Informationssäkerheten i den civila statsförvaltningen

Relevanta dokument
Tal till Kungl. Krigsvetenskapsakademien

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23)

Regeringens skrivelse 2014/15:84

Gräns för utkontraktering av skyddsvärd information

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1

Justitiedepartementet Stockholm

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Nya krav på systematiskt informationssäkerhets arbete

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhetspolicy för Ystads kommun F 17:01

Stöd för arbetet med regleringsbrevsuppdrag Informationssäkerhet i RSA

Informationssäkerhetspolicy inom Stockholms läns landsting

Strategi för förstärkningsresurser

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Utredningen om genomförande av NIS-direktivet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

RUTIN FÖR RISKANALYS

REMISSVAR. Rättsenheten Justitiedepartementet Stockholm. Remissvaret följer promemorians disposition.

Samhällets informationssäkerhet

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Informationssäkerheten i den civila statsförvaltningen

Informationssäkerhetspolicy för Umeå universitet

Nationell risk- och förmågebedömning 2017

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Svensk författningssamling

Välkommen till enkäten!

Myndigheten för samhällsskydd och beredskaps författningssamling

1(6) Informationssäkerhetspolicy. Styrdokument

Myndigheten för samhällsskydd och beredskaps författningssamling

Lägesbild av dagens totalförsvar och den återupptagna totalförsvarsplaneringen. Öv. Mats Klintäng, Försvarsmakten Magnus Dyberg-Ek, MSB

Systematiskt arbete med skydd av samhällsviktig verksamhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsberättelse för Luftfartsverket 2016

Granskning av Polismyndighetens informationssäkerhetsarbete

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Svensk författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Aktörsgemensamma mål och målbeskrivningar Slutversion oktober 2015

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Myndigheten för samhällsskydd och beredskap MSB Samhällets informationssäkerhet

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Kommittédirektiv. En expertgrupp för digitala investeringar. Dir. 2017:62. Beslut vid regeringssammanträde den 8 juni 2017.

Kommunernas krisberedskap - uppföljningsprocessen. Tomas Ahlberg

Kommunernas krisberedskap - uppföljningsprocessen

Kommittédirektiv. Genomförande av EU-direktiv om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem. Dir.

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Revisionsberättelse för Riksdagens ombudsmän 2016

Granskning av informationssäkerhet

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Konsekvensutredning rörande reviderade föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet

MSB:s vision. Ett säkrare samhälle i en föränderlig värld

Administrativ säkerhet

Revisionsberättelse för Uppsala Universitetet 2017

Informationssäkerhetspolicy KS/2018:260

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Revisionsberättelse för Linköpings universitet 2016

Internetdagarna Staffan Karlsson. Informationssäkerhetsenheten. Enhetschef

Revisionsberättelse för Myndigheten för samhällsskydd och beredskap 2016

Informationssäkerhet. Ett prioriterat granskningsområde. Ann-Marie Dahlros,

Syfte - att stödja och utveckla myndigheternas arbete med risk- och sårbarhetsanalyser

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Årsrapport Itincidentrapportering

Revisionsberättelse för Affärsverket svenska kraftnät 2017

Revisionsberättelse för Pensionsmyndigheten 2016

RSA från lokal- till europeisk nivå

Risk- och sårbarhetsanalyser Förmågebedömning

Revisionsrapport. Löpande granskning 2009

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Konsekvensutredning för föreskrift om krav på informationssäkerhet

Revisionsberättelse för Statens jordbruksverk 2017

Kommittédirektiv. Utkontraktering av säkerhetskänslig verksamhet, sanktioner och tillsyn tre frågor om säkerhetsskydd. Dir.

Revisionsberättelse för Statens Skolverk 2016

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Att skydda det mest skyddsvärda

Konsekvensutredning för föreskrift om kommuners och Bandstings risk- och sårbarhetsanalyser

Säkerhetspolicy för Västerviks kommunkoncern

Bilaga Från standard till komponent

Revisionsrapport. Bolagsverkets informationssäkerhet. 1. Inledning Bolagsverket SUNDSVALL.

