Inventering av kompetensbehov m.m. inom informationssäkerhet i offentlig sektor

Relevanta dokument
Organisation, roller och attityder resultat från en enkät om upphandlingens strategiska betydelse

Attityder till skattesystemet och skattemyndigheten

Ansvarsutövande: Kommunstyrelsen Sundsvalls kommun

Beslut - enkätundersökningen LUPP 2013

Formellt skydd av natur - undersökning av markägares upplevelser av myndigheternas arbete

Enkätundersökning ekonomiskt bistånd

3 Gäldenärernas attityder till KFM

Kommunernas arbete med psykisk hälsa bland personalen

Brukarundersökning Individ- och familjeomsorgen Introduktionsenheten

Utan kvalificerat administrativt stöd utarmas verksamheterna

Rapport enkätresultat 2016 Gymnasieskola

Tillsynssamverkan i Halland - Miljö

Studenters tankar om existentiella frågor

Brukarundersökning. Najaden socialförvaltningens öppna missbruksvård. Juni 2006

Företagarens vardag 2014

Arbetsmiljöverket Osund konkurrens 2017 Utländska arbetsgivare. Arbetsmiljöverket, Osund konkurrens 2017

Utvärdering för projektdeltagare

Kundundersökning för Ljungby kommun miljö-och byggförvaltning Lisa Eriksson, studentmedarbetare

Vård- och omsorgsförvaltningen. Brukarnas upplevelser av sin personliga assistans i Lund

SVENSKAR I VÄRLDENS ENKÄTUNDERSÖKNING

Sammanställning - enkätundersökning av livsmedelssektorns krisberedskapsförmåga

Arbetsmiljöverket Osund konkurrens 2016 Svenska arbetstagare. Arbetsmiljöverket, Osund konkurrens 2016_Svenska arbetstagare

Välkommen till enkäten!

Vårdbarometern. Olika befolkningsgruppers uppfattningar om tillgång till hälso- och sjukvård och jämlik vård i Västra Götalandsregionen

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

ATTITYDER TILL ENTREPRENÖRSKAP PÅ HÄLSOUNIVERSITETET

Rapport: Uppföljning 2012 av upphandlande myndigheters användning av e-upphandling

Företags kunskap om den inre marknaden

Omgivningspåverkansrapporten 2018 Kommuner och hantering av omgivningspåverkan

Göran Engblom IT-chef

Ansvarsutövande: Miljönämnden Sundsvalls kommun

Ungas attityder till företagande

Brukarundersökning. Socialförvaltningens reception. Juni 2006

Vad tycker Du om oss?

Hur uppfattas LOV? En undersökning av svenska kommuners och företags syn på Lagen om valfrihet (LOV)

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Villkor för förtroendevalda

Resultat från användarenkäten WEBBRAPPORT FRÅN RIKSSTROKE UTGIVEN NOVEMBER 2016

Alumnundersökning på Medicinska fakulteten

Jämställdhetsintegrering på statliga myndigheter. Läge, orsaker och framtida stödbehov

Hälsa och kränkningar

Hur många kvinnor är intresserade av att starta eget företag? Projektnummer: S Datum:

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Kursuppföljning inom teckenspråksutbildning för vissa föräldrar år 2017

Mentorsundersökningen 2018

Arbetsmiljöverket Osund konkurrens 2017 Städbranschen - Företagsstorlek. Arbetsmiljöverket, Osund konkurrens 2017_Svenska arbetsgivare

Bedömning, behov och stöd. En enkätundersökning om särskilt utbildningsstöd

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Uppföljning av formellt skydd av skog. Skogsstyrelsen/Naturvårdsverket. - Berörda markägares upplevelser av myndigheternas arbete under 2012 och 2013.

Källskolan. Elever År 8 - Våren Genomsnitt Upplands-Bro kommun. 2. Jag vet vad jag ska kunna för att nå målen i de olika ämnena.

2016:26 B. Tillit på jobbet

Småföretagen spår ljusa tider

Enkät till huvudmän inom ramen för granskningen av statens tillsyn över skolan

Lokalproducerade livsmedel Konsumentundersökning, våren 2012

Informationssäkerhetspolicy

Webbaserad självbetjäning

Ansvarsutövande: Lantmäterinämnden Sundsvalls kommun

Arbetsgivares syn på föräldraledighet. Sida 1

Den goda kundtjänsten

Brukarundersökning. Flyktingmottagningen. Dec 2006

Enkätundersökning om patienters upplevelser av vården på Bergsjön Vårdcentral

Eddaskolan. Elever År 3 - Våren Genomsnitt Sigtuna kommuns kommunala verksamheter

Lägesbild över Sveriges kommuners arbete mot våldsbejakande extremism

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

januari 2015 Vision om en god introduktion

MTM. Utvärdering taltidningsspelare. Augusti Markör AB 1 (27)

Publiceringsår Skolenkäten. Resultat våren 2018

Det prioriterade hållbarhetsarbetet

23 Allmänhetens attityder till KFM

Första året med Sympa Undersökning:

Albatross Montessoriskola

Brukarundersökning 2013 Bemötande, tillgänglighet och information

Småföretagen spår ljusa tider

Studentuppföljning 2017 Högskolan i Halmstad

De viktigaste valen 2010

Norrbackaskolan. Elever År 5 - Våren Genomsnitt Sigtuna kommuns kommunala verksamheter

Om rovdjur och förvaltningen av dem. så tycker länets jägare med jakthund

Målgruppsutvärdering

Utbildningsbehovet i frågor kring infrastrukturen för geodata hos informationsansvariga myndigheter och kommuner.

Socialtjänsternas bemötande av personer med psykisk funktionsnedsättning

Företagen och samhällsansvar. En undersökning om allmänhetens och företags syn på betydelsen av samhällsansvar idag och i framtiden

Arbetsmiljöverket Osund konkurrens 2016 Utländska arbetstagare. Arbetsmiljöverket, Osund konkurrens 2016

Kuben, Montessori. Föräldrar Förskola - Våren 2012

Informationssäkerhetspolicy IT (0:0:0)

Målgruppsutvärdering Colour of love

Granskning av hur landstingsstyrelsen redovisar måluppfyllelse i årsredovisningen 2013

Vilken ort? Medlemmar i föreningen

Redovisning av enkät tidsbegränsad parkering på Kungstorget och Grönsakstorget

Tjänsteskrivelse Enkät till gymnasiet åk 2, 2014

Nöjdkundundersökning

Yrkesenkät och fokusgrupp med unga inom Trestadsprojektet

Förskoleenkäten 2015 Förskoleförvaltningen

Kartläggning av användning av dopning, kostillskott och narkotika bland gymtränande

Entreprenörskapsbarometern Attityder till företagande i Sverige

Förskolan Urfjäll. Föräldrar Förskola - Våren 2011

Sammanställning av enkätundersökning inom överförmyndarförvaltningen

Befria kvinnorna från den offentkikvinnors företagande. den offentliga sektorn

Arbetsgivares syn på föräldraledighet. Sida 1

Fastebolskolan. 3. Jag tycker att lärarna förklarar så att jag förstår. 4. Lärarna i min skola hjälper mig i skolarbetet om jag behöver det.

Övergripande granskning Sammanställning till kommunfullmäktige

Transkript:

Sidan 1 (10) Rapport Dnr. 0707/2005 2005-06-16 Informationssäkerhets- och analysenheten Kjell Kalmelid Johan Gustavsson Inventering av kompetensbehov m.m. inom informationssäkerhet i offentlig sektor

