Finansministeriet stiller krav om, at statslige myndigheder følger it-sikkerhedsstandarden ISO 27001 til styring af it-sikkerheden, herunder it-sikkerheden hos eksterne it-leverandører. Myndighederne skal sikre en balanceret indsats, der vægter hensynet til brugervenlighed, sikkerhed og økonomi. Indsatsen skal være proportional med de risici, der er på det konkrete område.

Beretningen handler om, hvordan 5 myndigheder: Rigspolitiet (Det Centrale Pasregi-ster), SKAT (TastSelv Borger og Nyt TastSelv Erhverv), Styrelsen for Arbejdsmarked og Rekruttering (Det fælles datagrundlag), Digitaliseringsstyrelsen (NemID) og Sø-fartsstyrelsen (Skibsregistret) styrer it-sikkerheden hos deres eksterne it-driftsleverandører. 

Statsrevisorerne bemærker, at statslige myndigheder generelt kan outsource it-driften til eksterne it-leverandører, men ikke ansvaret for it-sikkerheden.

Statsrevisorerne finder det utilfredsstillende, at 4 ud af de 5 myndigheder ikke har udarbejdet en tilstrækkelig risikovurdering.

Statsrevisorerne finder det bekymrende, at myndighederne – med undtagelse af Rigspolitiet – ikke i tilstrækkelig grad stiller krav til it-leverandørernes sikkerhedsniveau. Kravene bør være klare og baseret på risikovurderinger, og myndig-hederne bør følge op herpå.

Statsrevisorerne finder det væsentligt, at Finansministeriet præciserer ansvaret for tilsynet med it-sikkerheden for de it-systemer, som drives af Statens It.

Ministrenes svarfrist: 2 måneder

• Se hele beretningen her

Kontakt:
Gitte Korff
Sekretariatschef
Telefon: 3337 5985