Del av dokument 1 (2019–2020) / Offentliggjort Undersøkelse av sikring mot dataangrep i Utenriksdepartementet
Utenriksdepartementets styringssystem for informasjonssikkerhet og etablerte sikkerhetstiltak har flere svakheter.
Dokumentet er gradert
Til Dokument 1 (pdf)Funn
- Utenriksdepartementet har manglende risikovurderinger av sikkerheten i IKT-systemer, og det er liten sammenheng mellom risikovurderinger og gjennomføring av sikkerhetstiltak.
- Utenriksdepartementets sikkerhetstiltak har svakheter som gjør systemer sårbare for dataangrep.
- Utenriksdepartementets system for oppfølging av informasjonssikkerheten har svakheter som reduserer muligheten for helhetlig oppfølging av området.
Kritikknivå:
Kritikkverdig
På flere områder etterlever ikke Utenriksdepartementet krav og anbefalinger til styringssystem for informasjonssikkerhet og til sikkerhetstiltak for å forhindre dataangrep.
Anbefalinger
Riksrevisjonen anbefaler at Utenriksdepartementet
- sikrer at det gjennomføres risikovurderinger av sikkerheten i viktige og virksomhetskritiske IKT-systemer
- sørger for tilfredsstillende sikkerhet i eldre IKT-løsninger slik at de er i samsvar med beste praksis
- sørger for at etablerte rutiner for oppfølging og rapportering følges i praksis
Bakgrunn og mål
Betydningen av gode styringssystemer for informasjonssikkerhet og beskyttelse av informasjon som virksomheter behandler, øker i takt med digitaliseringen av offentlig forvaltning. Utenriksdepartementet behandler informasjon i flere av sine datasystemer som ikke bør komme på avveie, og som eksterne aktører kan være interessert i.
Målet med revisjonen har vært å kontrollere om Utenriksdepartementet gjennom planlagte og systematiske tiltak har sikret informasjonen i ugraderte systemer mot dataangrep.
Spørsmål?
