Informasjonssikkerhet
Digdir skal styrke forvaltningens evne til å arbeide systematisk med informasjonssikkerhet. I 2022 tok vi initiativ til et tverrsektorielt samarbeid som skal gjøre det enklere for kommuner og statlige virksomheter å lykkes. "Felles sikkerhet i forvaltningen" er Digdirs forslag til å løse flere av utfordringene forvaltningen har med informasjonssikkerhet. I 2022 arrangerte vi nettverksmøter og kurs, veiledet virksomheter og videreutviklet vår katalog over oppgaver og informasjonstyper.
Digdirs mål
Digdir hadde to mål for arbeidet med informasjonssikkerhet i 2022.
Mål 1
Virksomhetene i offentlig sektor får et samordnet og helhetlig tilbud om veiledning innen digital sikkerhet, og forvaltningen arbeider systematisk med styring og kontroll på informasjonssikkerhet og mottar nødvendig veiledning.
Resultat
- I notatet Felles sikkerhet i forvaltningen presenterte Digdir våre funn, utfordringsbildet og mulige løsninger for å styrke informasjonssikkerheten generelt og den digitale sikkerheten spesielt.
- Vi arrangerte nettverksmøter for offentlige virksomheter og veiledningsaktørene for å dele erfaringer og koordinere aktiviteter.
Prioriteringer og tiltak
- I 2023 følger vi opp initiativet sammen med veiledningsaktørene for å sette retning og fart på arbeidet med informasjonssikkerhet i offentlig sektor framover - sammen.
Oppnådd
Mål 2
Digdir bruker virkemidlene effektivt
Resultat
- Vi vurderte hvordan vi kan bruke Digdirs virkemidler for å hjelpe offentlige virksomheter med internkontroll, blant annet med veiledningen Internkontroll i praksis – informasjonssikkerhet.
- Vi laget veiledningen Sertifisering etter ISO 27001.
- Statusmålinger viste omtrent samme resultater i forvaltningen som i 2021. Fylkeskommuner har noe bedre resultater på enkelte områder.
Prioriteringer og tiltak
Vi vil utvikle virkemidlene videre i 2023 i tråd med forslagene i notatet Felles sikkerhet i forvaltningen og i samarbeid med veiledningsaktørene.
Oppnådd
Informasjonssikkerhetsarbeidet i kommuner og statlige virksomheter
Kommuner: Det har vært ei positiv utvikling i informasjonssikkerhetsarbeidet i kommunene fra 2020 til 2021. Flere kommuner har evaluert, forbedret og fornyet styringssystemer, etablert nye sikkerhetstiltak og forbedret eller fjernet sikkerhetstiltak.
Stat: Statlige virksomheter hadde en svak nedgang fra 2020 til 2021 innen evaluering, forbedring og fornying av styringssystem for infosikkerhet. Noen flere statlige virksomheter etablerte nye sikkerhetstiltak, og forbedret eller fjernet sikkerhetstiltak.
Mål
Mål 1: Virksomhetene i offentlig sektor får et samordnet og helhetlig veiledningstilbud innen digital sikkerhet, og forvaltningen arbeider systematisk med styring og kontroll på informasjonssikkerhet
Digdir skal være en samordner og pådriver i offentlig sektors arbeid med forebyggende informasjonssikkerhet. Digdir skal særskilt bidra til at alle statlige virksomheter har et system for internkontroll av informasjonssikkerhet. Informasjonssikkerhet er ett av to områder hvor departementet i 2022 forventer at direktoratet fortsetter å utøve en sterk premissgiverrolle.
Mål 2: Digdir bruker virkemidlene effektivt
Digdir veileder på eForvaltningsforskriften § 15 og vurderer sine virkemidler for at virksomhetene skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet.
KDD har bedt Digdir i supplerende tildelingsbrev nr 2 om å vurdere hvordan direktoratet kan bruke de virkemidlene det har til rådighet for å bidra til å øke andelen virksomheter som arbeider bevisst og systematisk med informasjonssikkerhet.
Resultater
Det har vært et mål for Digdir at virksomhetene i offentlig sektor skal få et samordnet og helhetlig tilbud om veiledning innen digital sikkerhet, og at forvaltningen arbeider systematisk med styring og kontroll på informasjonssikkerhet og mottar nødvendig veiledning.
For å nå denne målsetningen har vi tatt utgangspunkt i utfordringene på fagområdet ut fra et brukerperspektiv. Mange kommuner, fylkeskommuner og statlige virksomheter syns det er krevende å sikre god nok informasjonssikkerhet i virksomhetene. Dette viser både tilbakemeldinger Digdir har fått direkte fra virksomhetene, og tidligere undersøkelser vi har gjennomført. Vi mener derfor det trengs et nasjonalt løft for informasjonssikkerhet generelt, og digital sikkerhet spesielt. Det er nødvendig for at forvaltningen skal være i stand til løse oppgavene sine og levere gode digitale tjenester i fremtiden. Utfordringsbildet og mulige løsninger på dette har vi presentert i notatet Felles sikkerhet i forvaltningen.