Sid 2(10) Innehållsförteckning 1 Sammanfattning 3 2 Inledning. 4 2.1 Syfte och mål. 4 2.2 Metod. 4 2.3 Antal svar 4 3 Bedömning av organisationens informationssäkerhet. 5 4 Kunskap om informationssäkerhet 5 4.1 Ledningen 5 4.2 Anställda. 6 4.3 IT-teknisk personal (t.ex. systemadministratörer) 6 5 Attityd till informationssäkerhet 7 5.1 Ledningen i organisationen anser att informationssäkerhet är viktigt.. 7 5.2 Användarna anser att informationssäkerhet är viktigt. 7 6 Användning av metoder/standarder 8 6.1 Allmänt. 8 6.2 BITS. 8 6.3 KBM:s IT-säkerhetsguide. 9 6.4 OffLIS. 9 6.5 LIS. 9 6.6 Annat 10 6.7 Sammanfattande slutsatser 10

Sid 3(10) 1 Sammanfattning Under maj 2005 genomförde KBM en enkätundersökning riktad till ITsäkerhetsansvariga i offentlig sektor. Målet med undersökningen var att få ett kompletterande underlag för beslut om inriktning på KBM:s förebyggande verksamhet gällande informationssäkerhet. En utgångspunkt har varit att fokusera på frågor om kunskap om och attityd till informationssäkerhet hos ledning och övriga anställda. Enkäten distribuerades som en webbenkät till 368 IT-säkerhetsansvariga vid myndigheter, länsstyrelser, landsting och kommuner. Antal svar uppgick till 230 vilket är en svarsfrekvens på 62,5 procent. Det är viktigt att påpeka att det är den IT-säkerhetsansvarige som stått för dessa bedömningar med de för- och nackdelar detta innebär för undersökningens validitet och relevans. Undersökningen gav sammanfattningsvis följande resultat. Lite drygt hälften av alla ansåg alltså att organisationens informationssäkerhet fungerar bra. Delat per organisation var bilden annorlunda. Bland Förvaltningsmyndigheterna och Landstingen är det betydligt fler än genomsnittet som bedömer att deras informationssäkerhet fungerar bra, 76 resp. 64 procent. Det är intressant att notera att det finns ett samband mellan å ena sidan, hur organisationerna upplever sin informationssäkerhetsnivå generellt (frågan Hur bedömer Du allmänt att organisationens informationssäkerhet fungerar? ) och å den andra ledningens kunskapsnivå. Förv.myndigheterna bedömde både organisationens informationssäkerhet och ledningens kunskapsnivå mer positivt än t.ex. kommunerna. Flera svarade att ledningen måste bli bättre på att förstå behovet av IT för verksamheten, att se sambandet mellan högt IT-beroende, informationssäkerhet och verksamhetsplanering. Det handlar om att ledningen måste bli bättre beställare av säkerhet, att ta ett faktiskt systemägaransvar. IT-säkerhetsansvariga upplever överlag att de anställda har otillräckliga kunskaper om informationssäkerhet. Oberoende av vilken nivå varje ITsäkerhetsansvarig ansett vara tillräcklig måste svaren tolkas som att höjd kunskapsnivå bland anställda inom informationssäkerhet bör vara en fråga som organisationens ledning prioriterar. Jämfört med svaren på frågan, Använder ni någon etablerad metod eller standard i ert informationssäkerhetsarbete?, från föregående år kan man se en väldigt tydlig förändring bland framförallt kommunerna. 2004 svarade 21 procent av de deltagande kommunerna att de använde BITS, men i denna undersökning ger 75 procent av deltagande kommuner detta svar. En annan intressant iakttagelse är att andelen kommuner som svarat nej på frågan om de använder någon metod/standard, har halverats jämfört med förra året. Då svarade närmare en tredjedel (31 %) av de deltagande kommunerna att man inte använder någon etablerad metod eller standard. I år är denna siffra 14,5 procent.

