Rapport Arbeidet med informasjonssikkerheit i statsforvaltninga

Metode og gjennomføring

I denne delen vil vi kort greie ut om val av metode, utvalet av verksemder og dei ulike vurderingstema som undersøkinga tek for seg. Vi forklarar også sentrale omgrep som er brukt i rapporten og deira tyding i denne samanheng.

    Om datainnsamling og val av metode

    Undersøkinga er gjennomført ved bruk av spørjeundersøkingar og intervju. Kombinasjonen av kvantitativ og kvalitativ informasjonsinnhenting er lik den som vart nytta i Digdir si undersøking "Arbeidet med informasjonssikkerhet i statsforvaltningen" i 2018. Spørjeundersøkingane gir brei informasjon frå mange verksemder, mens intervjua gir djupare forståing av arbeidet med informasjonssikkerheit i nokre utvalde verksemder. Kombinasjonen av desse metodane gir eit oppdatert bilete av arbeidet med informasjonssikkerheit i statsforvaltninga, samtidig som det tek vare på moglegheita til å sjå utviklingstrekk frå undersøkinga i 2018.

    Utval

    Dei same verksemdene som vart nytta for undersøkinga i 2018 er nytta igjen. Årsaka er at denne rapporten bygger på tidlegare arbeid frå 2018 og ser på utviklinga sidan den gong. Det er gjort eit utval på 91 statlege verksemder frå teknisk og operativt nivå. Undersøkinga er anonym, og Digdir kan derfor ikkje samanlikne svara frå dei same verksemdene.

    Digdir illustrasjon - tre personer bærer emn stor blyant framfor en rød sirkel og en blå firkant

    Hovuddelen av undersøkinga består av ei spørjeundersøking. Fagansvarleg for informasjonssikkerheit, eller tilsvarande rolle i verksemda (t.d. informasjonssikkerheitsleiar eller CISO) skulle svare på spørjeundersøkinga. Sjølv om andre også kan ha svart på spørjeundersøkinga, er dette ikkje eit problem så lenge dei har god kunnskap om informasjonssikkerheitsarbeidet i verksemda. Vi har også ønske om å forstå korleis arbeidet med informasjonssikkerheit vert utført på leiarnivå, derfor vart spørsmål om dette inkludert. Svara her må sjåast i samanheng med at svara kjem frå fagpersonane og ikkje leiinga sjølv.

    Endringar frå undersøkinga gjennomført i 2018

    En person bærer en kloss med bilde av en stigende graf.

    Spørjeundersøkinga er nedskalert frå 2018. I 2018 vart det sendt ut to spørjeundersøkingar med fleire spørsmål, retta mot både verksemdsleiar og fagansvarleg informasjonssikkerheit.

    Vi har valt å nedskalere omfanget på spørjeundersøkinga for å oppnå høgare svarprosent. Vi har stilt færre spørsmål og omformulert eller slått saman nokre av spørsmåla. Vi har fjerna ein del av fritekstfelta som følgde nokre av spørsmåla i 2018. Dette vert omtalt vidare i teksten under. Spørjeskjema som vart sendt ut kan du sjå her: Vedlegg | Digdir

    Denne rapporten kan du lese utan å ha lese rapporten frå 2018.

    Spørjeundersøking

    Illustrasjon. To personer setter sammen en sirkel og en firkant.

    Verksemdene fekk tilsendt ei spørjeundersøking via Google Forms. Skjemaet inneheldt 26 spørsmål og eit fritekstfelt. Spørjeundersøkinga hadde ei estimert svartid på seks minutt.

    Dei fleste spørsmåla som er nytta i spørjeundersøkinga har vorte svart på ved å nytta ein Likert-skala. Skalaen inneber at respondentane oppgir i kva grad påstanden/spørsmålet er gjeldande for verksemda. Vi valde å forme spørsmåla på denne måten fordi det er likt dei opphavlege spørsmåla frå 2018. Dessutan gir det eit enkelt grunnlag for å presentere resultata samla for dei inkluderte verksemdene.

    Svarprosenten i spørjeundersøkinga var på ca. 77 prosent. Fordelinga etter storleiken på verksemdene står i tabellen under:

    Tilsette1-99100-499500-9991000 og fleire
    Svar6341416

    Intervju

    Ikon som viser to tekstbobler.

