<div style="white-space:nowrap;font-size:85%;">1<br>
<br>
Framställning till riksdagen<br>
<br>
SAMMANFATTNING 2007/08:RRS6<br>
2000-08-11 16.42<br>
<br>
2007/08:RRS6 SAMMANFATTNING<br>
2000-08-11 16.42<br>
<br>
2007/08:RRS6<br>
<br>
Riksrevisionens styrelses framställning angående regeringens styrning av informationssäkerhetsarbetet i den statliga förvaltningen<br>
<br>
Sammanfattning<br>
Riksrevisionen har granskat regeringens styrning av informationssäkerhetsarbetet i den statliga förvaltningen. Resultatet av granskningen har presenterats i en rapport med samma namn: Regeringens styrning av informationssäkerhetsarbetet i den statliga förvaltningen (RiR 2007:10). <br>
Riksrevisionen har tidigare granskat informationssäkerheten i elva statliga myndigheter med stora skyddsvärda informationstillgångar. Härav framgår att myndigheterna inte arbetar systematiskt med sin interna styrning och kontroll av informationssäkerheten. Ett antal allvarliga incidenter har också inträffat. Riksrevisionens nu aktuella granskning visar att regeringen har vidtagit åtgärder som rör tekniska förutsättningar för myndigheternas informationssäkerhetsarbete. Några åtgärder för att stödja myndigheternas interna styrning och kontroll av informationssäkerheten har dock inte vidtagits. <br>
Styrelsen konstaterar att inslaget av IT-stöd i den statliga förvaltningen är betydande och att IT-beroendet blir allt större. Betydelsen av informationssäkerhet tenderar att öka med tiden, i takt med att IT-systemen blir mer komplexa och integrerade med varandra samt tillgängliga via öppna nätverk. <br>
Styrelsen anser att informationssäkerheten i den statliga förvaltningen måste förbättras och att detta kräver åtgärder från regeringens sida. Styrelsen anser att regeringen snarast bör genomföra en översyn av regleringen på området informationssäkerhet och återrapportera resultatet av översynen till riksdagen. <br>
<br>
2007/08:RRS6 <br>
<br>
2<br>
<br>
Innehållsförteckning<br>
<br>
SAMMANFATTNING 2007/08:RRS6<br>
2000-08-11 16.42<br>
<br>
2007/08:RRS6 SAMMANFATTNING<br>
2000-08-11 16.42<br>
<br>
Sammanfattning 1<br>
Innehållsförteckning 2<br>
Styrelsens förslag 3<br>
Riksrevisionens granskning 4<br>
Informationsberoendet i staten 4<br>
Tidigare granskningar 4<br>
Granskningens syfte och inriktning 5<br>
Fokus på regeringens ansvar 5<br>
Underlaget för granskningen 5<br>
Fyra aspekter av informationssäkerhet 5<br>
Bedömningsgrund för granskning av myndighetsledningarna 6<br>
Bedömningsgrund för regeringens styrning 6<br>
Den samlade problembilden 7<br>
Elva myndigheter har granskats 7<br>
Riksrevisionens bedömningar utifrån myndighetsgranskningarna 9<br>
Problembilden har bekräftats på myndighetsnivå 9<br>
Orsaker till problemen 9<br>
Allvarliga incidenter har inträffat 10<br>
Riksrevisionens slutsatser om myndigheternas ansvar 10<br>
Granskningens slutsatser om regeringens ansvar 11<br>
Bristerna på myndighetsnivå har konsekvenser för elektronisk förvaltning och nationell krishantering 11<br>
Regeringens ansvar 11<br>
Otydliga krav och mandat 11<br>
Regeringen har inte följt upp myndigheternas arbete med informationssäkerhet 12<br>
Brister i regeringens beredning av frågor om informationssäkerhet 13<br>
Riksrevisionens rekommendationer 13<br>
Regeringen bör tydligare fokusera på informationsfrågorna 13<br>
Regeringen bör ge expertmyndigheterna tydliga mandat 14<br>
Regeringen bör ge myndigheterna bättre förutsättningar och ställa tydligare krav på arbetet med informationssäkerhet 14<br>
Styrelsens överväganden 15<br>
En översyn av regleringen på området informationssäkerhet 15<br>
Styrelsens förslag 16<br>
<br>
2007/08:RRS6<br>
<br>
3<br>
<br>
Styrelsens förslag<br>
<br>
INNEHåLLSFöRTECKNING 2007/08:RRS6<br>
2000-08-11 16.42<br>
<br>
2007/08:RRS6 INNEHåLLSFöRTECKNING<br>
2000-08-11 16.42<br>
<br>
Med hänvisning till de motiveringar som framförs under Styrelsens överväganden föreslår Riksrevisionens styrelse följande:<br>
<br>
En översyn av regleringen på området informationssäkerhet<br>
Riksdagen tillkännager för regeringen som sin mening vad styrelsen anfört om att regeringen snarast genomför en översyn av regleringen på området informationssäkerhet och återrapporterar resultatet till riksdagen. <br>
<br>
Stockholm den 30 augusti 2007<br>
På Riksrevisionens styrelses vägnar<br>
<br>
Eva Flyborg<br>
<br>
Karin Rudberg<br>
<br>
Följande ledamöter har deltagit i beslutet: Eva Flyborg (fp), Tommy Waidelich (s), Anne-Marie Pålsson (m), Ewa Thalén Finné (m), Alf Eriksson (s), Per Rosengren (v), Björn Hamilton (m), Margareta Andersson (c), Helena Hillar Rosenqvist (mp) och Helena Höij (kd). <br>
<br>
2007/08:RRS6 <br>
<br>
4<br>
<br>
Riksrevisionens granskning<br>
<br>
RIKSREVISIONENS GRANSKNING 2007/08:RRS6<br>
<br>
2007/08:RRS6 RIKSREVISIONENS GRANSKNING<br>
<br>
Riksrevisionen har granskat regeringens styrning av informationssäkerhetsarbetet i den statliga förvaltningen. Resultatet av granskningen har presenterats i en rapport med samma namn: Regeringens styrning av informationssäkerhetsarbetet i den statliga förvaltningen (RiR 2007:10). Rapporten publicerades i juni 2007.<br>
Informationsberoendet i staten<br>
Inslaget av IT-stöd i den statliga förvaltningen är betydande och IT-beroendet har blivit allt större. Merparten av den statliga verksamheten skulle sannolikt inte fungera i dag utan IT-stöd för att hantera information och utföra tjänster för enskilda, företag och andra myndigheter. <br>
Regeringen har i olika sammanhang, inte minst i samband med utvecklingen av elektroniska tjänster hos myndigheterna, påtalat vikten av att IT-stödet är säkert och att informationen skyddas. Om informationssäkerheten brister finns stora risker för att myndigheterna inte kan uppfylla sina skyldigheter - beslut kan bli felaktiga, medborgarnas möjligheter till insyn kan äventyras, hemliga uppgifter kan felaktigt röjas för obehöriga, etc. <br>
Tidigare granskningar<br>
Riksrevisionen har tidigare genomfört granskningar av elva olika myndigheters informationssäkerhetsarbete. Flera problem och incidenter har därvid påvisats. Det finns exempel på myndigheter som inte har lyckats avvärja virusattacker, vilket fått till följd att verksamheten inte fungerat. Allvarliga incidenter har också inträffat när myndigheter bytt IT-system eller infört nya IT-system. Vidare har brister i skyddet av myndigheternas hemsidor lett till att obehöriga fått tillgång till integritetskänsliga uppgifter och även kunnat ändra i dessa. <br>
Riksrevisionen framhåller att staten måste kunna garantera allmänheten och företagen att de statliga myndigheternas IT-användning uppfyller kraven på säkerhet. Riksrevisionens granskning utgår från att regeringen är ansvarig för sina myndigheters verksamhet och därmed också för att de säkerställer sin informationshantering. Att regeringen valt att delegera det mesta av detta ansvar till myndigheterna själva och till sina expertmyndigheter inom området förändrar enligt Riksrevisionen inte regeringens ansvar. <br>
Granskningens syfte och inriktning<br>
Granskningen har genomförts mot bakgrund av de problem som framkommit i Riksrevisionens granskningar av elva myndigheters informationssäkerhetsarbete. En analys av dessa problem presenteras i ett senare avsnitt.<br>
Fokus på regeringens ansvar<br>
Ansvaret för styrning och ledning av statsförvaltningens informationssäkerhet är fördelat mellan riksdagen, regeringen, de av regeringen utsedda tillsyns- och stödmyndigheterna samt de enskilda myndigheternas ledningar. Den s.k. ansvarsprincipen innebär att ansvaret för informationssäkerhet ska ligga hos de myndigheter, företag och organisationer som har det normala verksamhetsansvaret.<br>
Riksrevisionen har i denna granskning valt att fokusera på regeringens ansvar för att följa upp förvaltningens arbete och ta initiativ till åtgärder för att förbättra förutsättningarna för förvaltningens arbete med informationssäkerheten. <br>
<br>
Underlaget för granskningen<br>
Granskningen baseras på en syntes av tidigare genomförda och separat redovisade undersökningar av informationssäkerheten i elva myndigheter. Fem av dessa har redovisats i Riksrevisionens rapportserie. De övriga har offentliggjorts i annan form, men är i de flesta fall tillgängliga via Riksrevisionens hemsida. Det skriftliga källmaterialet för det samlade granskningsarbetet är omfattande. Inför den här aktuella granskningen av regeringens ansvar på området har materialet kompletterats ytterligare. Vidare har intervjuer genomförts med företrädare för Regeringskansliet (fem departement) samt fyra av expertmyndigheterna på området, nämligen Kris- och beredskapsmyndigheten (KBM), Post- & telestyrelsen (PTS), Säkerhetspolisen (Säpo) och Verket för förvaltningsutveckling (Verva). <br>
