 70: 66 § 7. FINANSMINISTERIET Statens
Page 71 and 72: 68 § 8. ØKONOMI- OG ERHVERVSMINIS
Page 73 and 74: 70 § 8. ØKONOMI- OG ERHVERVSMINIS
Page 75 and 76: 72 § 9. SKATTEMINISTERIET Tabel 7.
Page 77 and 78: 74 § 9. SKATTEMINISTERIET Supplere
Page 79 and 80: 76 § 9. SKATTEMINISTERIET Opfølgn
Page 81 and 82: 78 § 11. JUSTITSMINISTERIET Tabel
Page 83 and 84: 80 § 11. JUSTITSMINISTERIET Opføl
Page 85 and 86: 82 § 12. FORSVARSMINISTERIET G. §
Page 87 and 88: 84 § 12. FORSVARSMINISTERIET Suppl
Page 89 and 90: 86 § 12. FORSVARSMINISTERIET Statu
Page 91 and 92: 88 § 15. SOCIALMINISTERIET Tabel 1
Page 93 and 94: 90 § 15. SOCIALMINISTERIET Rigsrev
Page 95 and 96: 92 § 16. INDENRIGS- OG SUNDHEDSMIN
Page 97 and 98:
94 § 16. INDENRIGS- OG SUNDHEDSMIN
Page 99 and 100:
96 § 16. INDENRIGS- OG SUNDHEDSMIN
Page 101 and 102:
98 § 17. BESKÆFTIGELSESMINISTERIE
Page 103 and 104:
100 § 18. MINISTERIET FOR FLYGTNIN
Page 105 and 106:
102 § 19. MINISTERIET FOR VIDENSKA
Page 107 and 108:
Page 109 and 110:
Page 111 and 112:
108 § 20. UNDERVISNINGSMINISTERIET
Page 113 and 114:
Page 115 and 116:
Page 117 and 118:
114 § 21. KULTURMINISTERIET N. §
Page 119 and 120:
116 § 21. KULTURMINISTERIET Finans
Page 121 and 122:
118 § 21. KULTURMINISTERIET Anbefa
Page 123 and 124:
120 § 22. KIRKEMINISTERIET 273. I
Page 125 and 126:
122 § 23. MILJØMINISTERIET Tabel
Page 127 and 128:
124 § 23. MILJØMINISTERIET 286. I
Page 129 and 130:
126 § 24. MINISTERIET FOR FØDEVAR
Page 131 and 132:
128 § 24. MINISTERIET FOR FØDEVAR
Page 133 and 134:
130 § 28. TRANSPORTMINISTERIET R.
Page 135 and 136:
132 § 28. TRANSPORTMINISTERIET EU
Page 137 and 138:
134 § 28. TRANSPORTMINISTERIET Opf
Page 139 and 140:
136 § 29. KLIMA- OG ENERGIMINISTER
Page 141 and 142:
138 § 29. KLIMA- OG ENERGIMINISTER
Page 143 and 144:
140 STATENS DRIFTS- OG ANLÆGSREGNS
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
146 BAGGRUNDSOPLYSNINGER OM REVISIO
Page 151 and 152:
Page 153 and 154:
Page 155:
152 ORDLISTE Supplerende oplysning
show all

Hent beretningen her (pdf) - Rigsrevisionen

Create successful ePaper yourself

Delete template?

Save as template?