Informasjonssikkerhet
Digdir skal styrke forvaltningens evne til å arbeide systematisk med informasjonssikkerhet. I 2022 tok vi initiativ til et tverrsektorielt samarbeid som skal gjøre det enklere for kommuner og statlige virksomheter å lykkes. "Felles sikkerhet i forvaltningen" er Digdirs forslag til å løse flere av utfordringene forvaltningen har med informasjonssikkerhet. I 2022 arrangerte vi nettverksmøter og kurs, veiledet virksomheter og videreutviklet vår katalog over oppgaver og informasjonstyper.
Mål
Mål 1: Virksomhetene i offentlig sektor får et samordnet og helhetlig veiledningstilbud innen digital sikkerhet, og forvaltningen arbeider systematisk med styring og kontroll på informasjonssikkerhet
Digdir skal være en samordner og pådriver i offentlig sektors arbeid med forebyggende informasjonssikkerhet. Digdir skal særskilt bidra til at alle statlige virksomheter har et system for internkontroll av informasjonssikkerhet. Informasjonssikkerhet er ett av to områder hvor departementet i 2022 forventer at direktoratet fortsetter å utøve en sterk premissgiverrolle.
Mål 2: Digdir bruker virkemidlene effektivt
Digdir veileder på eForvaltningsforskriften § 15 og vurderer sine virkemidler for at virksomhetene skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet.
KDD har bedt Digdir i supplerende tildelingsbrev nr 2 om å vurdere hvordan direktoratet kan bruke de virkemidlene det har til rådighet for å bidra til å øke andelen virksomheter som arbeider bevisst og systematisk med informasjonssikkerhet.
Resultater
Det har vært et mål for Digdir at virksomhetene i offentlig sektor skal få et samordnet og helhetlig tilbud om veiledning innen digital sikkerhet, og at forvaltningen arbeider systematisk med styring og kontroll på informasjonssikkerhet og mottar nødvendig veiledning.
For å nå denne målsetningen har vi tatt utgangspunkt i utfordringene på fagområdet ut fra et brukerperspektiv. Mange kommuner, fylkeskommuner og statlige virksomheter syns det er krevende å sikre god nok informasjonssikkerhet i virksomhetene. Dette viser både tilbakemeldinger Digdir har fått direkte fra virksomhetene, og tidligere undersøkelser vi har gjennomført. Vi mener derfor det trengs et nasjonalt løft for informasjonssikkerhet generelt, og digital sikkerhet spesielt. Det er nødvendig for at forvaltningen skal være i stand til løse oppgavene sine og levere gode digitale tjenester i fremtiden. Utfordringsbildet og mulige løsninger på dette har vi presentert i notatet Felles sikkerhet i forvaltningen.
Digdir ønsker å skape forståelse for utfordringene virksomhetene har med informasjonssikkerhet. Derfor har vi invitert aktører som har ansvar for å veilede virksomhetene til å samarbeide for å gi felles retning på arbeidet med informasjonssikkerhet i offentlig forvaltning. Dette arbeidet følges opp videre i 2023.
Vi har også fortsatt å arrangere nettverksmøter for virksomhetene i forvaltningen slik at de kan dele informasjon og erfaringer. Vi har gjennomført nettverksmøter for veiledningsaktørene på fagområdet for at de kan koordinere aktiviteter seg imellom. Vi har i tillegg opprettholdt fokus på kommunene og avholdt tilpassede kurs på fagområdet i samarbeid med KiNS.
Vi har vurdert våre virkemidler for at virksomhetene skal ha en internkontroll. Digdir har veiledning til offentlige virksomheter for å hjelpe med arbeid med styring og kontroll av informasjonssikkerhet, blant annet veiledningen Internkontroll i praksis - informasjonssikkerhet. Veiledningen er basert på kravene i ISO 27001, og er Digdirs offisielle anbefalinger for struktur og innhold til styringsaktiviteter. For å ytterligere supplere eksisterende veiledning har vi laget nettsiden Sertifisering etter ISO 27001 | Digdir hvor vi viser virksomhetene i forvaltningen hvordan man kan gå frem dersom man ønsker å sertifisere seg etter ISO 27001.
Status for informasjonssikkerhet i forvaltningen vurderes opp mot SSB-tabell 12042: Tiltak som del av internkontroll for informasjonssikkerhet (prosent), etter statistikkvariabel, år og forvaltningsnivå. Statsforvaltningen og kommunene har relativt sett ganske jevne resultater sammenliknet med fjoråret, fylkeskommuner har forbedrede resultater på områdene styringssystem, bruk av uønskede hendelser og øvelser til å forbedre styringsystemet.
Utfordringer
Kort oppsummert er arbeidet med informasjonssikkerhet krevende, og det er utfordrende for virksomhetene å holde oversikt over hvilke regelverk som gjelder, og hvilke myndighetsaktører og veiledere de skal forholde seg til. Disse utfordringene er beskrevet i detalj i notatet Felles sikkerhet i forvaltningen.
Prioriteringer og tiltak
Digdir prioriterte i 2022 arbeidet med notatet Felles sikkerhet i forvaltningen. Dette var viktig for å kunne starte arbeidet med de grunnleggende utfordringene fra et brukerperspektiv. Dette blir vårt hovedsatsingsområde i 2023. Vi satser på et bredt samarbeid med de øvrige veiledningsaktørene på dette området.
12042: Tiltak som del av internkontroll for informasjonssikkerhet (prosent), etter statistikkvariabel, år og forvaltningsnivå
| 2021 | 2022 | |||||
|---|---|---|---|---|---|---|
| Statlige virksomheter |
Fylkeskommuner | Kommuner | Statlige virksomheter |
Fylkeskommuner | Kommuner | |
| Evaluert, forbedret eller fornyet styringssystemet for informasjonssikkerhet |
81,1 | 70,0 | 62,4 | 83,8 | 80,0 | 57,9 |
| Etablert nye sikkerhetstiltak | 90,3 | 100,0 | 80,9 | 89,0 | 100,0 | 85,6 |
| Forbedret eller fjernet sikkerhetstiltak |
88,9 | 90,0 | 80,1 | 88,6 | 90,0 | 83,6 |
| Rapportert erfaringer fra håndtering av uønskede hendelser til bruk i risikovurderinger og/eller forbedring av informasjonssikkerheten |
72,8 | 80,0 | 59,5 | 75,7 | 100,0 | 54,0 |
| Rapportert erfaringer fra øvelser til bruk i risikovurderinger og/eller forbedring av informasjonssikkerheten |
55,3 | 20,0 | 28,5 | 52,4 | 30,0 | 33,0 |