Fyra aspekter av informationssäkerhet<br>
I Riksrevisionens rapport behandlas fyra olika aspekter av informationssäkerhet:<br>
<br>
Skydd av konfidentialitet/sekretess, dvs. att endast behöriga användare kommer åt informationen.<br>
Skydd av tillgänglighet, dvs. att behöriga användare har tillgång till den information och de funktioner de är behöriga till i rätt tid och omfattning för att kunna ge en god service.<br>
Skydd av riktighet (informations- och datakvalitet), dvs. så att obehöriga inte ändrar eller modifierar informationen samt att den uppfyller verksamhetens krav på kvalitet.<br>
Skydd av spårbarhet, vilket innebär att man kan se vem som gjort vad med informationen och informationssystemen och vid vilken tidpunkt, t.ex. om informationen påverkats i strid med myndighetens regler.<br>
Bedömningsgrund för granskning av myndighetsledningarna<br>
Frågor om informationssäkerhet behandlas i ett stort antal statliga författningar. Regelverken tar bl.a. upp ledningens ansvar, hantering av handlingar samt krav på risk- och säkerhetsanalyser. Ingen av de aktuella författningarna innehåller dock krav på ett systematiskt arbetssätt med informationssäkerheten. Riksrevisionen har därför utvecklat en revisionsnorm för ändamålet, vilken bygger på de fyra aspekter av informationssäkerhet som beskrivits ovan tillsammans med ett etablerat synsätt på hur intern styrning och kontroll bör organiseras (COSO). Normen omfattar följande moment: ledningens kontrollmiljö, riskanalyser, kontrollfunktioner, information och utbildning samt uppföljning, utvärdering och vidareutveckling (se figur 1). Normen har enligt Riksrevisionen visat sig fungera väl i granskningsarbetet och har accepterats av de myndigheter som varit föremål för granskning. Dess närmare innebörd beskrivs i granskningsrapporten.<br>
Bedömningsgrund för regeringens styrning<br>
Det finns ingen av riksdagen eller regeringen beslutad norm för regeringens styrning av myndigheternas interna styrning och kontroll av informationssäkerheten. Riksrevisionen har därför utgått från huvuddragen i de bedömningsgrunder som tillämpats i myndighetsgranskningarna. Det innebär bl.a. att regeringen förväntas ställa tydliga krav på myndigheternas styrning och interna kontroll, att regeringen följer upp förvaltningens arbete och att regeringen samordnar frågor om informationssäkerhet inom Regeringskansliet. <br>
<br>
Regeringen förväntas också tillse att utlovade eller beslutade åtgärder genomförs och att effekterna av dessa åtgärder följs upp. <br>
<br>
Figur 1. COSO-modellen<br>
<br>
Kontrollmiljön<br>
Riskanalys<br>
Säkerhetsåtgärder <br>
och kontroll av <br>
dessa<br>
Information och <br>
utbildning<br>
Uppföljning och <br>
vidareutveckling <br>
av styrprocessen<br>
<br>
Den samlade problembilden<br>
Elva myndigheter har granskats<br>
Under åren 2005 och 2006 har Riksrevisionen granskat och avrapporterat hur myndighetsledningarna vid elva myndigheter styr och kontrollerar arbetet med informationssäkerhet. Samtliga granskade myndigheter är starkt beroende av sina IT-system och informationssäkerheten är en viktig förutsättning för de berörda verksamheterna. <br>
De sex myndigheter som varit föremål för en mera ingående granskning var följande: <br>
<br>
Arbetsmarknadsverket (AMV) <br>
AMV:s cirka 10 000 medarbetare svarar för den offentliga arbetsförmedlingen med 320 lokala arbetsförmedlingar samt webb-tjänster. <br>
Försäkringskassan (FK) <br>
FK:s cirka 16 000 medarbetare på 330 försäkringskontor administrerar de försäkringar och bidrag som ingår i socialförsäkringen. FK initierar utbetalningar på cirka 1,5 miljarder kronor varje dygn, året om. <br>
<br>
Lantmäteriverket (LMV) <br>
LMV:s 2 000 medarbetare på 100 orter arbetar med fastighetsindelning och ger landskaps- och fastighetsinformation. <br>
Migrationsverket (MV) <br>
MV:s cirka 3 000 medarbetare ansvarar bl.a. för behandling av tillstånd för besök och bosättning i Sverige samt medborgarskapsfrågor. <br>
Statens pensionsverk (SPV) <br>
De 350 medarbetarna beräknar och utbetalar pensioner till 260 000 mottagare - till ett värde av 10 miljarder kronor per år för främst statsanställda. <br>
Sjöfartsverket (SjöV) <br>
SjöV är ett affärsverk. De 1 300 medarbetarna svarar för bl.a. lotsning, isbrytning, sjöräddning och sjökartering. <br>
<br>
De fem myndigheter som Riksrevisionen granskat mer översiktligt är följande: <br>
<br>