Sid 4(10) 2 Inledning 2.1 Syfte och mål KBM har bland annat till uppgift att arbeta förebyggande med utbildning och information i frågor som rör informationssäkerhet. Syftet med denna enkätundersökning har varit att genomföra en inventering av kompetensbehov inom området informationssäkerhet. En liknande undersökning gjorde KBM våren 2004. Målet med undersökningen var då som nu att få ett kompletterande underlag för beslut om inriktning på KBM:s förebyggande verksamhet gällande informationssäkerhet. Målgruppen var den offentliga sektorn bland aktörerna inom krishanteringssystemet, dvs. samtliga kommuner, landsting och länsstyrelser samt ett antal myndigheter. Den sistnämnda gruppen består av vissa samverkansansvariga myndigheter i krishanteringssystemet och i övrigt centrala förvaltningsmyndigheter. En del av undersökningen består av frågor som syftar till att ge en översiktlig bild av organisationens informationssäkerhet. Dessa frågor har därför mer karaktären av en nulägesundersökning snarare än att inventera kompetensbehovet i organisationen. Målsättningen har emellertid varit att även svaren på dessa frågor ska kunna ge värdefull information om kompetensbehov. 2.2 Metod Enkätundersökningen genomfördes med hjälp av ett webbenkätverktyg från företaget Questback AS. 1 Enkäten distribuerades via e-post till ITsäkerhetsansvariga vid myndigheter, länsstyrelser, landsting och kommuner. Enkätundersökningen bestod av mellan 14 till 30 frågor beroende på svarsalternativ. Större delen av följdfrågorna var s.k. öppna frågor där respondenten ombads svara med egna ord. Detta är en skillnad från föregående års undersökning. Tanken har varit att få mer information och därmed ett bredare underlag för KBM:s egen planering. En utgångspunkt har varit att fokusera på frågor om kunskap om och attityd till informationssäkerhet hos ledning och övriga anställda. Det är viktigt att påpeka att det är den IT-säkerhetsansvarige som stått för dessa bedömningar med de för- och nackdelar detta innebär för undersökningens validitet och relevans. Målsättningen har naturligtvis varit att få så många svar som möjligt. Det har legat till grund för vårt beslut att utforma undersökningen med relativt antal få obligatoriska frågor men med desto fler tilläggsfrågor. 2.3 Antal svar Undersökningen pågick från 9 till 23 maj, 2005. Enkäten skickades till 368 ITsäkerhetsansvariga vid myndigheter, länsstyrelser, landsting och kommuner. Antal svar uppgick till 230 vilket är en svarsfrekvens på 62,5 procent. Svaren mellan organisationerna fördelades på följande vis: 1 www.questback.se

Sid 5(10) Förvaltningsmyndigheter 25 av 36 Kommuner 181 av 290 Landsting 11 av 21 Länsstyrelser 13 av 21 TOTAL 230 av 368 3 Bedömning av organisationens informationssäkerhet Den första frågan var Hur bedömer Du allmänt att organisationens informationssäkerhet fungerar?. Svaren fördelades på följande vis. Mycket bra 4,3 % Ganska bra 50 % Varken/eller 34,8 % Ganska dåligt 8,3 % Mycket dåligt 2,2 % Vet ej 0,4 % Lite drygt hälften av alla ansåg alltså att organisationens informationssäkerhet fungerar bra. Delat per organisation var bilden annorlunda. Omdöme Förv.myndigheter Länsstyrelser Kommuner Landsting Mycket bra eller Ganska bra 76 % 46,2 % 51,4 % 63,6 % Varken/eller 16 % 38,5 % 37 % 36,4 % Ganska dåligt eller mycket dåligt 8 % 15,4 % 11,1 % 0 % Vet ej 0 % 0 % 0,6 % 0 % Bland Förvaltningsmyndigheterna och Landstingen är det betydligt fler än genomsnittet som bedömer att deras informationssäkerhet fungerar bra. 4 Kunskap om informationssäkerhet Några frågor handlade om kunskapsnivån och behovet av mer kunskap inom informationssäkerhet. Svaren skulle avse ledning, IT-teknisk personal samt anställda i allmänhet (användare). 4.1 Ledningen Anser du att ledningen i organisationen har tillräckliga kunskaper om informationssäkerhet? På denna fråga svarade 36 procent av förv.myndigheter ja, vilket var dubbelt så många som genomsnittet på 17 procent. Så många som 80 procent av kommunerna svarade nej. Det är intressant att notera att det finns ett samband mellan å ena sidan, hur organisationerna upplever sin informationssäkerhetsnivå generellt (frågan Hur bedömer Du allmänt att organisationens informationssäkerhet fungerar? ) och å den andra ledningens kunskapsnivå. Förv.myndigheterna bedömde både organisationens informationssäkerhet och ledningens kunskapsnivå mer positivt än t.ex. kommunerna.

