Beretningen handler om en række statslige myndigheders styring af it-sikkerheden hos deres eksterne it-driftsleverandører. Beretningen har et fremadrettet perspektiv og giver en række anbefalinger til at forbedre myndighedernes styring af it-sikkerheden hos leverandørerne.
Myndighederne er ansvarlige for at styre it-sikkerheden, selv om driften af it-systemerne varetages af eksterne it-leverandører. Det er derfor vigtigt, at myndighederne foretager risikovurderinger og på baggrund heraf stiller relevante krav til og følger op på it-sikkerheden i de outsourcede it-systemer. Risikovurderingerne er grundlaget for en tilstrækkelig og velbegrundet styring af it-sikkerheden. Uden en aktiv risikobaseret styring ved myndighederne ikke, om it-sikkerheden i de outsourcede systemer svarer til myndighedernes behov for sikkerhed.
Formålet med undersøgelsen er at vurdere, hvordan myndighederne har styret it-sikkerheden hos de eksterne leverandører på udvalgte områder med henblik på at give anbefalinger til, hvordan myndighederne fremadrettet kan forbedre deres styring af it-sikkerheden hos it-leverandører.
Statsrevisorerne afgav beretningen og deres bemærkning til Folketinget den 9. november 2016.
Emneord:
it og teleforsyning