Bolagsverket (BV) <br>
BV:s cirka 530 medarbetare registrerar nya företag, tar emot årsredovisningar och registrerar företagsinteckningar. <br>
Försvarsmakten (FM) <br>
FM:s cirka 17 000 medarbetare utvecklar och använder operativa insatsförband, nationella skyddsstyrkor och utlandsstyrkan. <br>
Post- och telestyrelsen (PTS) <br>
Styrelsens 250 medarbetare arbetar med tillsyn och föreskrifter inom områdena elektronisk kommunikation (tele, IToch radio) och post. <br>
Statens räddningsverk (SRV) <br>
Verkets 800 medarbetare arbetar med räddningsinsatser samt råd och stöd för att minska antalet olyckor i samhället och deras effekter. <br>
Svenska kraftnät (SK) <br>
De cirka 260 medarbetarna vid affärsverket sköter stamnätet för elkraft och har systemansvaret för den svenska elförsörjningen. <br>
<br>
Riksrevisionen framhåller att de granskade myndigheterna tillhör statsförvaltningens största myndigheter och har omfattande skyddsvärda informationstillgångar. Riksrevisionen har alltså granskat myndigheter för vilka informationssäkerhet borde vara en väsentlig fråga för myndighetsledningen. <br>
Riksrevisionens bedömningar utifrån myndighetsgranskningarna<br>
Riksrevisionens undersökningar visar att de granskade myndigheterna med ett par undantag hade allvarliga brister i sina ledningssystem för informationssäkerhet. Exempel på sådana brister är att myndighetsledningarna inte ägnade dessa säkerhetsfrågor tillräcklig uppmärksamhet och att ledningarna inte utformat sina egna ledningsuppgifter på ett bra sätt. Frågor som borde vara förbehållna ledningen visade sig inte behandlas av vare sig myndighetsledningarna eller någon annan. Som exempel på sådant som enligt Riksrevisionen borde vara väsentliga ledningsfrågor kan nämnas <br>
<br>
vilka risker myndigheten vid en viss tidpunkt saknar skydd mot, <br>
om kostnaderna för säkerhet är rimliga i förhållande till det ökade IT-beroendet och <br>
om delegationerna inom säkerhetsområdet fungerar.<br>
Granskningarna visade att det fanns en föreställning om att informationssäkerhetsfrågorna är av teknisk natur och att de därför inte hör hemma på ledningens agenda. Detta har medfört en mycket långtgående delegering, vilket - med undantag av ovan nämna ledningsuppgifter - inte i sig utgör något problem om ledningen följer upp de uppgifter som delegerats. Några sådana uppföljningar har dock inte gjorts. <br>
<br>
Riksrevisionens granskningar visade att arbetet med att genomföra beslutade säkerhetsåtgärder i flera fall släpade efter eller inte hade genomförts. Detta förhållande var ofta inte känt hos myndighetsledning och säkerhetschefer. Även andra allvarliga brister uppdagades i Riksrevisionens granskningar av de elva myndigheterna. Sammantaget saknades tillräckligt underlag för att ledningarna skulle kunna ha en tillräcklig överblick över vilka risker som beaktats och vilka risker som kvarstod. <br>
Problembilden har bekräftats på myndighetsnivå<br>
En uppföljning av vad tio av de granskade myndigheterna gjort efter granskningen visade i samtliga fall att myndigheterna hade tagit till sig Riksrevisionens iakttagelser av problem samt rekommendationer. <br>
Riksrevisionens undersökning visar även att problembilden på en övergripande nivå är känd av de fyra expertmyndigheter som intervjuats. Enligt Krisberedskapsmyndigheten har problembilden varit densamma i tio års tid. Kunskapen inom Regeringskansliet om de problem som Riksrevisionen funnit visade sig dock vara högst varierande. <br>
Orsaker till problemen <br>
Expertmyndigheterna framför flera tänkbara orsaker till de konstaterade bristerna i myndighetsledningarnas styrning av informationssäkerheten. Vid intervjuerna nämns bl.a. att det inte finns någon förordning eller föreskrift som reglerar myndigheternas interna kontroll inom informationssäkerhetsområdet, att ledningens engagemang i dessa frågor är otillräckligt och att riskanalysen för informationssäkerhet inte är en naturlig del av myndighetens samlade riskanalys. Dessutom finns orsaker av teknisk natur: Snabba förändringar i praxis för informationssäkerheten kan ha lett till osäkerhet om vad som gäller på området. Vidare betonas att övergången från slutna IT-miljöer i myndigheterna till öppna miljöer med e-tjänster på Internet är en ovan situation för myndigheterna. De har svårt att hinna med att se över säkerhetsåtgärderna. Komplexiteten i IT-systemen ökar, liksom integrationen mellan systemen. Kunskapen om detta och den sårbarhet som det innebär anses otillräcklig. <br>
