Informationssäkerheten i den civila statsförvaltningen
Det finns omfattande brister i regeringens och myndigheternas arbete med informationssäkerhet. Regeringen har inte någon samlad bild av vilka hoten är, i vilken omfattning de realiseras och vilka skyddsåtgärder myndigheterna vidtar.
Sammanfattning
Riksrevisionen har granskat om arbetet med informationssäkerhet i den civila statsförvaltningen är ändamålsenligt utifrån ökande hot och risker. Granskningen har inriktats mot den information som samlats in om vilka hot som realiseras samt de skyddsåtgärder som har vidtagits av övriga myndigheter.
Granskningen omfattar regeringen och dess stöd- och tillsynsmyndigheter: Säkerhetspolisen, Myndigheten för samhällsskydd och beredskap, Försvarets radioanstalt samt i viss mån Post- och telestyrelsen.
Granskningen visar att arbetet med informationssäkerheten inte är ändamålsenligt sett till de hot och risker som finns. Regeringen har inte någon samlad lägesbild över hoten mot den civila statsförvaltningen, i vilken omfattning och mot vilka hoten realiseras samt vilka skyddsåtgärder myndigheterna vidtar. Detsamma gäller för regeringens stöd- och tillsynsmyndigheter.
Riksrevisionen lämnar vissa rekommendationer till regeringen och stöd- och tillsynsmyndigheterna, som bör kunna bidra till att stärka säkerheten. Bland annat att:
- utöka tillsynen, så att den omfattar väsentligt mer än endast de allra mest skyddsvärda delarna av statsförvaltningen
- se till att det finns en funktion och en process i Regeringskansliet med syfte att samlat hantera informationssäkerheten
- snarast införa obligatorisk incidentrapportering för samtliga myndigheter.