Printed from www.primodanmark.dk
Informationssikkerheden i danske kommuner
Printervenlig udgave

NordSec 2012 er en undersøgelse af informationssikkerheden blandt kommuner og regioner i Danmark, Norge og Sverige.

 

Undersøgelsen er en opfølgning på tilsvarende undersøgelser i 2008 og 2010. Undersøgelsen i 2012 er besvaret af hver fjerde organisation i Danmark, Norge og Sverige.

 

Materialet giver mulighed for at vurdere udviklingen i informationssikkerhed i Danmark og på tværs af de skandinaviske lande, i lys af den øgede digitalisering af de kommunale ydelser.

 

For den enkelte deltagende kommune er der mulighed for at få en vurdering af egne forhold sammenlignet med andre kommuner.

 

Undersøgelsen har i Danmark været støttet af PRIMO og KIT@, foreningen af kommunale IT ansvarlige, og gennemført i samarbejde med konsulentfirmaet I-Trust. Endvidere har der været afholdt opfølgningsseminar i samarbejde med BDO Kommunernes Revision.

 

Hovedkonklusionen er, at der fra 2010 til 2012 for de fleste områder kan ses fremgang på kommunernes indsats for informationssikkerhed. Fremgangen er ikke entydig og set i forhold til udfordringer som den pågående digitalisering og efterlevelse af rammestandarder eller nationale standarder, er der en række forhold, der skal have yderligere opmærksomhed.

 

Resume

Det samlede billede af informationssikkerhed i 2012 viser, at

 

1. Den overvejende part af kommunerne har styr på den tekniske sikkerhed og persondata.

 

Men:

- den ledelsesmæssige opmærksomhed på informationssikkerhed er mere formel end reel.

- organiseringen af sikkerhed som et fælles ansvar for forvaltningen er ikke fuldt  

  gennemført.

- der er ikke fokus på opbygning og kvalificering af medarbejdernes viden om sikker
  anvendelse af informationer og systemer.

- der er ikke sammenhæng mellem vurdering af IT-risici og øvrige forretningsrisici.

 

2. Digitalisering, borgernes ændrede forventninger til digital kommunikation, anvendelsen af Cloud og nye og fleksible tilgange som BYOD (Bring Your Own Device) stiller anderledes krav til sikkerhed og øger afhængigheden af IT.

 

Undersøgelsen viser, at danske kommuner ligger på et højt digitaliseringsniveau i forhold til Norge og Sverige. De tekniske sikkerhedsløsninger vedr. adgang og kommunikation er på højt niveau. Cloud, BYOD og sociale medier anvendes (endnu) ikke i stort omfang. 

 

Men:

- nye løsninger indføres uden at der laves risikovurderinger af anvendelse og afhængighed.

- der er ikke taget fornødne beredskabsmæssige hensyn til den øgede afhængighed af IT,

   herunder borgernes forventninger om tilgang til services.

- nye services leveres typisk af eksterne leverandører, og kommunerne har ikke indsigt i en
  række af de primære områder vedr. sikkerhed.

 

 

De skarpe spørgsmål

Kommunens ledelse vil på baggrund af rapporten kunne stille følgende spørgsmål i forhold til informationssikkerhed i egen organisation:

 

1. Er der gennemført risici-vurderinger af forretningens anvendelse af IT - og er
    sikkerhedsløsningerne indført ift. risikovurderingen?

2. Har vi styr på vores data ved outsourcing?

3. Har vi den nødvendige sikkerhed på de digitaliserede services?

4. Kontrollerer vi om de sikkerhedsløsninger, vi har indført, også fungerer efter hensigten?

5. Er organisationen inddraget i sikkerhedsspørgsmål - og har organisationen de  

    nødvendige kompetencer og viden?

6. Har vi løsninger på plads til at gennemføre kritiske forretningsprocesser, hvis IT-services
    - bl.a. de digitale - ikke kan gennemføres?

 

 

Opfølgning

Selv om man ikke har deltaget i undersøgelsen, er der fortsat mulighed for at indrapportere i databasen og dermed få viden om hvordan man ligger i forhold til øvrige kommuner og de standarder der ligger på området, f.eks. ISO 27001.

 

Databasen er opbygget og administreres af konsulentfirmaet I-Trust, som man kan kontakte for supplerende analyser mod betaling, på survey@i-trust.dk

 

PRIMO vil fortsat følge området med henblik på at fremme en informationssikkerhedskultur, der både tilgodeser den øgede digitalisering og brugen af nye værktøjer i kommunikationen mellem kommune og borger.

 

Evt. forespørgsler herom kan rettes til PRIMOs sekretariat, admin@primodanmark.dk