Allvarliga incidenter har inträffat<br>
Riksrevisionens slutsatser utifrån de genomförda elva granskningarna är att myndigheterna inte utifrån gängse normer arbetar systematiskt med sin interna styrning och kontroll. Följande allvarliga incidenter i myndigheternas verksamheter har framkommit i granskningarna: <br>
<br>
Det finns exempel på myndigheter som inte har lyckats avvärja virusattacker, vilket fått till följd att verksamheten inte fungerat. Handläggarna hade exempelvis inte tillgång till nödvändig information.<br>
Allvarliga incidenter har inträffat när myndigheter bytt IT-system eller infört nya IT-system. Handläggare fick svårt att genomföra sina uppgifter i ett nytt system. Viktiga samhällstjänster för medborgare och företag på Internet fick stängas ned upp till två veckor. <br>
Brister i skyddet av myndigheternas hemsidor har lett till att obehöriga fått tillgång till integritetskänsliga uppgifter och även kunnat ändra i dessa. <br>
<br>
Riksrevisionens slutsatser om myndigheternas ansvar<br>
Enligt Riksrevisionens analys har dessa incidenter delvis sin grund i brister i myndighetsledningarnas arbete med informationssäkerheten. De viktigaste ledningsproblemen är enligt Riksrevisionen följande: <br>
<br>
Ledningen är osäker på vilka uppgifter den har i informationssäkerhetsarbetet och hur dessa uppgifter ska utföras. <br>
Ledningen begär inte något tydligt underlag om vilka risker och hot som finns för verksamheten. Ledningen får därmed inte tillräcklig insikt i vilka åtgärder som ska prioriteras för att skydda verksamheten. <br>
Ledningens beslut om säkerhetsåtgärder fullföljs inte. Ledningen följer inte heller upp om säkerheten uppfyller ledningens krav. Ledningen är inte medveten om att viktiga åtgärder som kontinuitetsplaner, rapportering och hantering av incidenter inte fungerar.<br>
Ledningen underskattar betydelsen av utbildning och information till personalen, inklusive sin ledningspersonal och styrelsen. <br>
Granskningens slutsatser om regeringens ansvar<br>
Riksrevisionen bedömer att de ovan beskrivna problemen är allvarliga och att de innebär risk för betydande negativa konsekvenser för statliga åtaganden som elektronisk förvaltning och nationell krishantering. <br>
Bristerna på myndighetsnivå har konsekvenser för elektronisk förvaltning och nationell krishantering<br>
Regeringens satsning på elektronisk förvaltning innebär att alltfler myndighetstjänster blir tillgängliga på Internet, att flera myndigheter tillsammans skapar samverkande e-tjänster samt att det IT-baserade utvecklingsarbetet ökar även i övrigt. För att denna reform av förvaltningen ska lyckas måste medborgare och företag ha förtroende för de e-tjänster som finns på Internet, framhåller Riksrevisionen. Förtroendet för myndigheternas e-tjänster riskerar att minska om informationen inte kan skyddas. Detta kan hända om obehöriga får åtkomst till känslig information, om de kan förändra data eller på annat sätt agera så att tjänsterna inte kan användas. Då finns enligt Riksrevisionen en betydande risk för att hela satsningen på e-förvaltning äventyras. <br>
Brister i informationssäkerheten kan även påverka den nationella krishanteringen. Statliga myndigheter har som regel viktiga roller i samhällets förmåga att förebygga, förhindra och hantera kriser. Myndigheterna förutsätts därför ha en viss s. k. basförmåga för att kunna uppfylla sin roll och bidra till samhällets förmåga att klara kriser. Basförmågan är beroende av hur väl utformad myndighetens informationssäkerhet är. <br>
Regeringens ansvar <br>
Enligt Riksrevisionen har de statliga myndigheterna ett eget ansvar för sin informationssäkerhet enligt ansvarsprincipen. Regeringen har samtidigt ett ansvar för att ställa krav på och följa upp statsförvaltningens arbete med informationssäkerheten samt ta initiativ till åtgärder för att förbättra förutsättningarna för förvaltningens arbete inom detta område. <br>
Riksrevisionens samlade bedömning är att regeringen inte följt upp om den interna styrningen och kontrollen av informationssäkerheten i statsförvaltningen varit tillfredsställande. <br>
<br>
Regeringen har inte heller tagit tillräckliga initiativ för att förbättra förutsättningarna för förvaltningens arbete med informationssäkerheten. <br>