Revisionsberättelse för Migrationsverket 2016

Revisionsberättelse för Migrationsverket 2017

Informationssäkerhetsarbete på nio myndigheter. En andra granskning av informationssäkerhet i staten. rir 2016:8

Informationssäkerhetspolicy för Ånge kommun

Revisionsberättelse för Statistiska centralbyrån 2016

Föreskrifter om risk- och sårbarhetsanalyser för kommun och landsting Remiss från Myndigheten för samhällsskydd och beredskap

REMISSVAR 1 (12) Rättsenheten Sven Johnard. Mottagare

FRA:s överdirektör Charlotta Gustafsson: FRA:s roll i Sveriges cybersäkerhetsarbete

Transkript:

1 Informationssäkerheten i den civila statsförvaltningen Internrevisorernas nätverksdag 4 maj 2015 Per dackenberg marcus pettersson

2 Vad såg Riksrevisionen 2005 2007? En serie granskningar av 11 myndigheters och regeringens arbete med informationssäkerhet Myndigheternas arbete med informationssäkerhet hade brister Regeringen hade inte följt upp om myndigheternas interna styrning och kontroll hade varit tillfredsställande Regeringen hade inte gett myndigheterna bra förutsättningar för ett effektivt informationssäkerhetsarbete

3 Vad har Riksrevisionen nu granskat? Om regeringens styrning av informationssäkerhet i den civila statsförvaltningen är effektiv Om regeringens stödmyndigheter har vidtagit tillräckliga åtgärder för att informera sig och regeringen om vilka hot som finns, i vilken omfattning de realiseras och vilka skyddsåtgärder som vidtas

4 Vad har Riksrevisionen nu sett? Allvarliga brister i myndigheternas risk- och sårbarhetsanalyser Låg efterlevnad av MSB:s föreskrifter om ledningssystem för informationssäkerhet (LIS) Lätt att bryta sig in i samhällsviktiga system Säkerhetsskyddet för myndigheter med högst skyddsvärde har allvarliga brister Ingen samlad lägesbild av hoten, de faktiska händelserna som inträffar och vilka skyddsåtgärder som vidtas av myndigheterna Inte heller någon aggregerad redovisning av bristerna

Samlad slutsats av granskningen Arbetet med informationssäkerheten är inte ändamålsenligt sett till de hot och risker som finns Regeringen har inte utövat en effektiv styrning av informationssäkerheten Stödmyndigheterna har endast delvis vidtagit nödvändiga åtgärder för att informera sig och regeringen om vilka hot som finns, i vilken omfattning de realiseras och vilka skyddsåtgärder som vidtas 5

6 Övriga slutsatser Oklart resursläge Saknas en samlad avvägning för hur mycket resurser som behöver satsas på skyddsåtgärder sett till de risker som finns. Ansvarsprincipen bra, men inte tillräcklig Problemen blir uppmärksammade ändå uteblir åtgärder

7 Rekommendationer till regeringen Utöka tillsynen Låt utreda regelverket Överväg att låta tillsyn kombineras med sanktioner Inför obligatorisk incidentrapportering Skapa en samlad funktion i Regeringskansliet för att hantera informationssäkerheten i statsförvaltningen

8 Rekommendationer till stödmyndigheterna Skapa en gemensam lägesbild Fler myndigheter bör redovisa sin risk- och sårbarhetsanalys till Regeringskansliet och MSB Lämna nödvändigt stöd till de myndigheter som inte uppfyller LIS Säkerhetspolisen och FRA bör var för sig systematiskt avge aggregerade rapporter om säkerhetsläget till Regeringskansliet och MSB

Pågående granskning (förstudie) om informationssäkerheten på myndighetsnivån 9 ESV konstaterar att det i dag varken med stöd av myndigheternas extern- eller internredovisning går att mäta IT-kostnader på ett strukturerat sätt. Om inte sakligt underbyggda underlag för kostnader är framtagna påverkas förmågan att etablera optimal säkerhet negativt ur ett totalt ekonomisk perspektiv (samhällsekonomiskt och företagsekonomiskt). Avsaknaden av tillräckliga underlag när det gäller kostnader försvårar för myndighetsledningen att motivera utgifter för att reducera risk. En trolig konsekvens av det blir att ledningar underfinansierar arbetet med riskreducering. Hypotesen är att i konkurrensen om resurser förlorar gissningsvis det mål som inte klarar av den kostnads- intäktsbaserade konkurrensen med andra behjärtansvärda mål. Ofta görs inte kostnadsuppskattningar ens på medialt uppmärksammade händelser. Svårigheten att göra uppskattningar är också enligt MSB ett symptom på ett djupare problem: de flesta företag och verksamheter vet inte hur sårbara de är, de vet inte vad driftavbrott kan komma att kosta när de gör sin riskhantering och de har till och med i efterhand svårt att beräkna kostnaderna för inträffade driftavbrott.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss