Beretning om styring af it-sikkerhed hos it-leverandører

09-11-2016

Beretning nr. 5/2016

Beretningen handler om en række statslige myndigheders styring af it-sikkerheden hos deres eksterne it-driftsleverandører. Beretningen har et fremadrettet perspektiv og giver en række anbefalinger til at forbedre myndighedernes styring af it-sikkerheden hos leverandørerne.

Myndighederne er ansvarlige for at styre it-sikkerheden, selv om driften af it-systemerne varetages af eksterne it-leverandører. Det er derfor vigtigt, at myndighederne foretager risikovurderinger og på baggrund heraf stiller relevante krav til og følger op på it-sikkerheden i de outsourcede it-systemer. Risikovurderingerne er grundlaget for en tilstrækkelig og velbegrundet styring af it-sikkerheden. Uden en aktiv risikobaseret styring ved myndighederne ikke, om it-sikkerheden i de outsourcede systemer svarer til myndighedernes behov for sikkerhed.

Formålet med undersøgelsen er at vurdere, hvordan myndighederne har styret it-sikkerheden hos de eksterne leverandører på udvalgte områder med henblik på at give anbefalinger til, hvordan myndighederne fremadrettet kan forbedre deres styring af it-sikkerheden hos it-leverandører.

Rigsrevisionen har selv taget initiativ til undersøgelsen, der bygger på it-revisioner, som Rigsrevisionen har udført i 1. halvår 2016.

Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 9. november 2016 behandlede Statsrevisorerne

Beretning nr. 5/2016 om styring af it-sikkerhed hos it-leverandører

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Finansministeriet stiller krav om, at statslige myndigheder følger it-sikkerhedsstandarden ISO 27001 til styring af it-sikkerheden, herunder it-sikkerheden hos eksterne it-leverandører. Myndighederne skal sikre en balanceret indsats, der vægter hensynet til brugervenlighed, sikkerhed og økonomi. Indsatsen skal være proportional med de risici, der er på det konkrete område.

Beretningen handler om, hvordan 5 myndigheder: Rigspolitiet (Det Centrale Pasregister), SKAT (TastSelv Borger og Nyt TastSelv Erhverv), Styrelsen for Arbejdsmarked og Rekruttering (Det fælles datagrundlag), Digitaliseringsstyrelsen (NemID) og Søfartsstyrelsen (Skibsregistret) styrer it-sikkerheden hos deres eksterne it-driftsleverandører.

Statsrevisorerne bemærker, at statslige myndigheder generelt kan outsource it-driften til eksterne it-leverandører, men ikke ansvaret for it-sikkerheden.

Statsrevisorerne finder det utilfredsstillende, at 4 ud af de 5 myndigheder ikke har udarbejdet en tilstrækkelig risikovurdering.

Statsrevisorerne finder det bekymrende, at myndighederne – med undtagelse af Rigspolitiet – ikke i tilstrækkelig grad stiller krav til it-leverandørernes sikkerhedsniveau. Kravene bør være klare og baseret på risikovurderinger, og myndighederne bør følge op herpå.

Statsrevisorerne finder det væsentligt, at Finansministeriet præciserer ansvaret for tilsynet med it-sikkerheden for de it-systemer, som drives af Statens It."

Ministerredegørelser

Rigsrevisionens notat af 17. februar 2017

Rigsrevisionen følger i dette notat op på beretning nr. 5/2016 om styring af it-sikkerhed hos it-leverandører.

Notatet er baseret på redegørelser fra erhvervsministeren, justitsministeren, ministeren for offentlig innovation, skatteministeren og beskæftigelsesministeren og handler om de initiativer, som ministrene har iværksat som følge af beretningen.

Rigsrevisionen vil fortsat følge Finansministeriets arbejde med at skabe klarhed om ansvars- og opgavefordelingen mellem Finansministeriet og kunderne hos Statens It.

Hele notatet (PDF)

Rigsrevisionens notat af 25. juni 2018

Rigsrevisionen følger i dette notat op på beretning nr. 5/2016 om styring af it-sikkerhed hos it-leverandører.

Der er i notatet fulgt op på Finansministeriets præcisering af tilsynet med it-systemer, der drives af Statens It.

Rigsrevisionen vurderer, at sagen kan afsluttes. Rigsrevisionen vil dog som led i it-revisionen fortsat følge, om tilsynskonceptet også fungerer i praksis.