Otydliga krav och mandat<br>
Riksrevisionen konstaterar att regeringen har vidtagit åtgärder som rör tekniska förutsättningar för myndigheternas informationssäkerhetsarbete, t.ex. e-signaturer, e-legitimationer, säkert Internet etc. Däremot har ännu inga åtgärder vidtagits för att stödja myndigheternas interna styrning och kontroll av informationssäkerheten.<br>
De granskade myndighetsledningarna uppfattar inte tydligt vilka krav och regler som gäller för deras informationssäkerhetsarbete, exempelvis när det gäller ledningens ansvar och myndigheternas riskanalyser. Detta kan enligt Riksrevisionens bedömning orsakas bl.a. av att författningarna på området inte ger någon tydlig och samlad vägledning. Regeringen utlovade år 2001 en översyn av regleringen inom informationssäkerhetsområdet. Översynen har ännu inte genomförts. Riksrevisionen bedömer att översynen av regleringen är angelägen, särskilt mot bakgrund av satsningen på e-förvaltning. <br>
Regeringens strategi för informationssäkerhet ger enligt Riksrevisionen inte heller någon tydlig vägledning. Den är inriktad på samhället som helhet och preciserar inte kraven på myndigheterna. <br>
Regeringen har utsett sju olika expertmyndigheter med ansvar för olika frågor inom informationssäkerhetsområdet. Expertmyndigheterna har dock inte fått tydliga mandat av regeringen, något som enligt Riksrevisionen inneburit svårigheter för dem att ge regeringen en samlad bild av de statliga myndigheternas problem med informationssäkerhet. Tydliga mandat krävs också för att expertmyndigheterna ska kunna utfärda lämpliga föreskrifter som preciserar regeringens krav på myndigheternas arbete med informationssäkerhet.<br>
Regeringen har inte följt upp myndigheternas arbete med informationssäkerhet<br>
Granskningen visar att regeringen under de senaste tio åren i stora drag har varit medveten om vissa ledningsproblem på informationssäkerhetsområdet. Bilden har dock varit otydlig vad gäller statliga myndigheter och någon samlad problembild avseende statsförvaltningen finns inte. Regeringen har, enligt Riksrevisionen, inte ställt några krav på de statliga myndigheterna att rapportera om de huvudsakliga problemen när det gäller informationssäkerhet. De lägesbedömningar om informationssäkerhet som görs av Krisberedskapsmyndigheten är enligt Riksrevisionen en viktig källa för regeringens bedömningar på detta område. Regeringen har dock inte ställt krav på Krisberedskapsmyndigheten att lämna informationen i sådan form att förhållanden som avser statliga myndigheter tydligt kan urskiljas från exempelvis kommuner och landsting. Det framgår också att Krisberedskapsmyndigheten inte anser sig ha ett sådant mandat att utöva tillsyn över myndigheternas informationssäkerhetsarbete som man behöver för att kunna ge regeringen ett bra underlag för dess styrning av den statliga förvaltningen. <br>
Riksrevisionen noterar också att ledningsfrågorna i de statliga myndigheterna inte har berörts i regeringens direktiv till de statliga utredningar som avsett frågor om informationssäkerhet. <br>
<br>
Brister i regeringens beredning av frågor om informationssäkerhet<br>
Regeringens organisering av Regeringskansliets arbete med informationssäkerhetsfrågorna och dess styrning av expertmyndigheterna är enligt Riksrevisionen otillräckliga för att hantera myndigheternas problem med informationssäkerhet. Inget departement har ett uttalat ansvar för att göra en samlad bedömning av myndigheternas interna styrning och kontroll av informationssäkerheten. <br>
Granskningen visar att principerna för att fördela ansvar och bereda frågor inom Regeringskansliet innebär att det krävs starka signaler - exempelvis allvarliga säkerhetsincidenter - för att Regeringskansliet ska uppmärksamma brister i enskilda myndigheter. Starka signaler krävs också för att identifiera generella problem i den statliga förvaltningen. Regeringen har dock inte nåtts av någon sådan signal, t. ex. via Krisberedskapsmyndighetens årliga lägesbedömning, och har alltså inte uppfattat att det föreligger ett behov av att åtgärda problem i myndigheternas arbete med informationssäkerhet. <br>
Riksrevisionen konstaterar vidare att inte heller de elva myndighetsgranskningar som gjorts under en period av två år har utgjort en tillräckligt stark signal för att regeringen skulle dra slutsatsen att det finns generella problem i statsförvaltningen.<br>
