Publicerad 11 mars 2021

Enkät om kommunernas informationssäkerhetsarbete

Under våren 2019 genomförde SKR en webbenkät om hur långt kommunerna kommit i sitt systematiska informationssäkerhetsarbete.

Enkäten har gått ut till samtliga kommuner och svarsfrekvensen var mycket god, hela 91 procent svarade. Nu finns resultatet samlat i en rapport.

Rapport: Kommunernas informationssäkerhetsarbete (PDF) Pdf, 481 kB.

Sammanfattning av resultatet

Kommunerna har en djup och bred förståelse av hur viktigt det systematiska informationssäkerhetsarbetet är för all fortsatt digitalisering. Det som återstår på många håll är styrning, ledning, avsatta medel och resurser för arbetets planering och genomförande. Det saknas även tydlig uppföljning som är integrerad i övrig verksamhetsuppföljning.

Det återstår fortsatt arbete i införandet av ett systematiskt och riskbaserat informationssäkerhetsarbete, inom samtliga områden vi undersökt i enkäten.

Resultatet från enkäten i siffror

  • I 6 av 10 kommuner finns en CISO, vilket är positivt för det fortsatta arbetet med informationssäkerhet.
  • 3 av 10 kommunledningar informerar sig om statusen för informationssäkerhetsarbetet.
  • 2 av 10 kommuner omsätter ledningens mål i konkreta handlingsplaner.
  • I 5 av 10 kommuner finns en hantering av informationssäkerhetsriskerna. Detta visar att informationssäkerhet fått en tydlig roll i arbetet med riskhantering.
  • 5 av 10 kommuner har ett etablerat arbetssätt för klassning av informationstillgångar.
  • 6 av 10 kommuner har ett etablerat arbetssätt för hantering av informationssäkerhetsincidenter/-avvikelser.
  • 4 av 10 kommuner har ett etablerat arbetssätt för planering som säkerställer verksamhetens kontinuitet.
  • 5 av 10 kommuner har ett etablerat arbetssätt för att säkerställa medarbetarnas informationssäkerhetsmedvetande.
  • 3 av 10 kommuner har ett etablerat arbetssätt för säkerställande av att informationssäkerheten beaktas i hela upphandlingsprocessen.
  • 2 av 10 kommuner har ett etablerat arbetssätt för att följa upp tillämpningen av gemensamma arbetssätt inom informationssäkerhetsområdet.

SKR ser att informationssäkerhet endast ges tillräckligt med uppmärksamhet vid en incident eller när risken för en incident blir uppenbar. Detta medför att kommunens ledning inte ser behovet och nyttan av ett proaktivt, systematiskt arbete med informationssäkerhet, vilket i sig innebär att resurser inte avsätts förrän ”olyckan redan inträffat”.

Aktiv ledning är betydande för ett lyckat informationssäkerhetsarbetet

Ett lyckat införande av ett systematiskt och riskbaserat informationssäkerhetsarbete hänger ofta samman med ledningens aktiva engagemang. Enkätsvaren visar att här kan många kommuner hitta förbättringsområden. En gemensam nämnare bland de kommuner som inte skattat sitt säkerhetsarbete högt är att ledningen delegerat ansvaret för uppdraget, men inte tilldelat resurser. Risken med att delegera denna styrningsfråga är att ledningen får stå till svars för incidenter och osäker hantering som man inte ens visste förekom. Det är också viktigt för både kommunens politiska och tjänstemannaledning att säkerställa att lagar och regelverk följs och ett framgångsrikt sätt att göra det är att föregå med gott exempel.

Ett bristande informationssäkerhetsarbete kan också innebära att kommunen riskerar att drabbas av sanktioner från olika tillsynsmyndigheter, till exempel Datainspektionen, Energimyndigheten och Inspektionen för vård och omsorg.

Framgångsrikt att samarbeta

Vi ser en framgångsrik väg framåt i de kommuner som valt att samarbeta. Både kring kompetens/resursdelning och att dela underlag, mallar och rutiner. Som i allt utvecklingsarbete är en samskapande inställning och en vilja att dela och att lära av varandra en kostnadseffektiv lösning.

SKR ser att ett systematiskt informationssäkerhetsarbete är en nödvändig del i en framgångsrik digitalisering för kommuner och regioner och bedömer att området kräver ett ökat fokus i samband med enskilda digitaliseringslösningar och för att öka organisationernas förmåga att stå emot hot och kunna säkerställa tillit.

Se filmen som förklarar hur enkäten är upplagd. Enkäten är ett samarbete med Myndigheten för samhällsskydd och beredskap, MSB.

Informationsansvarig

  • Jonas Nilsson
    Informationssäkerhetsspecialist

Kontakta oss

Kontaktformulär SKR








Verifiering * (obligatorisk)
Vi kontrollerar att du är en människa och inte en robot.