Arbeidet med informasjonssikkerhet i fylkeskommuner og kommuner

Denne rapporten er et kunnskapsgrunnlag om arbeidet med informasjonssikkerhet i fylkeskommuner og kommuner. Vi har undersøkt hvordan fylkeskommuner og kommuner arbeider med informasjonssikkerhet og gir våre anbefalinger for videre arbeid. Rapporten er utarbeidet i dialog med KS, på oppdrag fra Kommunal- og moderniseringsdepartementet.

Rapport 2020:3 30. nov 2020

Kunnskapsgrunnlaget er basert på observasjoner fra dokumentstudier og våre faglige vurderinger av disse.

Våre vurderinger

Samlet sett viser våre vurderinger at fylkeskommuner og kommuner, og spesielt små og mellomstore kommuner, ikke har tilstrekkelig styring og kontroll på informasjonssikkerhetsområdet.

  • Det er svakheter i fylkeskommuners og kommuners arbeid med å etablere og vedlikeholde systematisk internkontroll på informasjonssikkerhetsområdet. Spesielt gjelder dette små og mellomstore kommuner. For eksempel ser vi at kun 33 prosent av de små kommunene gjennomfører risikovurderinger systematisk og periodisk.

    Dette indikerer at kommunestørrelse kan ha betydning for hvordan det arbeides med informasjonssikkerhet.
  • Få fylkeskommuner og kommuner gjennomfører øvelser knyttet til informasjonssikkerhet minst én gang årlig. Rapporten viser at kun 25 prosent av fylkeskommunene og 12,6 prosent av de små kommunene øver årlig, som er vår anbefaling.

    Dette viser at fylkeskommuner og kommuner ikke i tilstrekkelig grad gjennomfører øvelser knyttet til informasjonssikkerhet.
  • Under halvparten av små og mellomstore kommuner gjennomfører kompetansehevende aktiviteter minst én gang i året. Fylkeskommuner og store kommuner gjør dette i større grad enn små og mellomstore kommuner.

Våre anbefalinger

Vi anbefaler at videre veiledning mot kommuner og fylkeskommuner innrettes slik:

  • Veiledning knyttet til hvordan virksomhetene kan etablere og vedlikeholde systematisk internkontroll på informasjonssikkerhetsområdet bør spesielt rettes mot små og mellomstore kommuner.
  • Veiledning i øvelser knyttet til informasjonssikkerhet bør rettes mot både fylkeskommuner og kommuner.
  • Veiledning i hvordan man identifiserer behov for kompetanse- og kulturutvikling bør rettes mot både fylkeskommuner og kommuner, spesielt mot små og mellomstore kommuner.

Videre arbeid

Mye av veiledningen og verktøyene kommunene og fylkeskommunene trenger for å arbeide mer systematisk med informasjonssikkerhet finnes allerede. Eksisterende og planlagte tiltak fra KS, Foreningen kommunal informasjonssikkerhet (KiNS), Direktoratet for samfunnssikkerhet og beredskap (DSB) og Digitaliseringsdirektoratet vil alle kunne bidra til å forbedre dette arbeidet.

Det må legges til rette for samarbeid mellom veiledningsaktørene, slik at videre arbeid fremstår helhetlig. Den jobben veiledningsaktørene gjør sammen på dette området, sikrer at kommunene får et helhetlig og godt koordinert veiledningstilbud, slik at informasjonssikkerheten i kommunal sektor styrkes.

Kontakt

Kompetansemiljø for informasjonssikkerhet