Riksrevisionens rekommendationer<br>
Av granskningen framgår att regeringen under senare tid har vidtagit flera åtgärder i syfte att ge förvaltningen och samhället i övrigt bättre förutsättningar att upprätthålla en god informationssäkerhet. Enligt Riksrevisionens bedömning är dessa åtgärder dock inte tillräckliga för att lösa de problem som myndighetsledningarna har med informationssäkerhetsarbetet. Riksrevisionen har därför rekommenderat regeringen att vidta följande åtgärder. <br>
Regeringen bör tydligare fokusera på informationsfrågorna<br>
Riksrevisionens elva granskningar av myndigheternas informationssäkerhetsarbete har av regeringen inte uppfattats som en signal på ett mer generellt problem. I och med regeringens satsning på e-förvaltning krävs, enligt Riksrevisionen, att regeringen också vidtar åtgärder för att fokusera informationssäkerhetsfrågorna. Särskilt Försvarsdepartementet och Finansdepartementet bör närmare samordna sitt arbete i frågor som rör myndigheternas informationssäkerhet.<br>
Regeringen bör ge expertmyndigheterna tydliga mandat <br>
Expertmyndigheterna har hittills inte kunnat förse regeringen med sådan information att regeringen fått en tillräcklig inblick i de väsentliga problem som finns i myndigheternas arbete med informationssäkerhet. Regeringen bör därför, enligt Riksrevisionen, tydliggöra dessa myndigheters uppdrag så att någon av expertmyndigheterna får ett tydligt mandat att följa upp och rapportera om myndigheternas styrning och kontroll av informationssäkerhetsarbetet. Regeringen bör i samband med detta precisera syftet med de årliga lägesbedömningar som görs av Krisberedskapsmyndigheten. <br>
Regeringen bör ge myndigheterna bättre förutsättningar och ställa tydligare krav på arbetet med informationssäkerhet<br>
Myndigheterna har själva ansvaret för sin informationssäkerhet. Riksrevisionens granskningar har dock visat att myndighetsledningarna är osäkra på hur de ska hantera frågor om informationssäkerhet. <br>
<br>
Detta kan enligt Riksrevisionens bedömning bl.a. bero på att det saknas tillräckligt tydliga krav från regeringen. Regeringen utlovade år 2001 en översyn av regleringen inom informationssäkerhetsområdet. Informationssäkerhetsutredningen förde år 2005 fram förslag på en förordning inom informationssäkerhetsområdet. Regeringen har ännu inte genomfört översynen av regleringen och inte heller tagit ställning till utredningens förslag. Riksrevisionen bedömer att en översyn av regleringen är angelägen särskilt mot bakgrund av satsningen på e-förvaltning. <br>
Riksrevisionen rekommenderar att regeringen tydliggör sin strategi inom informationssäkerhetsområdet, så att regeringen får en bättre grund för sin styrning av informationssäkerhetsfrågor inom statsförvaltningen och så att myndigheterna får bättre information om politikens innehåll. <br>
Krisberedskapsmyndigheten har av regeringen fått uppdraget att ta fram en handlingsplan för genomförandet av regeringens strategi. Detta uppdrag bör enligt Riksrevisionens mening även omfatta myndigheternas interna styrning och kontroll av informationssäkerhetsarbetet.<br>
I mål- och resultatstyrningen av de enskilda myndigheterna bör regeringen ta upp informationssäkerhetsarbetet. Kraven på de enskilda myndigheterna bör därvid anpassas efter deras skilda förutsättningar. <br>
<br>
2007/08:RRS6<br>
<br>
15<br>
<br>
Styrelsens överväganden<br>
<br>
RIKSREVISIONENS GRANSKNING 2007/08:RRS6<br>
2000-08-11 16.42<br>
<br>
2007/08:RRS6 STYRELSENS öVERVäGANDEN<br>
<br>
Styrelsen överlämnar härmed en framställning till riksdagen med anledning av Riksrevisionens granskning av regeringens styrning av informationssäkerhetsarbetet i den statliga förvaltningen. I anslutning härtill vill styrelsen anföra följande. <br>
En översyn av regleringen på området informationssäkerhet<br>
Styrelsen konstaterar att inslaget av IT-stöd i den statliga förvaltningen är betydande och att IT-beroendet har blivit allt större. Många myndigheter förfogar över mycket stora informationstillgångar. Informationssäkerhet i olika bemärkelser - dvs. skydd av informationen vad gäller konfidentialitet/sekretess, tillgänglighet, riktighet och spårbarhet - utgör en förutsättning för en mängd olika verksamheter av stor betydelse för medborgarna och förvaltningens funktionssätt. Betydelsen av informationssäkerhet tenderar också att öka med tiden, i takt med att IT-systemen blir mer komplexa och integrerade med varandra samt tillgängliga via öppna nätverk. Styrelsen vill framhålla de risker som är förknippade med denna utveckling. <br>