Digdir ønsker å skape forståelse for utfordringene virksomhetene har med informasjonssikkerhet. Derfor har vi invitert aktører som har ansvar for å veilede virksomhetene til å samarbeide for å gi felles retning på arbeidet med informasjonssikkerhet i offentlig forvaltning. Dette arbeidet følges opp videre i 2023.
Vi har også fortsatt å arrangere nettverksmøter for virksomhetene i forvaltningen slik at de kan dele informasjon og erfaringer. Vi har gjennomført nettverksmøter for veiledningsaktørene på fagområdet for at de kan koordinere aktiviteter seg imellom. Vi har i tillegg opprettholdt fokus på kommunene og avholdt tilpassede kurs på fagområdet i samarbeid med KiNS.
Vi har vurdert våre virkemidler for at virksomhetene skal ha en internkontroll. Digdir har veiledning til offentlige virksomheter for å hjelpe med arbeid med styring og kontroll av informasjonssikkerhet, blant annet veiledningen Internkontroll i praksis - informasjonssikkerhet. Veiledningen er basert på kravene i ISO 27001, og er Digdirs offisielle anbefalinger for struktur og innhold til styringsaktiviteter. For å ytterligere supplere eksisterende veiledning har vi laget nettsiden Sertifisering etter ISO 27001 | Digdir hvor vi viser virksomhetene i forvaltningen hvordan man kan gå frem dersom man ønsker å sertifisere seg etter ISO 27001.
Status for informasjonssikkerhet i forvaltningen vurderes opp mot SSB-tabell 12042: Tiltak som del av internkontroll for informasjonssikkerhet (prosent), etter statistikkvariabel, år og forvaltningsnivå. Statsforvaltningen og kommunene har relativt sett ganske jevne resultater sammenliknet med fjoråret, fylkeskommuner har forbedrede resultater på områdene styringssystem, bruk av uønskede hendelser og øvelser til å forbedre styringsystemet.
Utfordringer
Kort oppsummert er arbeidet med informasjonssikkerhet krevende, og det er utfordrende for virksomhetene å holde oversikt over hvilke regelverk som gjelder, og hvilke myndighetsaktører og veiledere de skal forholde seg til. Disse utfordringene er beskrevet i detalj i notatet Felles sikkerhet i forvaltningen.
Prioriteringer og tiltak
Digdir prioriterte i 2022 arbeidet med notatet Felles sikkerhet i forvaltningen. Dette var viktig for å kunne starte arbeidet med de grunnleggende utfordringene fra et brukerperspektiv. Dette blir vårt hovedsatsingsområde i 2023. Vi satser på et bredt samarbeid med de øvrige veiledningsaktørene på dette området.
- "I Digdir får jeg bidra til å bedre arbeidshverdagen til mange som jobber med informasjonssikkerhet i offentlig sektor. I fagmiljøet vårt for informasjonssikkerhet drar vi nytte av hverandres erfaring, kunskap og egenskaper. Det motiverer meg!"
Fanny Emilie Bøhm-Pedersen (29), rådgiver for informasjonssikkerhet Oslo, avdeling for digital strategi og samordning
12042: Tiltak som del av internkontroll for informasjonssikkerhet, etter statistikkvariabel, år og forvaltningsnivå
| 2021 | 2022 | |||||
|---|---|---|---|---|---|---|
| Statlige virksomheter |
Fylkes-kommuner | Kommuner | Statlige virksomheter |
Fylkes-kommuner | Kommuner | |
| Evaluert, forbedret eller fornyet styringssystemet for informasjonssikkerhet | 81,1 % | 70,0 % | 62,4 % | 83,8 % | 80,0 % | 57,9 % |
| Etablert nye sikkerhetstiltak | 90,3 % | 100,0 % | 80,9 % | 89,0 % | 100,0 % | 85,6 % |
| Forbedret eller fjernet sikkerhetstiltak |
88,9 % | 90,0 % | 80,1 % | 88,6 % | 90,0 % | 83,6 % |
| Rapportert erfaringer fra håndtering av uønskede hendelser til bruk i risikovurderinger og/eller forbedring av informasjonssikkerheten |
72,8 % | 80,0 % | 59,5 % | 75,7 % | 100,0 % | 54,0 % |
| Rapportert erfaringer fra øvelser til bruk i risikovurderinger og/eller forbedring av informasjonssikkerheten |
55,3 % | 20,0 % | 28,5 % | 52,4 % | 30,0 % | 33,0 % |