Det visar en kartläggning som MSB gjort om hur statliga myndigheter tillämpar föreskrifterna och i övrigt arbetar med informationssäkerhet.

334 myndigheter (95 procent) svarade på enkäten. Den statistik som redovisas bygger på svar från de 227 myndigheter som själva sköter sitt informationssäkerhetsarbete och som svarade på hela enkäten.

 

Här är en del av siffrorna:

  • 84 procent har policy för informationssäkerhet.
  • 26 procent kontrollerar inte om policyer och riktlinjer följs av personalen.
  • 74 procent har informationssäkerhetschef eller motsvarande för att leda samordningen av arbetet.
  • 81 procent av de som leder och samordnar arbetet rapporterar direkt till myndighetens ledning.
  • 38 procent av de som leder och samordnar arbetet uppges sakna tillräcklig kompetens, resurser eller mandat att utföra uppdraget tillfredsställande.
  • 67 procent har informationsklassningsmodell för att identifiera informationstillgångar och kunna ställa krav på informationssäkerheten.
  • 41 procent uppger att det inte är tydligt uttalat vem som ansvarar för att informationsklassning genomförs.
  • 59 procent uppger att det inte är fastslaget när informationsklassning ska ske.
  • 78 procent har en metod för riskanalys.
  • 42 procent saknar regler för vad riskanalyser ska omfatta eller när de ska ske.
  • 35 procent saknar uttalat ansvar för vem som ska initiera riskanalyserna.
  • 65 procent saknar kontinuitetsplan.
  • 59 procent använder inte riskanalyserna som stöd vid kontinuitetsplanering.
  • 45 procent uppger att myndighetens ledning åtminstone i stor utsträckning löpande informerar sig om informationssäkerhetsarbetet.