Frågor om informationssäkerhet behandlas i ett stort antal statliga författningar. I Riksrevisionens rapport nämns fem olika lagar och fem förordningar från regeringen. Ingen av de aktuella författningarna innehåller dock krav på ett systematiskt arbetssätt med informationssäkerheten. <br>
Av granskningen framgår att regeringen under senare tid har vidtagit åtgärder som rör tekniska förutsättningar för myndigheternas informationssäkerhetsarbete. Däremot har inga åtgärder vidtagits för att stödja myndigheternas interna styrning och kontroll av informationssäkerheten. <br>
Riksrevisionen har tidigare granskat informationssäkerheten i elva statliga myndigheter med stora skyddsvärda informationstillgångar. Riksrevisionens slutsatser utifrån dessa granskningar är att myndigheterna inte arbetar systematiskt med sin interna styrning och kontroll på detta område. Ett antal allvarliga incidenter har inträffat. Några genomgående problem gällde ledningens roll i de berörda myndigheterna. Det framgick bl.a. att myndighetsledningen ofta är osäker på vilka uppgifter den har i informationssäkerhetsarbetet och att den inte begär något tydligt underlag om vilka risker och hot som finns för verksamheten. De beslut om säkerhetsåtgärder som fattas fullföljs ofta inte och ledningen följer inte heller upp om säkerheten uppfyller de krav som ställts. Denna generella problembild har bekräftats såväl av de direkt berörda myndigheterna som av de fyra expertmyndigheter som Riksrevisionen haft kontakt med i granskningen. <br>
Styrelsen anser att informationssäkerheten i förvaltningen måste förbättras och att de beskrivna problemen motiverar åtgärder från regeringens sida. Av särskild betydelse är att regeringen formulerar tydliga krav på myndigheterna när det gäller hur frågor om informationssäkerhet ska hanteras. <br>
<br>
Styrelsen noterar att regeringen år 2001 utlovade en översyn av regleringen på informationssäkerhetsområdet men att denna ännu inte har kommit till stånd. <br>
Styrelsen anser att regeringen snarast bör genomföra en översyn av regleringen på området informationssäkerhet och återrapportera resultatet av översynen till riksdagen. <br>
Styrelsens förslag<br>
Mot bakgrund av ovanstående överväganden föreslår styrelsen att riksdagen begär att regeringen snarast genomför en översyn av regleringen på området informationssäkerhet och återrapporterar resultatet till riksdagen. <br>
<br>
Prop. 2001/02:158, bet. 2001/02:FöU10.<br>
Dessa rapporter rör Statens pensionsverk (RiR 2005:26), Sjöfartsverket (RiR 2005:27), Arbetsmarknadsverket (RiR 2006:24), Migrationsverket (RiR 2006:25) och Lantmäteriverket (RiR 2006:26).<br>
Informationssäkerhet är en samlingsbeteckning för åtgärder som syftar till att skydda olika typer av informationstillgångar - både information i IT-system och själva systemen (programvara och dokumentation). De fyra aspekterna av informationssäkerhet bygger på en internationellt accepterad standard, den s.k. LIS-standarden. <br>
De viktigaste är följande: verksförordningen (1995:1322), sekretesslagen (1980:100), förvaltningslagen (1986:223), säkerhetsskyddslagen (1996:627), personuppgiftslagen (1998:204), arkivlagen (1990:782), förordningen om myndigheternas riskhantering (1995:1300), förordningen (2006:942) om krisberedskap och förhöjd beredskap, säkerhetsskyddsförordningen (1996:633) och internrevisionsförordningen (2006:1228).<br>
Committee of Sponsoring Organizations of the Treadway Commission (COSO) har beskrivit den interna styrningens och kontrollens olika beståndsdelar och deras samband i den s.k. COSO-modellen.<br>
I en kontinuitetsplan beskrivs de åtgärder som krävs för att de viktigaste delarna av verksamheten ska påverkas så lite som möjligt vid en allvarlig incident. <br>
Denna fråga har varit föremål för en särskild analys i granskningen se bilaga 2 i Riksrevisionens rapport.<br>
Prop. 2001/02:10, bet. 2001/02:FöU10.<br>
Krisberedskapsmyndigheten (KBM), Säkerhetspolisen (Säpo), Post & telestyrelsen (PTS), Försvarets radioanstalt (FRA), Verket för förvaltningsutveckling (Verva), Försvarsmakten (FM) och Försvarets materielverk (FMV). <br>
SOU 2005:42 och SOU 2005:71.<br>
Se not 4.<br>
Elanders Gotab, Stockholm 2007<br>
<br>
</div>