Sid 6(10) En tilläggsfråga löd; vad är det personer i ledande befattning (chefer) borde bli bättre på? Svaren lämnades i fritext. Några tydliga skillnader mellan olika typer av organisationer gick inte att identifiera. Flera svarade att ledningen måste bli bättre på att förstå beroendet av IT för verksamheten, att se sambandet mellan högt IT-beroende, informationssäkerhet och verksamhetsplanering. Ledningen måste ha helhetssyn, dvs. att skilja mellan skydd av information å ena sida och teknisk lösning å den andra. Flera svar handlar om att ledningen brister i sitt ansvar för säkerheten, att ledningen måste bli bättre beställare av säkerhet, att ta ett faktiskt systemägaransvar. Den låter i alltför stor utsträckning IT-avdelningen fixa problemen utan att ta aktiv del i den övergripande styrningen av informationssäkerhet. Myndigheter: bra säkerhet/ledning tillräckliga kunskaper 4.2 Anställda Har de anställda tillräckliga kunskaper om informationssäkerhet? Svaren visade tydligt att IT-säkerhetsansvariga överlag upplever att de anställda har otillräckliga kunskaper om informationssäkerhet. Om detta överensstämmer med verkliga förhållanden är givetvis osäkert, men om så är fallet finns det alla anledning att fråga sig hur situationen kan förbättras. Oberoende av vilken nivå varje IT-säkerhetsansvarig ansett vara tillräcklig och detta kan naturligtvis skilja sig mellan organisationer måste svaren tolkas som att höjd kunskapsnivå bland anställda inom informationssäkerhet bör vara en fråga som organisationens ledning prioriterar. Kommuner och länsstyrelser upplever i större grad att anställda saknar tillräckliga kunskaper om informationssäkerhet, jämfört med förv.myndigheter. Har de anställda tillräckliga kunskaper om informationssäkerhet? Svar Förv.myndigheter Länsstyrelser Kommuner Landsting Ja 24 % 7,7 % 5,5 % 0 % Nej 76 % 92,3 % 90,1 % 81,8 % Vet ej 0 % 0 % 4,4 % 18,8 % En följdfråga gällde vad användare borde bli bättre på. Den var utformad som en öppen fråga (fritext) och det var många som kom med synpunkter. En sammanställning ger denna bild. Många efterlyser ett allmänt, vardagligt säkerhetstänkande bland användarna, att förstå och arbeta efter grundläggande säkerhetsåtgärder som t.ex. lösenordshantering, Internetanvändning, hantering av e-post m.m. Det handlar enligt många om att förstå sin egen roll och betydelse för informationssäkerheten, att det en användare gör i strid med regler utgör en risk för hela verksamheten, dvs. alla andra. Många pekar här på att användare måste inse konsekvenserna och riskerna med IT generellt. 4.3 IT-teknisk personal (t.ex. systemadministratörer) Den IT-tekniska personalen utgjorde inget undantag i relation till ledning och anställda i allmänhet. Även denna kategori ansågs ha ett stort behov av