    I spørjeundersøkinga vart respondentane spurde om dei ville delta på intervju for å utdjupe sikkerheitsarbeidet i verksemda deira. Det vart gjennomført 18 digitale intervju, som svarer til 25,7 prosent av respondentane. Intervjua var semistrukturelle for å få eit større innblikk i organiseringa for verksemdene, kommunikasjon, prioritering hos leiinga, handtering av hendingar, vurderingar og tiltak, avvik, og dessutan øvings- og beredskapsplanar. Respondentane kjende seg ofte tryggare på å dele sensitiv informasjon gjennom samtale enn via ei nettbasert spørjeundersøking. Dette var spesielt viktig for verksemder med kritiske samfunnsfunksjonar.

    Vurderingstema


    Rapporten er delt inn i fire område. Områda som er vektlagde er sentrale i arbeidet med informasjonssikkerheit i alle verksemder.

    Rapporten består av følgande tema:

    • Styring av informasjonssikkerheit

    • Risikostyring

    • Øvingar og handtering av hendingar

    • Kultur og kompetanse

    Vi har teke utgangspunkt i dei elleve indikatorane som vart nytta i Difi-undersøkinga frå 2018 i vedlegg 1. For å redusere omfanget har vi denne gongen ikkje henta informasjon frå etatsstyrarar og verksemdsleiarar.

    Illustrasjon. To personer snakker sammen og jobber med mobilene sine.

    Omgrepsskildringar

    Denne rapporten viser til Digdir si eiga omgrepsskildring, sjå Begrepsliste | Digdir.

    Les skildringane her

    Arbeidet med informasjonssikkerheit i ei verksemd handlar om å styre risiko i bruk av informasjonssystem til å utføre oppgåver og levere tenester. Det handlar om å sikre all informasjonsbehandling som inngår i oppgåver og tenester, eller støttar opp under dei.

    Det betyr å sikre at informasjon i alle former

    • ikkje vert kjend for uvedkomande (konfidensialitet)
    • ikkje vert endra utilsikta eller av uvedkomande (integritet)
    • er tilgjengeleg ved behov (tilgjengelegheit)

    Det handlar om å sikre informasjonssystema som vert nytta – inkludert alle IKT-system, IKT-tenester og IKT-komponentar som inngår i informasjonssystema.

    Med styring og kontroll meiner vi dei sentrale aktivitetane som normalt inngår i styring og kontroll på informasjonssikkerheitsområdet. Vi nyttar det synonymt med styringssystem, leiingssystem eller internkontroll. Jamfør ISO/IEC 27001:2022 kapittel fire til ti, og aktivitetane som er beskrivne i Digdir si rettleiing "Internkontroll i praksis – informasjonssikkerheit".

    Med sikkerheitstiltak meiner vi varige tiltak som reduserer risiko, slik at verksemda kan utføre oppgåvene sine og levere tenester på ein god måte. Sikkerheitstiltaka vert etablert for å ivareta konfidensialitet, integritet eller tilgjengelegheit i informasjonsbehandlinga. Tiltaka vert valt og etablert ved bruk av aktivitetane og ved å vurdere og handtere risiko.

    I denne rapporten er ei verksemd avgrensa til statlege verksemder, i tråd med definisjonen i økonomiregelverket.

    Ei verksemd er ei organisatorisk eining i statsforvaltninga som har eit sjølvstendig ansvar for å vareta informasjonssikkerheita knytt til deira oppgåver og tenester. Dei underliggande verksemdene i statsforvaltninga vert kalla forvaltningsorgan, og nokon har større grad av fridom enn andre i form av faglege og budsjettmessige fullmakter.

    Vi brukar omgrepet fagansvarleg informasjonssikkerheit for å skildre rolla som har hovudansvar for å vere pådrivar og støtte til leiinga og organisasjonen elles i informasjonssikkerheitsarbeidet. Fagansvarleg informasjonssikkerheit er ofte det same som informasjonssikkerheitsansvarleg, informasjonssikkerheitsleiar eller Chief Information Security Officer (CISO).