11. december 2013Svar på Kommunaludvalgets spørgsmål nr. 24 af 18. november 2013stillet efter ønske af Michael Aastrup Jensen (V)

Spørgsmål:

Vil ministeren redegøre for Rigsrevisionens kritik af manglende it-sikkerhed iStatens It's systemer, og oplyse hvorledes ministeren vil sikre, at man snarestmuligt kan leve op til alle gældende krav og forskrifter på området. Der henvisestil Rigsrevisionens beretning til Statsrevisorerne om revisionen af statsregnskabetfor 2012.

Svar:

Rigsrevisionen kommer i sin beretning til Statsrevisorerne om revisionen af stats-regnskabet for 2012 med en række kritikpunkter af it-sikkerheden hos Statens It.Rigsrevisionen kvitterer for, at der er sket forbedringer i forhold til 2011, menfinder fortsat, at der er væsentlige svagheder. Konkret består kritikken i, at doku-mentation, sikkerhedsopdateringer og procedurer på nogle områder er mangelful-de, ligesom der er svagheder i forhold til reetablering af kundernes systemer. End-videre kritiseres Statens It og Digitaliseringsstyrelsen for ikke at have færdiggjorten fællesoffentlig standard for styring af it-sikkerheden.It-sikkerhed er et væsentligt element i myndighedernes arbejde med it, og derforskal kritikken tages alvorligt. Jeg har indhentet følgende udtalelse fra Statens It omderes indsats:”Det er Statens It's mål at hæve it-sikkerhedsniveauet for de tilsluttede kunder vedat harmonisere, standardisere og effektivisere kundernes it-miljøer. Dette skerblandt andet ved at samle statens systemer i fælles miljøer (datacentre) med etforhøjet sikkerhedsniveau.Tilsvarende arbejder Statens It på at hæve it-sikkerhedsniveauet på decentralt ud-styr (pc'erne) ved at harmonisere og standardisere på en fælles statslig pc-arbejdsplads. Udrulningen af den nye arbejdsplads imødekommer de tekniskeproblemområder relateret til decentralt udstyr, som Rigsrevisionen anfører i be-retningen til Statsrevisorerne om revisionen af statsregnskabet for 2012.Etableringen af fælles datacentre og pc-arbejdsplads har været gennemført over enårrække og er tæt på at være afsluttet. Begge initiativer bidrager til at løfte it-

sikkerhedsniveauet hos Statens It's kunder markant, lige fra sikkerheden på denenkelte computer til den grundlæggende infrastruktur.Statens It sigter endvidere mod at blive certificeret efter den internationale stan-dard for it-sikkerhed ISO 27001. Det vil betyde en forbedret styring af it-sikkerheden.Siden Rigsrevisionens fremsatte sin kritik i 2012, har Statens It udarbejdet dentekniske beredskabsplan, som efterspørges i Rigsrevisionens beretning til Statsre-visorerne om revisionen af statsregnskabet for 2012.Den tekniske beredskabsplan er en del af Statens It's samlede beredskabsplan,som i øvrigt er blevet testet i forbindelse med den nationale krisestyringsøvelseKRISØV i november 2013.Endelig har Statens It i samarbejde med Digitaliseringsstyrelsen i første halvår2013 publiceret vejledninger og hjælpeværktøjer til brug for myndighedernes sty-ring af it-sikkerheden. Dette materiale er udarbejdet specifikt til at understøtte denvedtagne fælles standard for staten, ISO 27001.”Jeg henholder mig til svaret fra Statens It.Med venlig hilsenBjarne Corydon