Sid 7(10) kompetens inom informationssäkerhet. En fråga innebar att försöka precisera sig: Vad är det IT-teknisk personal borde bli bättre på? Flera anser att tekniker måste bli bättre på att sätta sig in i verksamheten i stort när det gäller informationssäkerhet, att allt inte är teknik. Det handlar om att kunna relevanta lagar, regler, rutiner och organisation. Det handlar också om att se sammanhangen ur en helikoptervy, ex. de motstående intressen inom organisationen som kan finnas och som påverkar informationssäkerheten. Några skriver att tekniker måste förstå sin egen roll i informationssäkerhetsarbetet och den potentiella risk de själva utgör, att förstå behovet av skydd mot dem själva. Många skriver att tekniker bör bli bättre på att dokumentera IT-systemen, t.ex. avbrottsplaner och rutiner. 5 Attityd till informationssäkerhet 5.1 Ledningen i organisationen anser att informationssäkerhet är viktigt. Detta var en fråga av s.k. Leikert-typ, dvs. den var i själva verket utformad som ett påstående. Respondenten hade att avge sin uppfattning på en 5-gradig skala från Instämmer helt till Instämmer inte alls. En överväldigande majoritet, 217 st, instämde i påståendet. Procentuellt utgjorde detta 94 procent av alla svar. Det förelåg f.ö. ingen markant skillnad i svaren mellan organisationerna på denna fråga. 230 210 190 170 150 130 110 90 70 50 30 10 57 st 160 st 1 Instämmer helt Instämmer inte alls Ingen uppfattning/kan inte svara Figur 1, Ledningen i organisationen anser att informationssäkerhet är viktigt. 5.2 Användarna anser att informationssäkerhet är viktigt. Attityden till informationssäkerhet bland användarna följer samma mönster som attityden hos ledningen. En överväldigande majoritet, 91 procent, av respondenterna uppfattar att användarna anser att informationssäkerhet är viktigt. Det förelåg inte heller i denna fråga någon markant skillnad i svaren mellan organisationerna.

Sid 8(10) 230 210 190 170 150 130 110 90 70 50 30 10-10 23 187 0 0 1 7 13 Instämmer helt Instämmer inte alls Ingen uppfattning/kan inte svara Figur 2, Användarna anser att informationssäkerhet är viktigt. 6 Användning av metoder/standarder 6.1 Allmänt I denna liksom i föregående års undersökning valde vi att undersöka i vilken utsträckning organisationerna arbetar efter en struktur. Frågan var en flervalsfråga och löd Använder ni någon etablerad metod eller standard i ert informationssäkerhetsarbete?. Det fanns fyra namngivna metoder/standarder BITS (Basnivå för IT-säkerhet), KBM:s IT-säkerhetsguide, OffLIS (Stadskontorets mallregelverk) samt LIS (Ledningssystem för informationssäkerhet). Svarade man att använde någon av dessa blev man uppmanad att besvara ytterligare en eller i vissa fall två frågor. Det fanns även möjlighet att ange Något annat och i sådana fall fick man i nästkommande fråga namnge den/de metoderna/standarderna. Av förra årets undersökning vet vi att BITS i större utsträckning används av kommunerna och länsstyrelserna, medan LIS och OffLIS oftast används av förv.myndigheter och landstingen. KBM:s IT-säkerhetsguide är en programvara och ett verktyg för att göra en risk- och sårbarhetsanalys av ett IT-system och föreslå åtgärder som motsvarar kraven på ett sådant system. BITS definierar en rekommenderad basnivå för IT-säkerheten som organisationer inte bör underskrida. OffLIS är en produkt som ska förenkla för myndigheter att arbeta i enlighet med LIS och att skapa ett eget regelverk för informationssäkerhet. Eftersom det var fullt möjligt att ange att man tillämpade fler än en standard/metod kommer redovisningen nedan att följa hur svaren utföll på varje svarsalternativ istället för per organisation. 6.2 BITS Alla Länsstyrelser (13 st svarade) uppgav att de använder BITS som grund för arbetet med informationssäkerhet. 75 procent av kommunerna uppger att de använder BITS och bland landstingen är denna andel 36 procent. Bland

Sid 9(10) förv.myndigheterna visar det sig något överraskande att hela 48 procent i någon utsträckning använder BITS. Den första följdfrågan till dem som kryssat i att de använder BITS löd: Hur långt anser du att ni kommit i arbetet med att uppnå basnivåkraven för BITS? Här fanns fem svarsalternativ: Nyligen påbörjat (0 %) En bit på vägen (25 %) Halvvägs (50 %) Nästan klar (75 %) Uppfyller alla basnivåkrav (100 %) Här anger alla förv.myndigheterna att de har kommit halvvägs eller längre. Knappt 17 procent menar att de uppfyller alla basnivåkrav. Bland kommunerna är det en knapp tredjedel som kommit halvvägs eller längre. De flesta kommuner (43 %) anger att de kommit en bit på vägen. Av länsstyrelserna säger 61 procent att de kommit halvvägs eller längre. Den andra följdfrågan till dem som kryssat i att de använder BITS var en öppen fråga som löd: Vad anser du skulle kunna bli bättre med BITS? En del anser att BITS är för omfattande, att det skulle behövas en lightversion av rekommendationen. Andra tycker att den i stort är bra som den är. Några säger att de vill att BITS ska bli ett rättsligt krav (förordning/föreskrift) och inte bara en rekommendation. 6.3 KBM:s IT-säkerhetsguide Lite drygt var tionde förv.mynd säger sig använda IT-säkerhetsguiden. 28 procent av kommunerna och 62 procent av länsstyrelserna säger sig arbeta med IT-säkerhetsguiden. Alla som svarade att de använder IT-säkerhetsguiden fick följdfrågan Hur värderar du KBM:s IT-säkerhetsguide? I princip alla svarar att guiden är mycket bra eller ganska bra. Två respondenter har svarat varken/eller. Endast en av de sammanlagt 52 kommuner som svarat att de använder guiden tycker att den är ganska dålig. Emellertid hade flera respondenter synpunkter på hur IT-säkerhetsguiden kan bli bättre. Några anser att guiden är för omfattande, att den kräver att man besvara alltför många frågor. Flera anser att IT-säkerhetsguiden bör struktureras bättre så att det framgår vem i organisationen som ansvarar för vissa åtgärder. 6.4 OffLIS Inga länsstyrelser eller landsting uppger att de använder OffLIS. Bortsett från en (1) kommun är det enbart förv.myndigheter som säger sig använda OffLIS. Andelen förv.myndigheter som svarar så är dock endast en på fem, dvs. 20 procent. 6.5 LIS Cirka 10 procent av alla uppger att de använder LIS. Åtta stycken svar representeras av kommuner medan resten utgörs av förv.myndigheter och

Sid 10(10) landsting. 40 procent av förv.myndigheterna svarade LIS. De som svarade att de använder LIS fick följdfrågan: Hur långt anser du att ni kommit med arbetet med att införa LIS i organisationen? Hela 70 procent av förv.myndigheterna anser att de kommit halvvägs eller längre. 71 procent av landstingen (5 st) uppger att de kommit en bit på vägen. Ett landsting säger sig vara nästan klar. 6.6 Annat Knappt åtta procent (18 st) svarade att de använder något annat som metod/standard. Här svarade flera (6 st) FA 22 och alla dessa representerade kommuner. Andra metoder var TRAQ, och FRAP (Faciliated Risk Analysis Process). 6.7 Sammanfattande slutsatser Jämfört med svaren på frågan, Använder ni någon etablerad metod eller standard i ert informationssäkerhetsarbete?, från föregående år kan man se en väldigt tydlig förändring bland framförallt kommunerna. 2004 svarade 21 procent av de deltagande kommunerna att de använde BITS, men i denna undersökning ger 75 procent av deltagande kommuner detta svar. Uppenbarligen är FA 22 helt utfasat som metod. Förra året svarade 43 procent av kommunerna att man använde FA22, medan det i år endast är en bråkdel som svarar detta. De flesta går f.ö. över till BITS. En annan intressant iakttagelse är att andelen kommuner som svarat nej på frågan om de använder någon metod/standard, har halverats jämfört med förra året. Då svarade närmare en tredjedel (31 %) av de deltagande kommunerna att man inte använder någon etablerad metod eller standard. I år är denna siffra 14,5 procent.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss